Cyber Attacks: sfide tecnologiche e problematiche assicurative
Gli attacchi informatici sono in crescita e puntano soprattutto al furto di identità. I danni indiretti di simili attacchi sono difficilmente quantificabili ma vanno dal danno reputazionale alla responsabilità civile, con riflessi che si inquadrano nelle polizze D&O e di tutela legale
20/11/2014
In un'intervista al Daily Telegraph (1), Benjamin Lawsky, sovrintendente del Dipartimento dei Servizi Finanziari dello Stato di New York, ha affermato: "E' solo questione di tempo prima che si verifichi un grave attacco informatico sul sistema finanziario globale. Abbiamo dunque bisogno di investire seriamente per cercare di prevenire il disastro ora, o pagheremo presto un prezzo assai più alto". "Loro (gli hackers) si stanno insinuando dappertutto. È solo una questione di tempo prima che accada qualcosa di veramente sistemico".
La società americana SafeNet, leader nella sicurezza informatica, ha recentemente pubblicato i risultati dello studio Breach Level Index (BLI), che mette in evidenza i maggiori rischi legati alla criminalità informatica.
Lo studio rileva che, nel periodo compreso tra aprile e giugno di quest'anno, sono stati registrati 237 attacchi informatici, che hanno compromesso più di 175 milioni di dati, contenenti informazioni personali e finanziarie di individui in tutto il mondo.
Sembra che, solo nel primo semestre dell'anno, siano state rubate o smarrite più di 375 milioni di informazioni, a seguito di 559 casi di criminalità informatica.
Il furto di identità rappresenta il 58% degli eventi e l'88% dei dati rubati.
A guidare la classifica di casi di criminalità informatica, con l'88% dei file manipolati in tutto il mondo, sono gli Stati Uniti; la Germania è al secondo posto, con una quota del 10%.
SafeNet ha anche condotto un sondaggio sulla fedeltà informatica dei clienti, rivelando che il 40% degli oltre 4.500 consumatori intervistati rifiuta di intrattenere rapporti d'affari con una società che ha subito una violazione della sicurezza dei dati.
Tale percentuale sale al 65% se la violazione si riferisce a dati finanziari.
Secondo gli esperti di Guy Carpenter, "gli attacchi informatici rappresentano per i governi del mondo uno tra i più gravi rischi per la sicurezza economica e nazionale".
In un nuovo rapporto (2), il broker riassicurativo afferma che i costi sostenuti dalle imprese a seguito di violazioni dei loro sistemi informatici possono essere considerevoli, dalla perdita di affari, al ripristino dei sistemi, ai danni reputazionali.
I COSTI DEI DANNI
Anche i danni a terzi possono essere rilevanti, poiché le aziende sono responsabili della violazione dei dati dei loro clienti e possono dover fronteggiare azioni collettive di risarcimento da parte di questi ultimi.
I costi conseguenti agli attacchi informatici possono inoltre includere gli onorari degli avvocati per la difesa delle aziende in tribunale o per tentare transazioni extragiudiziali, nonché per consulenze e perizie di vario genere, incluse le spese e le misure adottate per informare i clienti.
Gli attacchi informatici possono anche determinare cumuli di rischio in grado di impattare sulle società sussidiarie e consociate e sui fornitori e clienti che costituiscono l'intera supply chain delle aziende.
Perfino l'assicurazione della responsabilità civile di amministratori e sindaci (D&O) può essere interessata dal cyber risk, in quanto questi ultimi si trovano ad affrontare gli azionisti per non avere posto in essere adeguate misure di sicurezza informatica.
È un dato di fatto che i cyber attacks siano elencati tra i primi cinque rischi a livello globale, nella relazione di quest'anno del World Economic Forum.
Cinzia Altomare, Gen Re
Con la crescente gravità e frequenza di attacchi e violazioni di dati in tutto il mondo, la domanda di assicurazione per il cyber risk è in crescita.
Si ritiene che il mercato per questo tipo di assicurazioni sia nato già intorno al 1996.
Da allora si è sviluppato fino a comprendere molti tipi di copertura ed oggi "cyber" è un termine usato genericamente per descrivere un certo numero di soluzioni, in grado di coprire l'intero sistema informatico di un'organizzazione, compresi dati ed attività multimediali.
Queste coperture sono progettate per includere sia i rischi property che i rischi liability: tra i rischi property si annoverano distruzione, danneggiamento o furto di informazioni e dati elettronici a causa di un guasto del sistema informatico o di rete, estorsioni o minacce di rilascio di informazioni riservate o di violazione della sicurezza informatica, danni da interruzione d'esercizio - comprese le spese sostenute per un errore di sistema del computer o per la violazione della sicurezza della rete - oppure causati dall'interruzione di una fornitura di servizi a seguito dei medesimi eventi); tra i rischi liability si contano la responsabilità civile derivante dalla divulgazione di informazioni commerciali o personali riservate, risarcimento delle perdite economiche di terzi a causa di un guasto nella sicurezza della rete, spese di difesa e copertura di multe e sanzioni per violazione della normativa sulla privacy, etc.
Possono pure essere compresi i costi di crisis management o sostenuti in seguito a furto di identità, come le spese per indagini scientifiche, le spese legali e quelle di notifica o di pubblicità, oppure i costi di monitoraggio del credito nel caso di furto di identità perpetrato allo scopo di ottenere accesso ad una linea di credito.
QUANTO VALE IL MERCATO DEL CYBER RISK
Tuttavia, la complessità del fenomeno, l'entità potenzialmente devastante delle sue conseguenze e la mancanza di dati storici e scientificamente attendibili costituiscono un grosso ostacolo per gli attuari ed i sottoscrittori che cercassero di parametrare questo rischio, per valutarlo e quotarlo adeguatamente. Sono pertanto ancora poche le compagnie di assicurazione e riassicurazione in grado di coprirlo.
D'altro canto, i potenziali acquirenti sembrano ancora incerti sul tipo di copertura ed i limiti da acquistare, probabilmente a causa delle difficoltà nella valutazione del rischio effettivamente corso e nella quantificazione delle eventuali perdite da esso derivanti.
Pertanto, anche se in una stima pubblicata nel giugno di quest'anno dal Centro per gli Studi Strategici ed Internazionali di Washington si ritiene che la criminalità informatica costi all'economia globale ben 445 miliardi di dollari all'anno, il mercato del cyber risk resta ancora in uno stadio di pre-sviluppo, pur avendo la possibilità di raggiungere l'ammontare di 2 miliardi di dollari di premi entro l'anno, secondo la valutazione effettuata da Guy Carpenter.
Marsh stima che il mercato europeo valga attualmente solo una frazione di tale importo, attestandosi intorno ai 150 milioni di dollari, ma che potrebbe raggiungere la dimensione di 700-900 milioni di euro entro il 2018.
In particolare, esso potrebbe ricevere grande impulso dalla normativa sulla protezione dei dati in via di promulgazione, che prevederà l'obbligo di pubblicare gli eventuali casi di violazione dei dati dei clienti da parte delle aziende.
IN EUROPA COSA CAMBIA?
In Europa la protezione dei dati personali è vista come un diritto umano ed esiste un'ampia regolamentazione per la salvaguardia della privacy dei cittadini. Il trattamento dei dati sensibili è soggetto a condizioni rigorose, il mancato rispetto delle quali prevede anche sanzioni monetarie (attualmente pari ad EUR 600.000 per infrazione).
Inoltre non si è ancora veramente diffuso l'istituto della class action e forse anche per questo sono ancora i rischi derivanti dall'interruzione di esercizio ed i danni alla supply chain ad essere considerati come i più pericolosi dai risk managers delle società europee.
Nel febbraio del 2013, la Commissione europea ha proposto la direttiva sulla sicurezza informatica (3), contenente misure per imporre alle imprese i requisiti minimi di sicurezza delle reti informatiche.
L'Unione sta ora aggiornando il proprio regolamento sulla protezione dei dati, che entrerà in vigore entro il 2015, con un periodo di attuazione di due anni. La riforma avrà lo scopo di armonizzare il diritto europeo e introdurre nuove misure, tra cui l'obbligo di notificare le violazioni e di rimuovere i dati di coloro che volessero revocare il loro consenso a trattarli. Dovrebbero anche aumentare le multe e le penalità per i casi di inadempienza.
Cinzia Altomare,
Gen Re
1)World must prepare for 'Armageddon'-style cyber attack, warns US regulator - 09/22/2014 - Fonte: Daily Telegraph (UK)
2)Ahead of the Curve: Understanding Emerging Risks - Guy Carpenter: Emerging Risks Report, September 20141) http://ec.europa.eu/digital-agenda/en/cybersecurity
3) http://ec.europa.eu/digital-agenda/en/cybersecurity
La società americana SafeNet, leader nella sicurezza informatica, ha recentemente pubblicato i risultati dello studio Breach Level Index (BLI), che mette in evidenza i maggiori rischi legati alla criminalità informatica.
Lo studio rileva che, nel periodo compreso tra aprile e giugno di quest'anno, sono stati registrati 237 attacchi informatici, che hanno compromesso più di 175 milioni di dati, contenenti informazioni personali e finanziarie di individui in tutto il mondo.
Sembra che, solo nel primo semestre dell'anno, siano state rubate o smarrite più di 375 milioni di informazioni, a seguito di 559 casi di criminalità informatica.
Il furto di identità rappresenta il 58% degli eventi e l'88% dei dati rubati.
A guidare la classifica di casi di criminalità informatica, con l'88% dei file manipolati in tutto il mondo, sono gli Stati Uniti; la Germania è al secondo posto, con una quota del 10%.
SafeNet ha anche condotto un sondaggio sulla fedeltà informatica dei clienti, rivelando che il 40% degli oltre 4.500 consumatori intervistati rifiuta di intrattenere rapporti d'affari con una società che ha subito una violazione della sicurezza dei dati.
Tale percentuale sale al 65% se la violazione si riferisce a dati finanziari.
Secondo gli esperti di Guy Carpenter, "gli attacchi informatici rappresentano per i governi del mondo uno tra i più gravi rischi per la sicurezza economica e nazionale".
In un nuovo rapporto (2), il broker riassicurativo afferma che i costi sostenuti dalle imprese a seguito di violazioni dei loro sistemi informatici possono essere considerevoli, dalla perdita di affari, al ripristino dei sistemi, ai danni reputazionali.
I COSTI DEI DANNI
Anche i danni a terzi possono essere rilevanti, poiché le aziende sono responsabili della violazione dei dati dei loro clienti e possono dover fronteggiare azioni collettive di risarcimento da parte di questi ultimi.
I costi conseguenti agli attacchi informatici possono inoltre includere gli onorari degli avvocati per la difesa delle aziende in tribunale o per tentare transazioni extragiudiziali, nonché per consulenze e perizie di vario genere, incluse le spese e le misure adottate per informare i clienti.
Gli attacchi informatici possono anche determinare cumuli di rischio in grado di impattare sulle società sussidiarie e consociate e sui fornitori e clienti che costituiscono l'intera supply chain delle aziende.
Perfino l'assicurazione della responsabilità civile di amministratori e sindaci (D&O) può essere interessata dal cyber risk, in quanto questi ultimi si trovano ad affrontare gli azionisti per non avere posto in essere adeguate misure di sicurezza informatica.
È un dato di fatto che i cyber attacks siano elencati tra i primi cinque rischi a livello globale, nella relazione di quest'anno del World Economic Forum.
Cinzia Altomare, Gen Re
Con la crescente gravità e frequenza di attacchi e violazioni di dati in tutto il mondo, la domanda di assicurazione per il cyber risk è in crescita.
Si ritiene che il mercato per questo tipo di assicurazioni sia nato già intorno al 1996.
Da allora si è sviluppato fino a comprendere molti tipi di copertura ed oggi "cyber" è un termine usato genericamente per descrivere un certo numero di soluzioni, in grado di coprire l'intero sistema informatico di un'organizzazione, compresi dati ed attività multimediali.
Queste coperture sono progettate per includere sia i rischi property che i rischi liability: tra i rischi property si annoverano distruzione, danneggiamento o furto di informazioni e dati elettronici a causa di un guasto del sistema informatico o di rete, estorsioni o minacce di rilascio di informazioni riservate o di violazione della sicurezza informatica, danni da interruzione d'esercizio - comprese le spese sostenute per un errore di sistema del computer o per la violazione della sicurezza della rete - oppure causati dall'interruzione di una fornitura di servizi a seguito dei medesimi eventi); tra i rischi liability si contano la responsabilità civile derivante dalla divulgazione di informazioni commerciali o personali riservate, risarcimento delle perdite economiche di terzi a causa di un guasto nella sicurezza della rete, spese di difesa e copertura di multe e sanzioni per violazione della normativa sulla privacy, etc.
Possono pure essere compresi i costi di crisis management o sostenuti in seguito a furto di identità, come le spese per indagini scientifiche, le spese legali e quelle di notifica o di pubblicità, oppure i costi di monitoraggio del credito nel caso di furto di identità perpetrato allo scopo di ottenere accesso ad una linea di credito.
QUANTO VALE IL MERCATO DEL CYBER RISK
Tuttavia, la complessità del fenomeno, l'entità potenzialmente devastante delle sue conseguenze e la mancanza di dati storici e scientificamente attendibili costituiscono un grosso ostacolo per gli attuari ed i sottoscrittori che cercassero di parametrare questo rischio, per valutarlo e quotarlo adeguatamente. Sono pertanto ancora poche le compagnie di assicurazione e riassicurazione in grado di coprirlo.
D'altro canto, i potenziali acquirenti sembrano ancora incerti sul tipo di copertura ed i limiti da acquistare, probabilmente a causa delle difficoltà nella valutazione del rischio effettivamente corso e nella quantificazione delle eventuali perdite da esso derivanti.
Pertanto, anche se in una stima pubblicata nel giugno di quest'anno dal Centro per gli Studi Strategici ed Internazionali di Washington si ritiene che la criminalità informatica costi all'economia globale ben 445 miliardi di dollari all'anno, il mercato del cyber risk resta ancora in uno stadio di pre-sviluppo, pur avendo la possibilità di raggiungere l'ammontare di 2 miliardi di dollari di premi entro l'anno, secondo la valutazione effettuata da Guy Carpenter.
Marsh stima che il mercato europeo valga attualmente solo una frazione di tale importo, attestandosi intorno ai 150 milioni di dollari, ma che potrebbe raggiungere la dimensione di 700-900 milioni di euro entro il 2018.
In particolare, esso potrebbe ricevere grande impulso dalla normativa sulla protezione dei dati in via di promulgazione, che prevederà l'obbligo di pubblicare gli eventuali casi di violazione dei dati dei clienti da parte delle aziende.
IN EUROPA COSA CAMBIA?
In Europa la protezione dei dati personali è vista come un diritto umano ed esiste un'ampia regolamentazione per la salvaguardia della privacy dei cittadini. Il trattamento dei dati sensibili è soggetto a condizioni rigorose, il mancato rispetto delle quali prevede anche sanzioni monetarie (attualmente pari ad EUR 600.000 per infrazione).
Inoltre non si è ancora veramente diffuso l'istituto della class action e forse anche per questo sono ancora i rischi derivanti dall'interruzione di esercizio ed i danni alla supply chain ad essere considerati come i più pericolosi dai risk managers delle società europee.
Nel febbraio del 2013, la Commissione europea ha proposto la direttiva sulla sicurezza informatica (3), contenente misure per imporre alle imprese i requisiti minimi di sicurezza delle reti informatiche.
L'Unione sta ora aggiornando il proprio regolamento sulla protezione dei dati, che entrerà in vigore entro il 2015, con un periodo di attuazione di due anni. La riforma avrà lo scopo di armonizzare il diritto europeo e introdurre nuove misure, tra cui l'obbligo di notificare le violazioni e di rimuovere i dati di coloro che volessero revocare il loro consenso a trattarli. Dovrebbero anche aumentare le multe e le penalità per i casi di inadempienza.
Cinzia Altomare,
Gen Re
1)World must prepare for 'Armageddon'-style cyber attack, warns US regulator - 09/22/2014 - Fonte: Daily Telegraph (UK)
2)Ahead of the Curve: Understanding Emerging Risks - Guy Carpenter: Emerging Risks Report, September 20141) http://ec.europa.eu/digital-agenda/en/cybersecurity
3) http://ec.europa.eu/digital-agenda/en/cybersecurity
© RIPRODUZIONE RISERVATA
