Cyber: il rischio nascosto nelle polizze
Un rischio nuovo deve essere metabolizzato da tutti coloro che, a diverso titolo ne possono essere coinvolti. Anche le compagnie assicurative necessitano di riallineare i propri prodotti alla luce dei casi reali. In questo, la giurisprudenza americana può fornire utili esempi
23/02/2017
(PRIMA PARTE)
Il rischio cyber è ormai divenuto un pericolo concreto e rilevante per imprese e privati, e cresce vistosamente la consapevolezza della necessità di munirsi di adeguate coperture assicurative. Il mercato italiano è ancora in una fase iniziale, con un numero relativamente ristretto di compagnie che operano con proprie polizze, e che frequentemente propongono testi già collaudati in Paesi in cui la copertura dei rischi cyber è molto più sviluppata. L’uso di tali polizze spesso determina difficoltà di interpretazione e applicazione, dal momento che si tratta di testi pensati per sistemi legali diversi, e la traduzione in italiano di clausole concepite per operare in ordinamenti di common law a volte determina incertezze. Va aggiunto che la categoria dei rischi cyber è notoriamente ampia e variegata. Essa include i danni nascenti dalla perdita di dati, la divulgazione di informazioni altamente sensitive al pubblico o a concorrenti; si estende ai danni reputazionali, ai danni economici da interruzione di attività produttive o nascenti dall’impatto che sul mercato azionario ha la divulgazione di notizie aventi a oggetto casi di hackeraggio estesi e potenzialmente suscettibili (soprattutto negli Usa e nel Regno Unito) a far scattare class actions con richieste risarcitorie elevate. Si pensi ad esempio al caso Target del 2014, con la divulgazione del numero delle carte di credito e di dati di 110 milioni di clienti, in cui l’importo complessivo corrisposto per la transazione è stato di 290 milioni di dollari. Non sorprende a questo punto se nel settore cyber l’assunzione dei rischi implica notoriamente difficoltà di quotazione, perché i dati suscettibili di divulgazione o di uso illecito per effetto di accessi a opera di terzi possono variare in modo significativo.
LA RESPONSABILITÀ DEGLI AMMINISTRATORI
Tuttavia, il rischio di intrusioni nel proprio sistema informatico ormai non può più essere trascurato, come dimostrano l’esperienza quotidiana e le cronache da ogni Paese del mondo. Come è stato efficacemente evidenziato da Robert S. Mueller, director dell’F.B.I. “there are only two types of companies: those that have been hacked and those that will be”1. In questo contesto è interessante analizzare cosa è accaduto negli ultimi anni in Usa e Regno Unito, e in particolare gli insegnamenti che possono trarsi dai recenti casi giudiziari. Il dato che emerge è la crescita esponenziale del rischio per gli amministratori di società vittime di azioni di hackeraggio di subire azioni di responsabilità da parte di soci e azionisti che lamentano la mancata adozione di misure preventive e protettive. Si pensi, ad esempio, alle azioni intraprese nel corso del 2014 in Usa nei confronti degli amministratori di Target e Wyndham Worldwide, e al giudizio intrapreso nel settembre 2015 nei confronti di 12 directors & officers di Home Depot, da parte di azionisti che avevano sostenuto che gli amministratori avevano violato “their fiduciary duties of loyalty, good faith and due care by knowingly and in conscious disregard of their duties failing to ensure that Home Depot took reasonable measures to protect its costumers’ personal and financial information”. È interessante rilevare che nel giudizio gli attori avevano richiamato i precedenti Target e Wyndham, sostenendo che essi rappresentavano un “fair warning” dei rischi legati a cyber attacks: dunque, l’esistenza di precedenti è stata utilizzata per argomentare che la soglia di diligenza posta a carico degli amministratori nel prevenire azioni di hackeraggio si è progressivamente innalzata, e che il fenomeno è divenuto talmente esteso e rilevante da imporre un’attività specifica. È un dato da considerare con attenzione, soprattutto tenuto conto che nelle coperture D&O è spesso presente una cyber esclusion che recita “including cyber security breach e data breach”.
1 h ps://archives. i.gov/archives/news/speeches/comba ng-threats-in-the-cyber-world-outsmar ng-terrorists-hackers
I “NON DETTO” DELLE COPERTURE
Un altro dato che emerge dall’esame dei precedenti disponibili nella giurisprudenza Usa è la difficoltà di applicare testi di polizza evidentemente concepiti in un contesto diverso e ormai risalente a fattispecie in cui le attività di accesso illegittime a dati sensibili hanno avuto dimensioni inusitate e prodotto danni di entità difficilmente immaginabile anche solo poco tempo fa. In particolare si è rilevato complesso accertare se danni e spese sostenute dagli assicurati rientrassero in copertura, soprattutto in relazione alla prova che i dati trafugati avessero ricevuto o meno divulgazione. Esemplare al riguardo è il caso del 2015 Recall total information management Inc v. Federal Insurance Co. 2. Recall total information management aveva un contratto con Ibm Corporation per la raccolta e la custodia di banche dati contenenti dati e informazioni sensibili relativi a impiegati Ibm. Recall si era avvalsa di un vettore terrestre per il trasporto di tali dati; nel corso di un trasporto il vettore aveva perduto un collo, con dati di migliaia di impiegati Ibm. Non vi era nessuna evidenza che vi fosse stato accesso al materiale da parte di terzi, ma Ibm aveva tuttavia sostenuto costi pari a 6 milioni di dollari per l’acquisto di “identity theft services”. Ibm aveva chiesto il rimborso delle somme sostenute a Recall, che a sua volta aveva chiesto l’indennizzo agli assicuratori, facendo leva sulla previsione di polizza che copriva i casi di “injury... caused by an offense of (...) electronic, oral, written or other publication of material that (...) violates a person’s right of privacy”. La richiesta è stata tuttavia respinta in giudizio, perché la Corte ha ritenuto che la “personal injury clause” contenuta nella polizza non fosse operante, non essendosi verificata alcuna publication.
2 Recall Total Informa on Management, Inc., et al. v Federal Insurance Company, et al., Conn. App. 2014 WL 43529 (Conn. App. Ct. Jan 14, 2014)
L’INCOGNITA DELLE CLASS ACTION
Profili in parte analoghi si sono presentati in un caso più recente (Travelers Indem. Co. of Am. v. Portal Healthcare Solutions, LLC)3 nel quale Travelers è stata dichiarata obbligata a tenere indenne Portal Healthcare Solutions in relazione a una class action promossa a New York. Nel caso in commento due pazienti del Glen Falls Hospital avevano sostenuto che nel fare una ricerca su Google il primo link che appariva portava alle cartelle mediche di entrambi presso l’ospedale. Avevano dunque promosso una class action nei confronti di Portal (che curava la custodia dei dati dei pazienti dell’ospedale) responsabile di aver reso “accessible, viewable, copyable, printable, and downloadable from the Internet by unauthorized persons without security restriction from November 2, 2012 to March 14, 2013”. La copertura assicurativa di Portal copriva “electronic publication of material that (…) discloses information about a person’s private life”. Travelers aveva contestato la sussistenza copertura assicurativa, ma la Corte ha accolto la domanda dell’assicurata, sostenendo che “unintentional publication is still a publication (…) publication occurs when information is ‘placed before the public,’ not when a member of the public reads the information placed before it”. Il Tribunale in particolare ha evidenziato che accogliere la tesi di Travelers (che negava si fosse verificata una “publication”) equivaleva a ritenere che un libro disponibile sugli scaffali di Barnes & Noble (una nota libreria negli Usa) non è “published” fino al momento in cui un cliente non lo preleva e lo sfoglia. (La seconda e la terza parte dell’articolo verranno pubblicate nelle prossime settimane su Insurance Daily)
Il rischio cyber è ormai divenuto un pericolo concreto e rilevante per imprese e privati, e cresce vistosamente la consapevolezza della necessità di munirsi di adeguate coperture assicurative. Il mercato italiano è ancora in una fase iniziale, con un numero relativamente ristretto di compagnie che operano con proprie polizze, e che frequentemente propongono testi già collaudati in Paesi in cui la copertura dei rischi cyber è molto più sviluppata. L’uso di tali polizze spesso determina difficoltà di interpretazione e applicazione, dal momento che si tratta di testi pensati per sistemi legali diversi, e la traduzione in italiano di clausole concepite per operare in ordinamenti di common law a volte determina incertezze. Va aggiunto che la categoria dei rischi cyber è notoriamente ampia e variegata. Essa include i danni nascenti dalla perdita di dati, la divulgazione di informazioni altamente sensitive al pubblico o a concorrenti; si estende ai danni reputazionali, ai danni economici da interruzione di attività produttive o nascenti dall’impatto che sul mercato azionario ha la divulgazione di notizie aventi a oggetto casi di hackeraggio estesi e potenzialmente suscettibili (soprattutto negli Usa e nel Regno Unito) a far scattare class actions con richieste risarcitorie elevate. Si pensi ad esempio al caso Target del 2014, con la divulgazione del numero delle carte di credito e di dati di 110 milioni di clienti, in cui l’importo complessivo corrisposto per la transazione è stato di 290 milioni di dollari. Non sorprende a questo punto se nel settore cyber l’assunzione dei rischi implica notoriamente difficoltà di quotazione, perché i dati suscettibili di divulgazione o di uso illecito per effetto di accessi a opera di terzi possono variare in modo significativo.
LA RESPONSABILITÀ DEGLI AMMINISTRATORI
Tuttavia, il rischio di intrusioni nel proprio sistema informatico ormai non può più essere trascurato, come dimostrano l’esperienza quotidiana e le cronache da ogni Paese del mondo. Come è stato efficacemente evidenziato da Robert S. Mueller, director dell’F.B.I. “there are only two types of companies: those that have been hacked and those that will be”1. In questo contesto è interessante analizzare cosa è accaduto negli ultimi anni in Usa e Regno Unito, e in particolare gli insegnamenti che possono trarsi dai recenti casi giudiziari. Il dato che emerge è la crescita esponenziale del rischio per gli amministratori di società vittime di azioni di hackeraggio di subire azioni di responsabilità da parte di soci e azionisti che lamentano la mancata adozione di misure preventive e protettive. Si pensi, ad esempio, alle azioni intraprese nel corso del 2014 in Usa nei confronti degli amministratori di Target e Wyndham Worldwide, e al giudizio intrapreso nel settembre 2015 nei confronti di 12 directors & officers di Home Depot, da parte di azionisti che avevano sostenuto che gli amministratori avevano violato “their fiduciary duties of loyalty, good faith and due care by knowingly and in conscious disregard of their duties failing to ensure that Home Depot took reasonable measures to protect its costumers’ personal and financial information”. È interessante rilevare che nel giudizio gli attori avevano richiamato i precedenti Target e Wyndham, sostenendo che essi rappresentavano un “fair warning” dei rischi legati a cyber attacks: dunque, l’esistenza di precedenti è stata utilizzata per argomentare che la soglia di diligenza posta a carico degli amministratori nel prevenire azioni di hackeraggio si è progressivamente innalzata, e che il fenomeno è divenuto talmente esteso e rilevante da imporre un’attività specifica. È un dato da considerare con attenzione, soprattutto tenuto conto che nelle coperture D&O è spesso presente una cyber esclusion che recita “including cyber security breach e data breach”.
1 h ps://archives. i.gov/archives/news/speeches/comba ng-threats-in-the-cyber-world-outsmar ng-terrorists-hackers
I “NON DETTO” DELLE COPERTURE
Un altro dato che emerge dall’esame dei precedenti disponibili nella giurisprudenza Usa è la difficoltà di applicare testi di polizza evidentemente concepiti in un contesto diverso e ormai risalente a fattispecie in cui le attività di accesso illegittime a dati sensibili hanno avuto dimensioni inusitate e prodotto danni di entità difficilmente immaginabile anche solo poco tempo fa. In particolare si è rilevato complesso accertare se danni e spese sostenute dagli assicurati rientrassero in copertura, soprattutto in relazione alla prova che i dati trafugati avessero ricevuto o meno divulgazione. Esemplare al riguardo è il caso del 2015 Recall total information management Inc v. Federal Insurance Co. 2. Recall total information management aveva un contratto con Ibm Corporation per la raccolta e la custodia di banche dati contenenti dati e informazioni sensibili relativi a impiegati Ibm. Recall si era avvalsa di un vettore terrestre per il trasporto di tali dati; nel corso di un trasporto il vettore aveva perduto un collo, con dati di migliaia di impiegati Ibm. Non vi era nessuna evidenza che vi fosse stato accesso al materiale da parte di terzi, ma Ibm aveva tuttavia sostenuto costi pari a 6 milioni di dollari per l’acquisto di “identity theft services”. Ibm aveva chiesto il rimborso delle somme sostenute a Recall, che a sua volta aveva chiesto l’indennizzo agli assicuratori, facendo leva sulla previsione di polizza che copriva i casi di “injury... caused by an offense of (...) electronic, oral, written or other publication of material that (...) violates a person’s right of privacy”. La richiesta è stata tuttavia respinta in giudizio, perché la Corte ha ritenuto che la “personal injury clause” contenuta nella polizza non fosse operante, non essendosi verificata alcuna publication.
2 Recall Total Informa on Management, Inc., et al. v Federal Insurance Company, et al., Conn. App. 2014 WL 43529 (Conn. App. Ct. Jan 14, 2014)
L’INCOGNITA DELLE CLASS ACTION
Profili in parte analoghi si sono presentati in un caso più recente (Travelers Indem. Co. of Am. v. Portal Healthcare Solutions, LLC)3 nel quale Travelers è stata dichiarata obbligata a tenere indenne Portal Healthcare Solutions in relazione a una class action promossa a New York. Nel caso in commento due pazienti del Glen Falls Hospital avevano sostenuto che nel fare una ricerca su Google il primo link che appariva portava alle cartelle mediche di entrambi presso l’ospedale. Avevano dunque promosso una class action nei confronti di Portal (che curava la custodia dei dati dei pazienti dell’ospedale) responsabile di aver reso “accessible, viewable, copyable, printable, and downloadable from the Internet by unauthorized persons without security restriction from November 2, 2012 to March 14, 2013”. La copertura assicurativa di Portal copriva “electronic publication of material that (…) discloses information about a person’s private life”. Travelers aveva contestato la sussistenza copertura assicurativa, ma la Corte ha accolto la domanda dell’assicurata, sostenendo che “unintentional publication is still a publication (…) publication occurs when information is ‘placed before the public,’ not when a member of the public reads the information placed before it”. Il Tribunale in particolare ha evidenziato che accogliere la tesi di Travelers (che negava si fosse verificata una “publication”) equivaleva a ritenere che un libro disponibile sugli scaffali di Barnes & Noble (una nota libreria negli Usa) non è “published” fino al momento in cui un cliente non lo preleva e lo sfoglia. (La seconda e la terza parte dell’articolo verranno pubblicate nelle prossime settimane su Insurance Daily)
© RIPRODUZIONE RISERVATA
👥
