Cyber risk

Esistono diverse definizioni di cyber risk, ma in genere definiamo questo tipo di rischio come un evento in cui dati sensibili e informazioni in genere, contenuti all’interno dei sistemi informatici di un’azienda, vengono violati, sottratti, cancellati o comunque messi a rischio. 

Un esempio tipico è rappresentato dagli archivi delle società, nei quali i nomi dei clienti possono essere associati alle informazioni sulle loro carte di credito, per la gestione dei pagamenti. Oppure possiamo considerare le informazioni mediche conservate dalle compagnie di assicurazione o da medici e ospedali. 

All’origine di queste violazioni possiamo individuare problemi tecnici incontrati dai sistemi stessi o anche semplici errori umani, ma il più delle volte ci troviamo di fronte a vere e proprie frodi informatiche, cioè ad attacchi dolosi, perpetrati da cybercriminali, i cosiddetti hacker. In tali casi, le informazioni sottratte vengono poi usate con diversi scopi illegali. Nella maggior parte degli ordinamenti giuridici (incluso quello europeo), infatti, questi dati sensibili che individuano la persona cui appartengono sono concepiti come parte integrante della persona stessa e la loro perdita è trattata alla stregua di un danno grave, né più né meno di una lesione fisica.

All’interno della definizione di cybercrime, che indica il generico furto di dati per trarne vantaggi politici, economici o finanziari, gli attacchi possono prevedere la diffusione (accesso ai sistemi per propagazione massiva con intenti commerciali, come accade per lo spam), l’hactivism (diffamazione di organizzazioni e divulgazione dei dati riservati che a esse appartengono, con scopi principalmente politici), il furto di identità (che consiste nella sottrazione delle informazioni personali dei cittadini, con differenti intenti) e la distruzione o cancellazione materiale dei dati di una persona o organizzazione, volta a ostacolarne e danneggiarne la reputazione o gli affari.

Più di recente sono state introdotte nuove tipologie di minaccia informatica, come la cyberwar, a indicare un attacco che abbia come obiettivo le infrastrutture principali di una nazione, con l’intenzione di indebolirne o abbatterne le attività, interrompendo il funzionamento dei suoi sistemi critici, fino all’interruzione di servizi essenziali come la fornitura di acqua o energia. Per fare un esempio, in seguito all’invasione dell’Ucraina, le infrastrutture italiane sono state prese di mira dagli hacker dei vari schieramenti coinvolti ed è stata registrata un’intensificazione dei tentativi di violazione e delle attività di probing ai danni delle misure di protezione attive all’interno dei nostri sistemi. 

Le attività di probing sono tentativi di sondaggio del funzionamento dei sistemi di difesa e preludono generalmente a successive azioni di violazione, con possibili gravi conseguenze per le infrastrutture del paese e per milioni di cittadini. Si tratta di attacchi con un impatto sistemico su ogni aspetto della società, della politica e dell’economia. 

L’aumento geometrico del numero degli attacchi informatici registrati negli ultimi anni ha elevato la consapevolezza del cyber risk da parte dei risk manager, che lo collocano ai primi posti nel ranking dei pericoli percepiti come gravi o fatali per le loro aziende. E non a caso: uno studio di Swiss Re ha recentemente rivelato come i danni causati da questo fenomeno ammonterebbero globalmente a quasi 1.000 miliardi di dollari.

I costi degli incidenti informatici possono essere infatti assai cospicui, anche se variano sensibilmente, in base al settore occupato e alla tipologia dei dati che ciascuna azienda gestisce, nonché alle implicazioni normative e giuridiche interessate. 

In pratica, da attacchi informatici simili possono scaturire costi molto diversi, ma in tutti i casi tali violazioni sono in grado di interrompere l’attività condotta da ciascuna azienda e comportano seri danni alla sua reputazione, nonché ingenti spese per recuperare i dati perduti e resistere alle eventuali azioni di risarcimento intraprese da parte dei titolari delle informazioni sottratte. 

Inoltre, gli attacchi degli hacker possono causare accumulazioni di rischio che includono le società interdipendenti, attraverso la catena distributiva globale. Un attacco di media gravità può facilmente danneggiare l’intera catena produttiva di una compagnia, poiché il mondo intero opera e comunica ormai nel cyber spazio e la crescente digitalizzazione rende gli utenti e le infrastrutture sempre più vulnerabili, attraverso l’uso intensivo di telefoni cellulari, computer e dei tanti dispositivi intelligenti, o Internet of things, presenti nelle nostre case e nei luoghi in cui lavoriamo.

Insomma, parliamo di costi in grado di porre a rischio la solvibilità stessa di un’azienda, il che ha comportato un certo aumento della domanda di protezione assicurativa.

Tuttavia, il cyber risk si caratterizza per la difficile quantificazione delle potenziali perdite, e ogni singolo attacco potrebbe comportare risultati devastanti per gli assicuratori, che sono assai preoccupati dalla portata sistemica di questa tipologia di rischio. 

Tutto ciò, com’è intuibile, spinge il mercato a porre significative limitazioni alle condizioni prestate. Le soluzioni offerte variano sensibilmente e possono comprendere i danni materiali alle apparecchiature colpite, le quali possono essere semplicemente danneggiate dall’attacco o riportare conseguenze gravi e difficoltà nel proseguire l’attività svolta. 

È quindi possibile coprire le conseguenze derivanti dall’interruzione d’esercizio e il contingent risk, ovvero i possibili danni causati alla catena produttiva, di approvvigionamento e fornitura dell’azienda stessa.

I costi per il recupero dei dati perduti possono essere assai cospicui, come abbiamo accennato, perché le società specializzate in quest’ambito possono impiegare molto tempo per comprendere le modalità di accesso utilizzate dai cyber-criminali e poterne poi scongiurare iniziative ulteriori. Secondo Breach Level Index, il costo causato dalla perdita di informazioni per un’azienda può facilmente raggiungere e superare i 6 milioni di dollari. 

Oltre ai costi per la riparazione dei sistemi, è poi possibile assicurare le spese relative alle indagini forensi resesi necessarie in seguito alla violazione, quelle per la notifica della stessa alle persone interessate (obbligatoria, in ottemperanza alle previsioni del Gdpr, il regolamento europeo per la protezione dei dati), quelle per il monitoraggio del credito delle vittime della violazione e tutti i costi per la salvaguardia della reputazione dell’azienda colpita.

Per fare un esempio, un’inchiesta condotta da Marsh qualche anno fa rivelò che ben il 60% delle persone intervistate avrebbe dichiarato di voler trasferire immediatamente il proprio conto bancario, se avesse saputo che il proprio istituto di credito era stato hackerato. Le spese sostenute per le pubbliche relazioni, necessarie a ristabilire il buon nome delle aziende che dovessero subire un attacco, assumono pertanto una certa importanza.

Infine, le polizze usualmente offerte sul mercato prevedono un massimale per la copertura della responsabilità civile, per resistere alle azioni intentate da soggetti terzi che subissero danni in seguito alla violazione o perdita dei propri dati.

A questo proposito, sarebbe consigliabile che tale massimale fosse commisurato alla tipologia dei dati e delle aziende delle quali si custodiscono le informazioni e all’effettivo ammontare dei dati trattati. 

Con l’emanazione del Gdpr (General data protection regulation), il regolamento europeo cui si è già accennato, in vigore dal 25 maggio 2018, la legislazione comunitaria ha previsto norme precise per il trattamento dei dati personali e impone nuove regole organizzative a tutte le aziende. 

In pratica, infatti, non esiste alcuna società che non debba in qualche modo trattare dati sensibili, che si tratti di quelli relativi a clienti o fornitori, o semplicemente quelli dei dipendenti e collaboratori. 

Il Gdpr impone che ogni azienda sia responsabile di fronte alla legge per tutti i dati trattati e prevede specifici meccanismi di tracciabilità, che richiedono alle aziende di allocare al loro interno figure chiave che rispondano all’Autorità garante per il trattamento dei dati circa le modalità adottate per l’uso e il mantenimento di questi ultimi.

Tra gli obblighi previsti, bisogna ricordare quello di indicare la provenienza dei dati e definirne i tempi di conservazione, quello di comunicare tempestivamente al Garante ogni violazione dei propri database e di predisporre un documento di valutazione di impatto per il trattamento dei dati personali (il Pia – Privacy impact assesment). 

I trasgressori sono soggetti a pesanti sanzioni, commisurate al fatturato prodotto, e bisogna sottolineare che la copertura assicurativa di multe e ammende è inammissibile nella maggior parte dei sistemi giuridici, incluso quello italiano.