Gli utenti e le imprese sono sempre più esposti e vulnerabili al rischio cyber per vari fattori:
- diffusione di nuove tecnologie e crescente interconnessione digitale tra cose, persone, processi e dati
- utilizzo della rete Internet a scopi relazionali, per acquisti e vendite online, per usufruire di servizi Home banking
- aumento delle tensioni geopolitiche internazionali.
Il campione analizzato dall’Istituto di vigilanza è costituito da 26 polizze rivolte alle PMI (14 stand alone, 12 modulari) e l’indagine si basa sull’analisi dei contratti senza entrare nella valutazione della convenienza delle singole polizze.
Le coperture per le PMI sono piuttosto articolate, con garanzie che mirano a coprire le aziende sia dai danni dovuti ad attacchi informatici, sia dai danni causati a terzi per effetto degli attacchi, sia le spese legali.
Diverse polizze offrono servizi accessori prima del verificarsi di un attacco informatico (identificazione di vulnerabilità, implementazione di presidi di protezione) e nella gestione post-evento (ristabilimento dell’operatività informatica, gestione danno reputazionale…).
A volte sono presenti nei contratti analizzati dall’IVASS esclusioni e franchigie che ne riducono ampiezza e applicabilità, anche con margini di ambiguità.
Al momento le coperture sono per lo più standardizzate: in prospettiva dovrebbero diventare più flessibili, in modo da personalizzare maggiormente le garanzie in funzione della specifica operatività ed esigenza di copertura delle aziende.
Le polizze cyber dedicate alle PMI prevedono franchigie fisse, che si deducono dall’indennizzo, e franchigie temporali, che corrispondono al numero di giorni d’interruzione di attività aziendale stabilito nel contratto, trascorso il quale matura il diritto d’indennizzo. I massimali vengono fissati per singolo sinistro o per importo massimo risarcibile nell’anno di riferimento.
I glossari presentano margini di miglioramento per quanto concerne esaustività e univocità dei termini utilizzati. L’IVASS segnala l’importanza di adottare un glossario unico per le definizioni così da garantire omogeneità e certezza e indica come riferimento Cyber Lexicon FSB11 che offre definizioni consolidate e accettate nella comunità digitale.
Il mercato è destinato a crescere rapidamente, in parallelo al rafforzamento della cultura della sicurezza informatica. L’assistenza di intermediari assicurativi professionisti, adeguatamente aggiornati sui rischi cyber e sugli aspetti molto tecnici di queste polizze, è cruciale per un ulteriore sviluppo.
Profilo di rischio cyber
La rilevazione dell’operatività del cliente è importante per poter offrire una polizza in linea con il suo “profilo digitale”. Una piccola impresa che non opera tramite e-commerce ha un profilo di rischio cyber diverso rispetto ad una che vende prodotti online in tutto il mondo.
Anche la natura dell’azienda, il volume dei dati sensibili, la dipendenza dalla tecnologia e le normative del settore dovrebbero essere presi in considerazione quando si valuta la necessità e l’estensione della copertura assicurativa informatica.
Alcune compagnie richiedono specifiche condizioni di operatività dell’azienda da assicurare, come prerequisiti o condizioni per rendere il rischio assicurabile, per esempio:
- presenza di idonei presidi informatici per prevenire e fronteggiare gli attacchi informatici
- installazione e aggiornamento frequente di adeguati sistemi antivirus e firewall
- svolgimento di periodici e frequenti backup dei sistemi informatici
- adeguata connessione Internet per consentire le riparazioni tecniche da remoto
- adeguati presidi organizzativi per la corretta e consapevole gestione dei rischi informatici con formazione digitale continua del personale
- sottoscrizione e mantenimento per tutto il periodo di vigenza della polizza di un contratto di assistenza tecnica e di manutenzione sia per l’hardware che per il software.
Polizze cyber stand alone
Queste polizze intendono tutelare il patrimonio dell’assicurato (imprenditore, persona giuridica, professionista o commerciante) dalle spese e dai danni direttamente subiti o provocati a terzi a seguito di un attacco al sistema informatico aziendale.
Tali polizze garantiscono la copertura delle spese e gli interventi necessari a ripristinare i dati e il sistema informatico, oltre ai risarcimenti richiesti all’assicurato da terzi a cui ha cagionato danni e alla tutela legale per controversie che scaturiscono dall’attacco informatico.
Le 14 polizze esaminate sono standardizzate, garantiscono coperture base a cui, spesso, è possibile aggiungere coperture facoltative, acquistabili separatamente e che offrono tutele crescenti a seconda del numero di coperture aggiunte alle garanzie di base.
La maggior parte delle polizze stand alone si rivolge a piccole e medie imprese che svolgono attività produttive (anche artigianali) nel settore manifatturiero o dei servizi (compresi i servizi IT), esercizi commerciali, studi professionali, strutture ricettive. Il premio di polizza spesso è rapportato al fatturato.
Perdite pecuniarie
Le garanzie per le perdite pecuniarie risarciscono i danni diretti subiti dall’assicurato per il ripristino dei dati e dei sistemi informatici a seguito di un attacco informatico e i costi sostenuti per l’interruzione dell’attività conseguente ai medesimi eventi.
Due compagnie assicurano anche i danni alle apparecchiature informatiche utilizzate dall’assicurato, otto compagnie assicurano i danni derivanti da estorsioni o tentativi di estorsione cyber prevedendo un indennizzo per le spese sostenute (ripristino dati, rimozione del malware), mentre risulta generalmente escluso il rimborso di spese sostenute per il pagamento di riscatti a seguito di estorsioni cyber.
Responsabilità Civile
Le garanzie offerte dalla generalità delle compagnie riguardano il risarcimento dei danni causati a terzi da un attacco informatico che ne provoca una violazione della privacy su dati riservati e della sicurezza informatica in generale.
Alcune compagnie assicurano altre fattispecie, quali la responsabilità civile da danni reputazionali del terzo interessato, violazioni della proprietà intellettuale, costi sostenuti per l’intervento di esperti finalizzato al contenimento del danno o alla sua eliminazione, costi sostenuti dai terzi per l’interruzione dell’attività…
Tutela Legale
La compagnia di assicurazione riconosce le spese legali in relazione a vertenze che coinvolgono l’assicurato per la difesa dei suoi interessi. Le coperture offerte riguardano principalmente la tutela legale per i danni extracontrattuali subìti per fatti illeciti di terzi e i danni causati a terzi per delitti dolosi, colposi o per contravvenzioni connessi all’utilizzo del web e dei social media nel corso dell’attività d’impresa o professionale.
In alcuni casi, sono incluse anche le garanzie relative a: controversie legali con fornitori di servizi informatici e l’uso fraudolento da parte di terzi di carte di credito e simili di proprietà dell’assicurato.
La garanzia tutela legale vale in tutti gli Stati europei, per le controversie processuali per danni extracontrattuali e procedimenti penali in: UE, Svizzera, Liechtenstein, Principato di Monaco, Norvegia, Andorra, Città del Vaticano, Repubblica di San Marino, per le vertenze di natura contrattuale in Italia, Città del Vaticano, Repubblica di San Marino, per cause amministrative e per la consulenza legale telefonica.
Fonte: IVASS