Data Breach: il trasferimento del rischio informatico
Il Regolamento UE sulla conservazione dei dati e le minacce informatiche sempre più consistenti rappresentano un background che meglio definisce i potenziali rischi cyber per imprese e dirigenti: il mercato assicurativo si sta adeguando alle nuove esigenze
16/02/2017
(PRIMA PARTE)
La nuova normativa introdotta dal Regolamento Europeo n. 2016/679 impone a tutte le aziende, pubbliche e private, e a tutti gli individui che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali, di adottare un’articolata politica di risk management allo scopo di garantire la propria conformità ai requisiti di sicurezza previsti dal Regolamento stesso.
Per la quasi totalità dei soggetti giuridici che operano nella civiltà digitale in cui viviamo si tratta, quindi, di mettere in atto un approccio integrato, non più basato sul semplice concetto di compliance, ma caratterizzato da un’attenta analisi e gestione dei rischi sottesi al trattamento dei dati personali.
La protezione dei dati delle persone fisiche costituisce, infatti, un diritto sancito dall’Articolo 8 della Carta dei diritti fondamentali e dall’Articolo 16 del Trattato sul funzionamento dell’Unione Europea. E poiché i dati personali possono essere violati, danneggiati o distrutti a causa di errori umani o con intenti criminosi, è vitale che i princìpi e le norme che li tutelano siano improntati al pieno rispetto dei diritti di chi li possiede.
Esempi includono gli archivi di società commerciali, nei quali i nomi dei clienti sono associati alle informazioni sulle loro carte di credito o ad altri dati sensibili, oppure le informazioni mediche conservate da assicuratori, medici e ospedali.
Si tratta dunque di assicurare la protezione di tali dati e informazioni personali quando vengano potenzialmente messi a rischio a causa di frodi informatiche, problemi tecnici o errori di qualunque tipo.
GLI OBBLIGHI DEL TITOLARE
Il Regolamento prevede che il Titolare e il Responsabile del trattamento dei dati, figure chiave della nuova normativa, effettuino un’adeguata analisi dei rischi ipotizzabili e la documentino, incorporando i principi della Privacy by design e Privacy by default fin dalla progettazione dei processi aziendali e degli applicativi informatici, per garantire il rispetto delle norme introdotte e impedire eventuali abusi nell’utilizzo di tali informazioni.
Oltre all’obbligo di predisporre tale documento di valutazione del rischio, denominato Privacy Impact Assessment (PIA), e di garantire con adeguati presidi organizzativi l’accountability del soggetto che li tratta, è previsto l’obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza in caso di utilizzo, nonché quello di comunicare tempestivamente al Garante qualsiasi violazione dei propri database.
NASCE L’ESIGENZA DI TRASFERIRE IL RISCHIO INFORMATICO
Quale che sia l’origine della compromissione dei dati personali, gli effetti che ne derivano per le vittime possono essere assai rilevanti, dalla perdita di profitto ai costi di recupero dei sistemi, al danno reputazionale.
Violazioni e compromissioni dei dati, infatti, possono causare accumulazioni di rischio estese alle società interdipendenti attraverso la catena distributiva globale, danneggiando l’intero sistema produttivo di un’azienda e influendo direttamente sulla sua capacità di condurre l’attività svolta, con serie conseguenze per la sua reputazione e costi ingenti per recuperare i dati perduti e per resistere alle eventuali azioni di risarcimento intraprese da terzi, senza parlare delle multe e ammende previste.
Il nuovo Regolamento europeo, infatti, prescrive sanzioni fino a 20.000.000 di euro per i privati e per le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato complessivo per i gruppi societari: cifre cospicue, intese come forte deterrente per tutti i soggetti inadempienti.
Data l’ampiezza e l’estrema complessità che caratterizzano il rischio informatico, al di là dell’obbligo di adottare un’adeguata politica di risk management, si impone dunque la necessità di ricorrere, ove possibile, al trasferimento di una parte dei rischi derivanti dal trattamento dei dati altrui e dalla protezione di quelli propri.
I COSTI DEL CYBER CRIME E IL MERCATO DEI RISCHI INFORMATICI
I costi causati dagli attacchi informatici, che rappresentano solo una parte delle compromissioni totali, sono valutati in circa 500 miliardi all’anno dal Center for Strategic and International Studies, eppure il mercato dei rischi cyber è ancora ai primi stadi del suo sviluppo, nonostante il potenziale premi globale sia stato stimato da Guy Carpenter in circa 2 miliardi all’anno.
Sembra che il mercato europeo rappresenti solo una frazione di tale importo, con circa 150 milioni di dollari, ma l’Europa potrebbe facilmente raggiungere i 700-800 milioni di euro entro il 2018, proprio in virtù dell’entrata in vigore della nuova normativa sulla protezione dei dati sensibili e degli obblighi ivi previsti per le aziende.
In Italia si ritiene che i costi per le perdite dirette da attacchi informatici si aggirino tra 800 e 900 milioni di euro, ma i soli danni alla reputazione e da perdita di profitto sono valutati da McAfee nell’ordine di 8,5 miliardi di euro, pari a circa lo 0,6% del PIL del nostro paese, e le perdite dovute ad interruzioni operative dei sistemi supererebbero addirittura i 14 miliardi di euro.
Oltre al classico cybercrime (furto di dati per trarne vantaggi politici, economici o finanziari), gli attacchi più comuni hanno come obbiettivo:
la diffusione (accesso ai sistemi per propagazione massiva, come accade per lo
spam);
l’hactivism (diffamazione di organizzazioni o divulgazione di dati riservati);
il furto di identità (sottrazione di informazioni personali di cittadini);
la distruzione o cancellazione materiale dei dati, volta ad ostacolare e danneggiare gli affari di una determinata impresa.
Per alcune di queste esposizioni un adeguato livello di risk management resta probabilmente la soluzione più conveniente, dal momento che i prodotti offerti dal mercato assicurativo non sono ancora in grado di coprire la totalità dei rischi ipotizzati.
Le perdite dirette dovute ad atti criminosi come l’estorsione, ad esempio, sono assicurabili solo in alcuni paesi, mentre è ovunque possibile tutelarsi contro le loro conseguenze, come i costi necessari per il recupero dei dati sottratti e per il ripristino e la decontaminazione dei sistemi danneggiati, fino alla perdita di profitto o all’aumento dei costi di esercizio causati dall’interruzione dell’attività esercitata.
Sono queste le garanzie prestate dalle cosiddette “First Party Cyber Policies”, offerte oggi da compagnie specializzate, che coprono i danni propri dell’assicurato in caso di alterazione, distruzione o sottrazione di dati, nonché l’interruzione parziale o totale dell’attività assicurata che ne dovesse derivare.
NON SI TRATTA SOLO DI AZIONI DOLOSE
Bisogna però considerare che solo il 40% delle violazioni ha origine dolosa: la restante parte dei danni subiti dai dati personali, infatti, resta divisa quasi equamente tra guasti nel funzionamento dei sistemi e semplice errore umano.
In questo caso, soluzioni assicurative per la mitigazione del rischio sono disponibili da tempo nei mercati di tutto il mondo e si sono già diffuse anche in Italia.
Si tratta, ad esempio, delle polizze “Tutti i rischi dell’Elettronica”, appartenenti al ramo Rischi Tecnologici, conosciute sin dagli anni Ottanta e originariamente pensate per indennizzare i danni subiti dalle apparecchiature elettroniche, elemento essenziale dell’attività di tutte le società di servizi e delle industrie, con l’affermarsi dei processi produttivi computerizzati.
Questo tipo di polizze, già nate come un prodotto innovativo su base all risks, ha dovuto per forza di cose evolversi con grande rapidità, adattandosi al vertiginoso sviluppo dell’elettronica, fino all’avvento dell’era digitale. Oggi è quindi possibile accedere a soluzioni personalizzate a copertura dei danni subiti da apparecchiature quali computer, impianti telefonici, macchine per analisi mediche e scientifiche, strumenti di controllo e misurazione e altri impianti elettronici, in seguito ad eventi accidentali come incendio, furto, sovratensione elettrica ed eventi atmosferici e catastrofali, inclusi guasti e malfunzionamenti in genere. Sono pure comprese le spese sostenute per il riacquisto delle unità di memorizzazione dei dati danneggiate e il ripristino degli stessi, nonché i maggiori costi per il proseguimento dell’attività con apparecchi sostitutivi e/o metodi di lavoro alternativi.
La nuova normativa introdotta dal Regolamento Europeo n. 2016/679 impone a tutte le aziende, pubbliche e private, e a tutti gli individui che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali, di adottare un’articolata politica di risk management allo scopo di garantire la propria conformità ai requisiti di sicurezza previsti dal Regolamento stesso.
Per la quasi totalità dei soggetti giuridici che operano nella civiltà digitale in cui viviamo si tratta, quindi, di mettere in atto un approccio integrato, non più basato sul semplice concetto di compliance, ma caratterizzato da un’attenta analisi e gestione dei rischi sottesi al trattamento dei dati personali.
La protezione dei dati delle persone fisiche costituisce, infatti, un diritto sancito dall’Articolo 8 della Carta dei diritti fondamentali e dall’Articolo 16 del Trattato sul funzionamento dell’Unione Europea. E poiché i dati personali possono essere violati, danneggiati o distrutti a causa di errori umani o con intenti criminosi, è vitale che i princìpi e le norme che li tutelano siano improntati al pieno rispetto dei diritti di chi li possiede.
Esempi includono gli archivi di società commerciali, nei quali i nomi dei clienti sono associati alle informazioni sulle loro carte di credito o ad altri dati sensibili, oppure le informazioni mediche conservate da assicuratori, medici e ospedali.
Si tratta dunque di assicurare la protezione di tali dati e informazioni personali quando vengano potenzialmente messi a rischio a causa di frodi informatiche, problemi tecnici o errori di qualunque tipo.
GLI OBBLIGHI DEL TITOLARE
Il Regolamento prevede che il Titolare e il Responsabile del trattamento dei dati, figure chiave della nuova normativa, effettuino un’adeguata analisi dei rischi ipotizzabili e la documentino, incorporando i principi della Privacy by design e Privacy by default fin dalla progettazione dei processi aziendali e degli applicativi informatici, per garantire il rispetto delle norme introdotte e impedire eventuali abusi nell’utilizzo di tali informazioni.
Oltre all’obbligo di predisporre tale documento di valutazione del rischio, denominato Privacy Impact Assessment (PIA), e di garantire con adeguati presidi organizzativi l’accountability del soggetto che li tratta, è previsto l’obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza in caso di utilizzo, nonché quello di comunicare tempestivamente al Garante qualsiasi violazione dei propri database.
NASCE L’ESIGENZA DI TRASFERIRE IL RISCHIO INFORMATICO
Quale che sia l’origine della compromissione dei dati personali, gli effetti che ne derivano per le vittime possono essere assai rilevanti, dalla perdita di profitto ai costi di recupero dei sistemi, al danno reputazionale.
Violazioni e compromissioni dei dati, infatti, possono causare accumulazioni di rischio estese alle società interdipendenti attraverso la catena distributiva globale, danneggiando l’intero sistema produttivo di un’azienda e influendo direttamente sulla sua capacità di condurre l’attività svolta, con serie conseguenze per la sua reputazione e costi ingenti per recuperare i dati perduti e per resistere alle eventuali azioni di risarcimento intraprese da terzi, senza parlare delle multe e ammende previste.
Il nuovo Regolamento europeo, infatti, prescrive sanzioni fino a 20.000.000 di euro per i privati e per le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato complessivo per i gruppi societari: cifre cospicue, intese come forte deterrente per tutti i soggetti inadempienti.
Data l’ampiezza e l’estrema complessità che caratterizzano il rischio informatico, al di là dell’obbligo di adottare un’adeguata politica di risk management, si impone dunque la necessità di ricorrere, ove possibile, al trasferimento di una parte dei rischi derivanti dal trattamento dei dati altrui e dalla protezione di quelli propri.
I COSTI DEL CYBER CRIME E IL MERCATO DEI RISCHI INFORMATICI
I costi causati dagli attacchi informatici, che rappresentano solo una parte delle compromissioni totali, sono valutati in circa 500 miliardi all’anno dal Center for Strategic and International Studies, eppure il mercato dei rischi cyber è ancora ai primi stadi del suo sviluppo, nonostante il potenziale premi globale sia stato stimato da Guy Carpenter in circa 2 miliardi all’anno.
Sembra che il mercato europeo rappresenti solo una frazione di tale importo, con circa 150 milioni di dollari, ma l’Europa potrebbe facilmente raggiungere i 700-800 milioni di euro entro il 2018, proprio in virtù dell’entrata in vigore della nuova normativa sulla protezione dei dati sensibili e degli obblighi ivi previsti per le aziende.
In Italia si ritiene che i costi per le perdite dirette da attacchi informatici si aggirino tra 800 e 900 milioni di euro, ma i soli danni alla reputazione e da perdita di profitto sono valutati da McAfee nell’ordine di 8,5 miliardi di euro, pari a circa lo 0,6% del PIL del nostro paese, e le perdite dovute ad interruzioni operative dei sistemi supererebbero addirittura i 14 miliardi di euro.
Oltre al classico cybercrime (furto di dati per trarne vantaggi politici, economici o finanziari), gli attacchi più comuni hanno come obbiettivo:
la diffusione (accesso ai sistemi per propagazione massiva, come accade per lo
spam);
l’hactivism (diffamazione di organizzazioni o divulgazione di dati riservati);
il furto di identità (sottrazione di informazioni personali di cittadini);
la distruzione o cancellazione materiale dei dati, volta ad ostacolare e danneggiare gli affari di una determinata impresa.
Per alcune di queste esposizioni un adeguato livello di risk management resta probabilmente la soluzione più conveniente, dal momento che i prodotti offerti dal mercato assicurativo non sono ancora in grado di coprire la totalità dei rischi ipotizzati.
Le perdite dirette dovute ad atti criminosi come l’estorsione, ad esempio, sono assicurabili solo in alcuni paesi, mentre è ovunque possibile tutelarsi contro le loro conseguenze, come i costi necessari per il recupero dei dati sottratti e per il ripristino e la decontaminazione dei sistemi danneggiati, fino alla perdita di profitto o all’aumento dei costi di esercizio causati dall’interruzione dell’attività esercitata.
Sono queste le garanzie prestate dalle cosiddette “First Party Cyber Policies”, offerte oggi da compagnie specializzate, che coprono i danni propri dell’assicurato in caso di alterazione, distruzione o sottrazione di dati, nonché l’interruzione parziale o totale dell’attività assicurata che ne dovesse derivare.
NON SI TRATTA SOLO DI AZIONI DOLOSE
Bisogna però considerare che solo il 40% delle violazioni ha origine dolosa: la restante parte dei danni subiti dai dati personali, infatti, resta divisa quasi equamente tra guasti nel funzionamento dei sistemi e semplice errore umano.
In questo caso, soluzioni assicurative per la mitigazione del rischio sono disponibili da tempo nei mercati di tutto il mondo e si sono già diffuse anche in Italia.
Si tratta, ad esempio, delle polizze “Tutti i rischi dell’Elettronica”, appartenenti al ramo Rischi Tecnologici, conosciute sin dagli anni Ottanta e originariamente pensate per indennizzare i danni subiti dalle apparecchiature elettroniche, elemento essenziale dell’attività di tutte le società di servizi e delle industrie, con l’affermarsi dei processi produttivi computerizzati.
Questo tipo di polizze, già nate come un prodotto innovativo su base all risks, ha dovuto per forza di cose evolversi con grande rapidità, adattandosi al vertiginoso sviluppo dell’elettronica, fino all’avvento dell’era digitale. Oggi è quindi possibile accedere a soluzioni personalizzate a copertura dei danni subiti da apparecchiature quali computer, impianti telefonici, macchine per analisi mediche e scientifiche, strumenti di controllo e misurazione e altri impianti elettronici, in seguito ad eventi accidentali come incendio, furto, sovratensione elettrica ed eventi atmosferici e catastrofali, inclusi guasti e malfunzionamenti in genere. Sono pure comprese le spese sostenute per il riacquisto delle unità di memorizzazione dei dati danneggiate e il ripristino degli stessi, nonché i maggiori costi per il proseguimento dell’attività con apparecchi sostitutivi e/o metodi di lavoro alternativi.
© RIPRODUZIONE RISERVATA
