Nell’attuale scenario di incremento esponenziale degli attacchi, la stipula di polizze assicurative ad hoc contro il cyber crimine è un trend già consolidato negli USA dove quasi un’azienda su 3 ne possiede una: a sostenerlo è un Report di BDO, network globale di revisione contabile e consulenza alle imprese.
Il mercato globale delle polizze assicurative contro il cyber rischio è stimato oggi 3 miliardi di dollari, ma entro il 2022 potrebbe arrivare a 14 miliardi di dollari (fonte: Business Insurance, dicembre 2016).
Il presupposto alla base del valore di una polizza contro gli attacchi informatici è che prevenirli in modo assoluto non è possibile.
Secondo i dati rilasciati dal network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari.
Le polizze possono garantire copertura a costi di ripristino del sistema, danno reputazionale, mancati introiti, estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione a fornitori, clienti o partner.
Il GDPR come driver
L’entrata in vigore, a maggio 2018 del GDPR per tutti gli stati membri dell’Unione Europea, promette sanzioni per le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati, con multe che potranno arrivare fino al 4% annuo del fatturato dell’azienda o a 20 milioni di Euro.
Il GDPR, secondo Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia potrebbe rappresentare un’importante driver per l’adozione di polizze assicurative.
“Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio – ha detto Mazzei -. È auspicabile che sia il GDPR, sia la direttiva NIS (Network and information Security) vengano recepiti da aziende, organizzazione ed istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizie, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso.”
Le compagnie assicurative non sono ancora pronte
Le compagnie assicurative appaiono impreparate e offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. Tuttavia, proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.
La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare affidabili modelli di rischio per le polizze correlate. Anche l’assicurazione sugli aspetti che coinvolgono le terze parti si dimostra complessa da predisporre.
Le compagnie assicurative, pertanto, tendono attualmente a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare difficile.
Gli aspetti da valutare
Tra gli elementi da valutare attentamente al momento della stipula di una copertura assicurativa contro il rischio cibernetico BDO suggerisce di porre particolare attenzione ai seguenti:
- identificare gli asset aziendali critici e il rischio cyber a loro associato;
- valutare l’esposizione al rischio e quantificarlo;
- decidere se l’attuale livello di protezione è sufficiente;
- implementare un programma di emergenza per colmare le lacune identificate a livello di rischio cyber.
“Un ultimo consiglio – conclude Mazzei -: è fondamentale rinegoziare annualmente le clausole assicurative per ottemperare agli aggiornamenti in sicurezza della azienda, e quindi fronteggiare gli attacchi informatici, via via più sofisticati. BDO Italia offre ai propri clienti un servizio di eccellenza, innovativo e altamente specializzato”.