L’impatto del Covid-19 sull’assicurazione cyber

Quanto alla normativa di riferimento, la fonte primaria è rappresentata dal Regolamento Europeo n. 679/2016 per la Protezione dei Dati (meglio conosciuto come Gdpr, General data protection regulation), pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016. Il Regolamento, che con la direttiva Ue 680/2016 costituisce il cosiddetto “pacchetto dati personali”, ha previsto le “linee guida” da adottare in materia di protezione delle persone fisiche con riguardo al trattamento dei dati, nonché alla libera circolazione dei dati stessi. Il fine ultimo è quello di armonizzazione le regole privacy dei vari Stati membri e di sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software. Questo obiettivo viene perseguito, imponendo a imprese e pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, cosicché la protezione dei dati personali diventi, finalmente, un asset strategico da valutarsi compiutamente già nel momento di progettazione di nuove procedure, prodotti o servizi, abbandonando quelle derive burocratiche che hanno negli anni relegato la protezione dei dati personali a un mero adempimento formale di sottoscrizione per presa visione dell’informativa o per il consenso al trattamento di dati sanitari. Tra i principali meriti del Regolamento, vi è certamente quello di aver introdotto nel nostro ordinamento la nuova figura del Data protection officer (responsabile della protezione dei dati personali) che deve sempre essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali e deve presidiare i profili privacy organizzativi delle imprese. Senza pretesa di esaustività sull’argomento, può affermarsi che il Dpo rappresenti la figura che, anche per i trattamenti derivanti dall’emergenza sanitaria, può e deve supportare il Titolare o il Responsabile del trattamento per verificare la conformità delle loro organizzazioni alla normativa. 

Quanto alla normativa nazionale, si evidenzia che la legge sulla Privacy, d.Lgs 196 del 2003, è stata di recente modificata dal d.Lgs. 101/2018, entrato in vigore dal 19 settembre, che l’ha armonizzata e attualizzata con le indicazioni del Regolamento Ue 2016/679, norma di rango superiore.

Con la novella europea, si è di fatto profondamente modificato l’approccio alla tutela della privacy come intesa dal vecchio codice, grazie all’introduzione del fondamentale principio dell’accountability (o responsabilizzazione). ll precedente codice della privacy era infatti caratterizzato da un approccio più reattivo che preventivo, maggiormente focalizzato sulla regolamentazione delle sanzioni e dei rimedi alle possibili violazioni.

Il risultato dell’intervento operato con d.Lgs 101/2018, è quindi consistito nel dare al Codice della Privacy una struttura e un contenuto in tutto e per tutto coordinati rispetto al Gdpr.

Così perimetrato l’ambito normativo di riferimento, e tornando a discorrere delle ricadute che i transiti emergenziali hanno comportato anche in questo specifico settore, il ruolo di sostegno socio economico riconosciuto al comparto assicurativo sarà quindi sempre più enfatizzato e stressato nei prossimi mesi, durante i quali verrà chiesto ai player del settore uno sforzo di avvicinamento e di presa in carico dei bisogni e dei rischi massivamente toccati dalla presente crisi. 

In tal senso, Eiopa ha proprio di recente posto tra le sue priorità strategiche la creazione di un solido mercato per l’assicurazione del cyber risk, anche mediante la creazione di prodotti stand alone, obiettivo questo considerato necessario per favorire l’ulteriore sviluppo dell’economia digitale (vedasi Strategy on cyber underwriting). 

Il progetto da un lato si fonda sull’azione catalizzatrice da parte di Eiopa, tesa a favorire un dialogo continuo tra assicuratori e assicurati rispetto alle esigenze di copertura e alla comprensione delle condizioni d’assicurazione; dall’altro lato su un’attività di supervisione volta a garantire pratiche appropriate di sottoscrizione del rischio.

E proprio con riguardo a tale ultimo aspetto, l’autorità non ha mancato di far presente che il cyber risk debba oggi essere sempre più considerato alla stregua di un rischio sistemico, con conseguente necessità di attento monitoraggio e di un confronto attivo per considerare eventuali misure di protezione, che veda protagonisti il settore assicurativo, la Commissione Europea e il Comitato europeo per il rischio sistemico. Ciò, anche al fine di modulare al meglio le coperture assicurative e consentire una puntuale valutazione del rischio. Si tratterà quindi di raccogliere i dati su scala europea riguardanti i cyber incident, mediante la creazione di un database anonimo centralizzato, che ne consenta la tassonomia e la condivisione a supporto della sottoscrizione appropriata di questo tipo di rischio. Sul piano pratico, e in ossequio alla moderna concezione di una assicurazione danni volta a prevenire prima che a indennizzare, le compagnie potranno verificare tramite i questionari ogni forma di misura attuata dall’azienda per far fronte ai rischi cyber; potranno accedere, per la difesa dell’azienda, al modello implementato sulla scorta del regolamento europeo, all’iter di prevenzione attuato e alla trattazione del processo istruttorio, circostanza che garantirebbe un rilevante vantaggio in fase assuntiva per fornire il prodotto coerente; infine, dovranno poter contare sull’intervento di periti specializzati in attacchi cyber al fine di poter compiutamente valutare la vulnerabilità dei sistemi da assicurare. Ciò ovviamente potrebbe consentire la formulazione di servizi abbinati di gestione specifica del rischio cyber. La finalità, anche dando seguito alla ratio ispiratrice della normativa di riferimento, è votata, come detto, a una maggiore responsabilizzazione dell’assicurato. Non più, quindi, soggetto avente un ruolo meramente passivo, bensì protagonista attivo cui è richiesto di implementare un collegamento funzionale delle attività al rischio assicurato, cosicché il bene o il servizio riesca a intercettarlo, gestirlo e mitigarlo, operazione di certo commendevole anche ai fini Pog. 

(La prima parte dell’articolo è stata pubblicata su Insurance Daily di venerdì 24 settembre)