Insurance Trade

Le PMI nella rete dei pescatori di frodi

Nella mentalità tipicamente italiana la frase “tanto a me non succede” si ripete ogni volta che qualche evento negativo capita a chi ci sta vicino. Anche a livello aziendale, nonostante alcune tipologie di rischio si stiano diffondendo a macchia d’olio, la tendenza è sempre quella di volgere lo sguardo altrove.
È il caso dei rischi cyber, che sempre più colpiscono i pesci piccoli piuttosto che quelli grandi. Ma che nell’immaginario dei piccoli-medi imprenditori non andrà “mai” a impattare sulla loro attività. Bisogna considerare, però, il fatto che queste realtà hanno fondi ben più limitati rispetto a quelli delle multinazionali, per investire in protezione, know-how e aggiornamento.
Facendo uno zoom sullo scenario globale, è indubbio che i criminali informatici “amino” le PMI. Fanno affidamento sulle reti informatiche, come le aziende più grandi, ma allo stesso tempo hanno meno sistemi difensivi. Da un’indagine della Federazione inglese delle piccole imprese (una sorta di Piccola Industria di Confindustria) è emerso che solo il 4% delle associate ha un piano anticrisi informatica; e che solo un quarto delle aziende ha una policy interna sull’utilizzo dei sistemi IT.
In particolare, la ricerca ha evidenziato come nella maggior parte dei casi l’accesso alle aziende avvenga attraverso le cosiddette email di phishing. Email fasulle che invitano chi le riceve a cliccare su link a siti ingannevoli dove si richiede di inserire dati sensibili (password e dettagli di account). In casi ancora più gravi le email provengono da finti indirizzi di dipendenti dell’azienda, che convincono i veri impiegati ad effettuare pagamenti sui conti correnti dei criminali, in questi casi camuffati da fantomatici fornitori.
Attraverso delle adeguate coperture assicurative, situazioni come quelle descritte possono essere quantomeno limitate, se si pensa che in media un sinistro derivante da un attacco a una PMI può variare da 100.000 a 300.000 euro (dati PwC). Spese che non rappresentano solo i danni diretti causati dalla perdita di denaro, ma anche il furto dei dati e la riparazione di eventuali falle nel sistema IT. In aggiunta bisogna pensare a tutte le azioni necessarie per avvisare tempestivamente i clienti, che in alcuni casi potrebbero richiedere un risarcimento. Senza dimenticare le spese per le perizie di parte, per le indagini sull’evento e per le eventuali sanzioni comminate dalle Autorità. Soprattutto in un momento come quello attuale, a meno di un anno dall’attuazione del GDPR (General Data Protection Regulation). Non ultimo, nei casi di attacco informatico, il temutissimo danno reputazionale è sempre all’orizzonte.
La prima regola da seguire, per qualsiasi azienda e in particolare per quelle che gestiscono dati sensibili e pagamenti, è quindi quella di creare una policy ferrea. In secondo luogo, il valore aggiunto di una polizza cyber può intervenire per contrastare la perdita di dati e per sostenere la vittima nel difficile percorso verso il ritorno al business as usual. Polizza che deve essere adeguata e costruita su misura:
  • Con garanzie specifiche e non inclusa in una qualsiasi polizza All Risks
  • Con coperture e massimali coerenti all’attività esercitata
  • Con l’inclusione dei danni diretti all’azienda (compresi eventuali “riscatti” da pagare a causa dei ransomware) e di quelli provocati a terzi (se vengono trattati i dati dei clienti)
  • Con un’assistenza 24/7 per permettere di minimizzare i danni nello stesso momento in cui si stanno concretizzando
  • Con l’estensione a tutti i device utilizzati in azienda, dai computer ai cellulari, dalle stampanti ai tablet

© RIPRODUZIONE RISERVATA

👥

I più visti