Cyber resilience act, l’impatto sull’industria assicurativa

Per orientarci nel quadro delle più recenti evoluzioni normative europee, conviene partire da due provvedimenti che si candidano ad avere un impatto rilevante sul settore assicurativo.

Il primo è il Cyber resilience act (Cra, Regolamento Ue 2024/2847), pubblicato nella Gazzetta ufficiale dell’Unione Europea il 20 novembre 2024 ed entrato in vigore il 10 dicembre 2024. Il calendario applicativo è articolato: alcuni obblighi di natura organizzativa decorreranno dall’11 giugno 2026, le disposizioni sull’incident reporting saranno operative dall’11 settembre 2026, mentre l’intero impianto sarà pienamente efficace dall’11 dicembre 2027.

Il secondo è la nuova e attesa Direttiva sulla responsabilità per i prodotti difettosi (Direttiva Ue 2024/2853), sviluppata in parallelo alla proposta, poi accantonata, di Direttiva sulla responsabilità dell’intelligenza artificiale. Anch’essa è stata pubblicata a novembre 2024 (precisamente il 18) ed è entrata in vigore l’8 dicembre 2024. Gli Stati membri dovranno recepirla nei rispettivi ordinamenti entro il 9 dicembre 2026.

Iniziamo dal Cyber resilience act, che introduce l’obbligo di garantire che ogni dispositivo o software immesso sul mercato europeo sia sicuro by design e by default, due concetti già noti grazie al Gdpr.

Senza alcuna pretesa di esaustività, data la complessità del regolamento, va ricordato che la norma impone ai fabbricanti di condurre analisi dei rischi prima della commercializzazione, di mantenere aggiornato e tracciabile un Software bill of materials (Sbom), di monitorare le vulnerabilità lungo l’intero ciclo di vita del prodotto e di notificare all’Enisa (Agenzia dell’Unione Europea per la cibersicurezza) eventuali incidenti gravi entro 24 ore.

Lo Sbom, semplificando, può essere paragonato a un’etichetta degli ingredienti del software: un elenco delle librerie, dei moduli e delle versioni che lo compongono; conoscere nel dettaglio questi elementi consente di individuare rapidamente eventuali componenti vulnerabili e intervenire con le necessarie correzioni.

Per i prodotti considerati “critici” (ad esempio firewall Ot destinati a proteggere ambienti industriali da accessi e attacchi informatici, oppure sistemi operativi) la conformità richiede procedure più rigorose, con l’intervento di organismi qualificati e test approfonditi.

Un passaggio particolarmente rilevante riguarda i sistemi di intelligenza artificiale classificati come “ad alto rischio” dall’AI Act (Reg. Ue 2024/1689). Se un prodotto digitale rientra in questa categoria e non è escluso dal campo di applicazione del Cyber resilience act (come nel caso, ad esempio, di dispositivi medici, veicoli o aeromobili) si presume conforme al requisito di cybersicurezza previsto dall’articolo 15 dell’AI Act, purché rispetti le prescrizioni contenute nelle parti I e II dell’allegato I del Cra e tale conformità sia attestata nella dichiarazione Ue rilasciata ai sensi dello stesso regolamento.

Rimane comunque necessario dimostrare separatamente la conformità ai requisiti di accuratezza e robustezza del sistema, anch’essi imposti dall’articolo 15 dell’AI Act. 

Il Cyber resilience act introduce, inoltre, una disciplina articolata che coinvolge l’intera filiera, estendendo obblighi specifici non solo ai produttori, ma anche agli importatori e ai distributori. Un’attenzione particolare è riservata anche agli sviluppatori di software open source, per i quali sono previste disposizioni dedicate.

Contestualmente all’adozione del Cyber resilience act, l’Unione Europea ha rivisto in profondità la direttiva sulla responsabilità per danno da prodotti difettosi, estendendone l’ambito oggettivo anche al software, agli aggiornamenti e ai servizi digitali strettamente connessi a prodotti fisici. Il concetto di prodotto, dunque, si amplia significativamente, adattandosi all’evoluzione tecnologica.

Tra gli elementi centrali della nuova disciplina, spicca l’inclusione della sicurezza informatica tra gli standard essenziali che ogni prodotto deve rispettare per non essere considerato difettoso. Viene inoltre attribuita al produttore una responsabilità che non si limita al difetto originario, ma si estende anche a eventuali omissioni negli aggiornamenti o a vulnerabilità sopravvenute nel corso della vita utile del prodotto. La platea dei soggetti potenzialmente responsabili si allarga, coinvolgendo anche gli sviluppatori di software e i fornitori di servizi digitali. In presenza di particolari difficoltà tecniche o forti asimmetrie informative tra le parti, la direttiva prevede, poi, un “alleggerimento” dell’onere della prova a favore dell’acquirente.

Il legame tra la nuova direttiva e il Cyber resilience act è evidente: la violazione degli obblighi di sicurezza previsti dal Cra può costituire, in sede giudiziale, un elemento rilevante per accertare il difetto del prodotto.

Per il settore assicurativo, il Cyber resilience act rappresenta una nuova lente attraverso cui valutare il rischio. I questionari di sottoscrizione dovranno approfondire con maggiore precisione la presenza di un Sbom aggiornato, la tempestività nei processi di remediation e le modalità di esecuzione dei penetration test. La certificazione o la conformità al Cra potrà tradursi, per esempio, in condizioni di premio più favorevoli, in particolare per le polizze di responsabilità civile prodotti o per le coperture cyber.

Al tempo stesso, parte dei rischi oggi coperti dalle polizze cyber potrebbe progressivamente spostarsi verso l’ambito della responsabilità del produttore, rendendo necessaria una revisione sia dei limiti di indennizzo sia delle clausole di esclusione. Questo scenario apre anche la strada, come è stato osservato, a soluzioni assicurative innovative: ad esempio, formule parametriche in grado di attivare automaticamente l’indennizzo qualora una patch non sia rilasciata entro un termine prestabilito, oppure coperture embedded in dispositivi Iot di fascia alta, calcolate sulla base dei dati telemetrici raccolti in tempo reale.

Inoltre, l’obbligo di trasparenza lungo l’intera supply chain impone una valutazione attenta anche del livello di sicurezza offerto dai fornitori di componenti e dalle librerie open source, che oggi rientrano pienamente tra gli elementi soggetti a tracciabilità; si tratta di un aspetto che i modelli attuariali non potranno più permettersi di trascurare.