Data Breach: il trasferimento del rischio informatico
Più che definirsi maggiormente, il rischio informatico sta ampliando i propri confini in parallelo con lo sviluppo delle tecnologie connesse al web. Oltre alle polizze specifiche, anche alcuni prodotti tradizionali possono offrire un supporto alla tutela
16/02/2017
(PARTE SECONDA)
Come si è visto nella prima parte di questo articolo, sono molteplici i rischi tecnologici in cui possono incorrere le aziende, tuttavia, è il danno alla reputazione a costituire la preoccupazione maggiore per i risk manager. Secondo un sondaggio condotto da SafeNet sulla lealtà dei clienti, infatti, il 40% degli intervistati ha dichiarato di non volere intrattenere rapporti commerciali con società che abbiano subito violazioni di dati. Tale percentuale aumenta al 65% se la violazione ha riguardato un istituto finanziario.
Ciò presuppone una crescente sensibilità della clientela riguardo alla sorte dei propri dati ed essendo previsto dal nuovo Regolamento che i titolari del trattamento debbano risarcire i propri clienti per le conseguenze delle violazioni subite, si configurano gravi esposizioni al rischio della responsabilità verso terzi, che può presentarsi in varie forme e può essere mitigato o trasferito acquistando prodotti diversi, alcuni dei quali non rappresentano certo una novità nel mercato assicurativo mondiale.
I DANNI A TERZI RESTANO I PIÙ TEMUTI
Bisogna infatti tenere presente che alcune coperture che potrebbero essere interessate in caso di danneggiamento o perdita di dati personali di terzi, in particolare alla luce della nuova normativa, sono già previste dalle polizze tradizionali, non essendo a oggi comunemente applicate esclusioni specifiche per questi rischi.
Gli amministratori di società, ad esempio, potrebbero fronteggiare richieste di risarcimento da parte degli investitori per aver omesso di porre in atto le strategie necessarie a evitare le violazioni di dati e le perdite ad esse conseguenti, il che attiverebbe eventuali polizze D&O per coprire le inadempienze dei consiglieri d’amministrazione, dirigenti e preposti (inclusi il titolare e il responsabile del trattamento), divenute oggi assai più probabili tra le pieghe di un nuovo regolamento tanto più stringente e articolato.
Allo stesso modo, c’è da rilevare che sono ancora pochissimi i wordings che recano esclusioni specifiche per i rischi cyber. Com’è noto, anzi, le più tradizionali polizze di Responsabilità Professionale per avvocati o commercialisti contengono estensioni particolari in caso di perdita o danneggiamento dei dati dei clienti, seppure con sottolimiti non particolarmente elevati.
DIFENDERSI CON IL RECALL
L’evoluzione tecnologica, inoltre, ha recentemente evidenziato nuove minacce fino ad ora impensabili, in grado di provocare danni anche molto gravi, risarcibili da coperture già esistenti, in mancanza di adeguate limitazioni contrattuali.
Si pensi, ad esempio, al caso della FCA, che nel 2015 ha richiamato in America un milione e quattrocentomila autovetture, a causa della vulnerabilità del sistema UConnect installato su alcuni modelli e rivelatosi in grado di offrire agli hackers la possibilità di controllare gli autoveicoli da remoto. Nelle motivazioni del ritiro, infatti, FCA ha dichiarato che il sistema non garantiva di “isolare veicoli connessi a Internet da manipolazioni esterne non autorizzate”.
Insinuandosi nel software del sistema, in pratica, gli hacker avevano dimostrato di poter ottenere in qualunque momento il controllo delle automobili, mettendo a repentaglio la sicurezza di passeggeri, pedoni e occupanti di altri veicoli. Com’è noto, in assenza di una specifica esclusione per cybercrime, che non risulta al momento utilizzata nei più comuni testi di polizza, ciò basterebbe ad attivare una normalissima copertura recall per il ritiro dei prodotti difettosi e, in presenza di evento dannoso, qualsiasi polizza RC Prodotti esistente in commercio.
CRESCE L’OFFERTA DI PRODOTTI DEDICATI
A cominciare dal mercato americano, da sempre particolarmente sensibile alle tematiche dei rischi emergenti, si sono quindi sviluppati prodotti dedicati in grado di coprire i danni causati da alterazione o danneggiamento di “informazioni personali detenute dall’assicurato in formato elettronico” e direttamente riconducibili a Malicious Acts (ovvero, attacchi di hacker), computer virus, guasti ai sistemi causati da errori umani, furto e divulgazione di dati custoditi.
Queste polizze si estendono generalmente anche a coprire le spese per la cosiddetta gestione del Crisis Management, incluse quelle sostenute per le ricerche forensi necessarie a determinare le cause della violazione, identificare le vittime della stessa e informarle dell’accaduto.
Sono pure comprese le spese legali affrontate a vario titolo, i costi per il monitoraggio del credito (nei casi di furto d’identità con lo scopo di ottenere linee di credito), spese per le pubbliche relazioni e il rilancio del brand, etc.
Solitamente queste polizze si compongono di due sezioni che possono anche essere acquistate separatamente. Da una parte esse coprono il rischio della responsabilità civile verso terzi, derivante da violazione delle vigenti normative sulla privacy, detto anche Network Security Liability o Media Liability.
Ove permesso, esse coprono anche multe ed ammende inflitte per la violazione delle informazioni gestite, anche se è improbabile che questo tipo di estensione operi interamente, di fronte all’applicazione delle elevatissime sanzioni ora previste dal Regolamento.
Dall’altra, vengono assicurati i danni riconducibili alla parte property o first party, inclusa l’interruzione d’esercizio ed il contingency risk, ovvero il rischio di interdipendenza nell’ambito della catena produttiva e distributiva globale, cui si è già accennato.
SI ALLARGANO I CONFINI DEL RISCHIO
L’offerta di soluzioni per il trasferimento del rischio informatico si sta dunque facendo sempre più ampia e sofisticata, tuttavia, a causa dell’oggettiva difficoltà ad analizzare e valutare pienamente un rischio tanto ampio, esteso e multiforme, molti risk manager sembrano ancora confusi sul tipo di soluzioni da adottare e sui massimali e limiti da acquistare.
La percezione del pericolo corso, inoltre, resta ancora piuttosto bassa, e del tutto insufficiente sembra essere la conoscenza della nuova normativa europea e delle gravi conseguenze che può comportare la non conformità ai requisiti di sicurezza da essa previsti.Il quadro, per contro, si aggrava di giorno in giorno, a causa del continuo allentarsi del perimetro di sicurezza della società in cui viviamo, dovuto all’inarrestabile evoluzione dell’universo digitale e dall’imporsi del cosiddetto IoT (internet of things), che prevede l’interazione di qualsiasi dispositivo elettronico casalingo e che ha consentito gli spettacolari attacchi informatici recentemente assurti all’onore delle cronache in tutto il mondo.
Resta da vedere se l’avvento della nuova normativa e il potere deterrente delle severe sanzioni da essa previste saranno in grado di imprimere una svolta al caos determinato dalla travolgente affermazione dell’era digitale e se tutto ciò verrà inteso come un’opportunità o una minaccia per il mercato assicurativo globale.
(La prima parte dell’articolo è stata pubblicata su Insurance Daily di lunedi 16 gennaio).
Come si è visto nella prima parte di questo articolo, sono molteplici i rischi tecnologici in cui possono incorrere le aziende, tuttavia, è il danno alla reputazione a costituire la preoccupazione maggiore per i risk manager. Secondo un sondaggio condotto da SafeNet sulla lealtà dei clienti, infatti, il 40% degli intervistati ha dichiarato di non volere intrattenere rapporti commerciali con società che abbiano subito violazioni di dati. Tale percentuale aumenta al 65% se la violazione ha riguardato un istituto finanziario.
Ciò presuppone una crescente sensibilità della clientela riguardo alla sorte dei propri dati ed essendo previsto dal nuovo Regolamento che i titolari del trattamento debbano risarcire i propri clienti per le conseguenze delle violazioni subite, si configurano gravi esposizioni al rischio della responsabilità verso terzi, che può presentarsi in varie forme e può essere mitigato o trasferito acquistando prodotti diversi, alcuni dei quali non rappresentano certo una novità nel mercato assicurativo mondiale.
I DANNI A TERZI RESTANO I PIÙ TEMUTI
Bisogna infatti tenere presente che alcune coperture che potrebbero essere interessate in caso di danneggiamento o perdita di dati personali di terzi, in particolare alla luce della nuova normativa, sono già previste dalle polizze tradizionali, non essendo a oggi comunemente applicate esclusioni specifiche per questi rischi.
Gli amministratori di società, ad esempio, potrebbero fronteggiare richieste di risarcimento da parte degli investitori per aver omesso di porre in atto le strategie necessarie a evitare le violazioni di dati e le perdite ad esse conseguenti, il che attiverebbe eventuali polizze D&O per coprire le inadempienze dei consiglieri d’amministrazione, dirigenti e preposti (inclusi il titolare e il responsabile del trattamento), divenute oggi assai più probabili tra le pieghe di un nuovo regolamento tanto più stringente e articolato.
Allo stesso modo, c’è da rilevare che sono ancora pochissimi i wordings che recano esclusioni specifiche per i rischi cyber. Com’è noto, anzi, le più tradizionali polizze di Responsabilità Professionale per avvocati o commercialisti contengono estensioni particolari in caso di perdita o danneggiamento dei dati dei clienti, seppure con sottolimiti non particolarmente elevati.
DIFENDERSI CON IL RECALL
L’evoluzione tecnologica, inoltre, ha recentemente evidenziato nuove minacce fino ad ora impensabili, in grado di provocare danni anche molto gravi, risarcibili da coperture già esistenti, in mancanza di adeguate limitazioni contrattuali.
Si pensi, ad esempio, al caso della FCA, che nel 2015 ha richiamato in America un milione e quattrocentomila autovetture, a causa della vulnerabilità del sistema UConnect installato su alcuni modelli e rivelatosi in grado di offrire agli hackers la possibilità di controllare gli autoveicoli da remoto. Nelle motivazioni del ritiro, infatti, FCA ha dichiarato che il sistema non garantiva di “isolare veicoli connessi a Internet da manipolazioni esterne non autorizzate”.
Insinuandosi nel software del sistema, in pratica, gli hacker avevano dimostrato di poter ottenere in qualunque momento il controllo delle automobili, mettendo a repentaglio la sicurezza di passeggeri, pedoni e occupanti di altri veicoli. Com’è noto, in assenza di una specifica esclusione per cybercrime, che non risulta al momento utilizzata nei più comuni testi di polizza, ciò basterebbe ad attivare una normalissima copertura recall per il ritiro dei prodotti difettosi e, in presenza di evento dannoso, qualsiasi polizza RC Prodotti esistente in commercio.
CRESCE L’OFFERTA DI PRODOTTI DEDICATI
A cominciare dal mercato americano, da sempre particolarmente sensibile alle tematiche dei rischi emergenti, si sono quindi sviluppati prodotti dedicati in grado di coprire i danni causati da alterazione o danneggiamento di “informazioni personali detenute dall’assicurato in formato elettronico” e direttamente riconducibili a Malicious Acts (ovvero, attacchi di hacker), computer virus, guasti ai sistemi causati da errori umani, furto e divulgazione di dati custoditi.
Queste polizze si estendono generalmente anche a coprire le spese per la cosiddetta gestione del Crisis Management, incluse quelle sostenute per le ricerche forensi necessarie a determinare le cause della violazione, identificare le vittime della stessa e informarle dell’accaduto.
Sono pure comprese le spese legali affrontate a vario titolo, i costi per il monitoraggio del credito (nei casi di furto d’identità con lo scopo di ottenere linee di credito), spese per le pubbliche relazioni e il rilancio del brand, etc.
Solitamente queste polizze si compongono di due sezioni che possono anche essere acquistate separatamente. Da una parte esse coprono il rischio della responsabilità civile verso terzi, derivante da violazione delle vigenti normative sulla privacy, detto anche Network Security Liability o Media Liability.
Ove permesso, esse coprono anche multe ed ammende inflitte per la violazione delle informazioni gestite, anche se è improbabile che questo tipo di estensione operi interamente, di fronte all’applicazione delle elevatissime sanzioni ora previste dal Regolamento.
Dall’altra, vengono assicurati i danni riconducibili alla parte property o first party, inclusa l’interruzione d’esercizio ed il contingency risk, ovvero il rischio di interdipendenza nell’ambito della catena produttiva e distributiva globale, cui si è già accennato.
SI ALLARGANO I CONFINI DEL RISCHIO
L’offerta di soluzioni per il trasferimento del rischio informatico si sta dunque facendo sempre più ampia e sofisticata, tuttavia, a causa dell’oggettiva difficoltà ad analizzare e valutare pienamente un rischio tanto ampio, esteso e multiforme, molti risk manager sembrano ancora confusi sul tipo di soluzioni da adottare e sui massimali e limiti da acquistare.
La percezione del pericolo corso, inoltre, resta ancora piuttosto bassa, e del tutto insufficiente sembra essere la conoscenza della nuova normativa europea e delle gravi conseguenze che può comportare la non conformità ai requisiti di sicurezza da essa previsti.Il quadro, per contro, si aggrava di giorno in giorno, a causa del continuo allentarsi del perimetro di sicurezza della società in cui viviamo, dovuto all’inarrestabile evoluzione dell’universo digitale e dall’imporsi del cosiddetto IoT (internet of things), che prevede l’interazione di qualsiasi dispositivo elettronico casalingo e che ha consentito gli spettacolari attacchi informatici recentemente assurti all’onore delle cronache in tutto il mondo.
Resta da vedere se l’avvento della nuova normativa e il potere deterrente delle severe sanzioni da essa previste saranno in grado di imprimere una svolta al caos determinato dalla travolgente affermazione dell’era digitale e se tutto ciò verrà inteso come un’opportunità o una minaccia per il mercato assicurativo globale.
(La prima parte dell’articolo è stata pubblicata su Insurance Daily di lunedi 16 gennaio).
© RIPRODUZIONE RISERVATA
