di Luca Angelucci, Responsabile Osservatorio Assicurazioni Crimini
Informatici Aidr

Le polizze assicurative in grado di coprire i danni diretti e
indiretti legati alla violazione dei dati personali trattati,
rappresentano il vero valore aggiunto di una organizzazione aziendale.
Nel corso dell’ultimo biennio è cresciuta la loro richiesta da parte
delle aziende, a fronte tra l’altro di un maggiore incremento del
numero degli attacchi informatici.
Parimenti, sul fronte dell’offerta, le assicurazioni hanno
implementato il ventaglio di proposte, con soluzioni sempre più mirate
alle specifiche esigenze.
Da stime effettuate da società statunitensi ed inglesi, si ipotizza a
breve la creazione di un enorme mercato per la Cyber – Insurance,
trattandosi di prodotti assicurativi destinati appositamente a
proteggere le imprese private ed anche pubbliche dai rischi legati
all’uso del web e specificatamente dai rischi relativi alle
infrastrutture e alle attività dell’informatica.
La maggiore problematica assuntiva per le assicurazioni sta nella
mancanza di dati storici in seno alle aziende in grado di permettere
di avere un quadro del rischio quanto più esatto e con dati statistici
corretti, utili anche per valutare la possibile evoluzione di questo
fenomeno nel futuro e le eventuali dinamiche tecnico-attuative.
Il panorama dei nuovi pacchetti assicurativi della Cyber Security
evidenzia diversi prodotti e soluzioni percorribili. Si parte dalla
copertura contro gli attacchi informatici, gli attacchi di hacking
(Hacksurance), fino alla copertura dalla distruzione o perdita di dati
(Furto\frode) e dai pacchetti che coprono le spese legali derivanti
dalla violazione dei dati (Tutela legale\Indagine forense). Esistono,
anche, coperture per il mancato ripristino dell’attività (Disaster
recovery), coperture per i costi derivanti dal danno di immagine e dal
danneggiamento del software e/o dell’hardware.

A fronte del quadro sopra indicato, anche le aziende pubbliche
dovrebbero stipulare polizze assicurative per il Cyber risk? Ecco il
parere del dott. Alessandro Spinetti (Direttore Generale della società
specializzata di consulenza ICU

Tutte le coperture sul mercato non hanno lo scopo di evitare il
prodursi di un danno. Sono le policy aziendali in materia di sicurezza
a doverlo prevenire, le polizze assicurative servono a trasferire il
rischio in questione dall’azienda/pubblica amministrazione alla
compagnia assicurativa, evitando che un’azione fraudolenta con
successivo danno e\o richieste di risarcimento di terzi danneggiati
possano intaccare pesantemente il patrimonio dell’azienda. Infatti, in
alcuni casi recenti, i danni subiti a seguito di attacchi informatici
con sottrazione di data base, con successivi danni diretti e indiretti
molto rilevanti, sono stati fatali per l’economia di alcune società
operanti in particolare nel settore IT.

In Italia, sono quasi raddoppiate le comunicazioni di violazioni di
banche dati (data breach) pervenute all’Autorità competente nel solo
settore dei servizi di comunicazione elettronica. Per quanto detto,
consiglio coperture assicurative Cyber personalizzate il più
possibile, infatti la stipula di un pacchetto assicurativo di Cyber
insurance dovrebbe essere sempre preceduta da una valutazione molto
precisa all’interno delle aziende, coinvolgendo dal Risk manager al
Data Protection Officer, e lavorando congiuntamene al consulente
tecnico assicurativo.>>

In conclusione, con la piena entrata in vigore del Regolamento n.
769/2016 UE (Regolamento generale sulla protezione dei dati – GDPR,
General data Protection Regulation) si rende necessario ed utile, per
le aziende ed enti pubblici che ancora non si sono attivati,
intervenire tempestivamente su detti argomenti provvedendo alla
stipula di appositi pacchetti assicurativi, mirati alle specifiche
necessità e assolutamente predisposti in modo “sartoriale”.