Cyber: il rischio nascosto nelle polizze
La varietà dei rischi cyber impone l’adozione di prodotti di protezione dedicati, che comprendano uno spettro ampio di possibili danni. Ma la volatilità del rischio tecnologico e la mancanza di dati storici contribuiscono ad aumentare il costo delle polizze (Terza parte)
15/06/2017
Nelle precedenti analisi si è fatto cenno al fatto che danni e costi dei contenziosi nascenti da data breach sono destinati ad aumentare, e le polizze tradizionali possono rivelarsi inadeguate.
Ancora una volta, sul punto sono indicativi i contenziosi sorti negli Stati Uniti, dove il mercato assicurativo dei rischi cyber è già molto più sviluppato.
Nel recente caso Apache Corporation c. American Insurance, ad esempio, è risultato privo di copertura un evento di phishing che aveva avuto origine da una telefonata a un impiegato, seguita da una e-mail che allegava una lettera che impartiva istruzioni per il trasferimento di somme su un conto all’estero.
La Corte ha ritenuto che la copertura assicurativa non operasse, dal momento che il trasferimento delle somme non era stato direttamente causato dalla e-mail, ma dalla condotta successiva tenuta dal dipendente dell’assicurata.
È necessaria, dunque, una copertura specificamente dedicata al cyber risk, e una valutazione attenta delle varie tipologie di rischio ai quali si è soggetti e dei costi che possono conseguirne.
Le sorgenti di rischio sono molteplici
Le origini degli attacchi cyber sono notoriamente molteplici e variegate.
Le cronache ad esempio segnalano attività di hackeraggio poste in essere da cosiddetti “hacktivist”, ossia soggetti che, mossi da intenti politici o ideologici, penetrano all’interno di un sistema e accedono ai dati allo scopo di divulgarli e portarli all’attenzione pubblica.
È il caso ad esempio del famoso scandalo dei Panama Papers nell’aprile 2016, con l’accesso al database (ricchissimo di dati sensibili) dello studio legale Mossack Fonseca di Panama.
In altri casi, le azioni sono poste in essere da script kiddies, giovanissimi che spesso realizzano gli attacchi per emulazione, senza essere consapevoli dei danni che possono procurare e della gravità delle conseguenze alle quali si espongono.
Un caso eclatante è l’attacco al sistema informatico della società di telecomunicazioni inglese Talk Talk nell’ottobre 2015, con la divulgazione dei dati di 150.000 clienti.
Gli accertamenti condotti in seguito al fatto hanno permesso di rilevare che la società aveva omesso di adottare misure adeguate di protezione dei dati, permettendo un facile accesso a un sedicenne che aveva agito per mostrare la propria abilità agli amici.
Talk Talk ha perso circa 100.000 clienti a seguito dell’evento, incorrendo in costi che alcune stime hanno indicato in 42 milioni di sterline e l’applicazione di severe sanzioni da parte delle autorità di vigilanza inglesi.
Ulteriore fonte di rischio è rappresentata da dipendenti o ex dipendenti, che mossi da risentimento o motivazioni personali accedono al sistema, manomettendolo e sottraendo dati.
Quali rischi deve coprire una polizza cyber?
La valutazione dell’idoneità della copertura assicurativa deve essere condotta avendo ben presente ogni possibile scenario, e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza riguardo alle intrusioni subite (soprattutto quando questa va eseguita in diverse giurisdizioni).
La copertura va estesa anche ai dati presenti al di fuori della sede operativa (ad esempio immagazzinati sul laptop di dipendenti o su cellulari e tablet, tenendo anche conto che numerosi esperti ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nel corso dei prossimi anni).
Molte polizze includono in copertura i costi sostenuti in relazione alle indagini delle autorità di controllo e vigilanza successive al sinistro, alle spese legali, ai costi legati al ricorso a esperti di comunicazione di crisi, esperti informatici e periti.
Spesso, tuttavia, vi sono esclusioni significative, come nel caso dei costi legati all’impiego di personale dedicato alle attività di ripristino.
Particolare attenzione va riposta per l’eventualità che l’acquisizione e raccolta dei dati sensibili venga affidata a un terzo, in particolar modo sincerandosi che quest’ultimo abbia adottato adeguate misure di cyber security, e sia a sua volta munito di adeguata copertura assicurativa.
Anche nell’ambito delle coperture del settore, ricorre la classica bipartizione tra polizze loss occurrence e claim’s made. Alcune polizze restringono la copertura a perdite di dati o attacchi che si verificano dopo una determinata data, che rappresenta il momento iniziale di copertura; va tenuto presente, tuttavia, che gli accessi al sistema possono essere latenti e venire individuati a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata.
Una realtà ormai tristemente nota è quella dei ransomware, ossia malware che limitano o impediscono l’accesso al dispositivo infettato, richiedendo un riscatto (ransom in inglese) per ottenere la liberazione del sistema.
Molte polizze escludono la copertura in relazione al pagamento di simili riscatti, la cui assicurabilità del resto è esclusa o molto dubbia in numerose giurisdizioni.
Le misure di loss prevention saranno cruciali
È molto probabile che la corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.
Molto spesso le clausole di esclusione contemplano la mancata realizzazione di adeguate azioni di loss prevention, e vanno valutate con attenzione possibili eccezioni legate a misrepresentation, ossia alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.
Un ostacolo alla diffusione della cyber insurance è stato probabilmente costituito finora da costi piuttosto significativi di copertura, e innegabili complessità nell’individuazione della copertura e del wording di polizza adeguato (oltre a una percezione finora parziale della diffusione del fenomeno e dell’entità del rischio).
Il problema è acuito dal fatto che, trattandosi di un mercato in larga parte ancora da sviluppare, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso che consenta di eseguire una completa valutazione del rischio in sede di assunzione.
Tutti gli elementi disponibili attestano tuttavia che quello del cyber risk è un mercato assicurativo destinato ad uno sviluppo rilevante nel prossimo futuro.
La prima e la seconda parte dell’articolo sono state pubblicate rispettivamente su Insurance Daily n. 1078 del 23 febbraio e su Insurance Daily n. 1087 dell' 8 marzo
Ancora una volta, sul punto sono indicativi i contenziosi sorti negli Stati Uniti, dove il mercato assicurativo dei rischi cyber è già molto più sviluppato.
Nel recente caso Apache Corporation c. American Insurance, ad esempio, è risultato privo di copertura un evento di phishing che aveva avuto origine da una telefonata a un impiegato, seguita da una e-mail che allegava una lettera che impartiva istruzioni per il trasferimento di somme su un conto all’estero.
La Corte ha ritenuto che la copertura assicurativa non operasse, dal momento che il trasferimento delle somme non era stato direttamente causato dalla e-mail, ma dalla condotta successiva tenuta dal dipendente dell’assicurata.
È necessaria, dunque, una copertura specificamente dedicata al cyber risk, e una valutazione attenta delle varie tipologie di rischio ai quali si è soggetti e dei costi che possono conseguirne.
Le sorgenti di rischio sono molteplici
Le origini degli attacchi cyber sono notoriamente molteplici e variegate.
Le cronache ad esempio segnalano attività di hackeraggio poste in essere da cosiddetti “hacktivist”, ossia soggetti che, mossi da intenti politici o ideologici, penetrano all’interno di un sistema e accedono ai dati allo scopo di divulgarli e portarli all’attenzione pubblica.
È il caso ad esempio del famoso scandalo dei Panama Papers nell’aprile 2016, con l’accesso al database (ricchissimo di dati sensibili) dello studio legale Mossack Fonseca di Panama.
In altri casi, le azioni sono poste in essere da script kiddies, giovanissimi che spesso realizzano gli attacchi per emulazione, senza essere consapevoli dei danni che possono procurare e della gravità delle conseguenze alle quali si espongono.
Un caso eclatante è l’attacco al sistema informatico della società di telecomunicazioni inglese Talk Talk nell’ottobre 2015, con la divulgazione dei dati di 150.000 clienti.
Gli accertamenti condotti in seguito al fatto hanno permesso di rilevare che la società aveva omesso di adottare misure adeguate di protezione dei dati, permettendo un facile accesso a un sedicenne che aveva agito per mostrare la propria abilità agli amici.
Talk Talk ha perso circa 100.000 clienti a seguito dell’evento, incorrendo in costi che alcune stime hanno indicato in 42 milioni di sterline e l’applicazione di severe sanzioni da parte delle autorità di vigilanza inglesi.
Ulteriore fonte di rischio è rappresentata da dipendenti o ex dipendenti, che mossi da risentimento o motivazioni personali accedono al sistema, manomettendolo e sottraendo dati.
Quali rischi deve coprire una polizza cyber?
La valutazione dell’idoneità della copertura assicurativa deve essere condotta avendo ben presente ogni possibile scenario, e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza riguardo alle intrusioni subite (soprattutto quando questa va eseguita in diverse giurisdizioni).
La copertura va estesa anche ai dati presenti al di fuori della sede operativa (ad esempio immagazzinati sul laptop di dipendenti o su cellulari e tablet, tenendo anche conto che numerosi esperti ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nel corso dei prossimi anni).
Molte polizze includono in copertura i costi sostenuti in relazione alle indagini delle autorità di controllo e vigilanza successive al sinistro, alle spese legali, ai costi legati al ricorso a esperti di comunicazione di crisi, esperti informatici e periti.
Spesso, tuttavia, vi sono esclusioni significative, come nel caso dei costi legati all’impiego di personale dedicato alle attività di ripristino.
Particolare attenzione va riposta per l’eventualità che l’acquisizione e raccolta dei dati sensibili venga affidata a un terzo, in particolar modo sincerandosi che quest’ultimo abbia adottato adeguate misure di cyber security, e sia a sua volta munito di adeguata copertura assicurativa.
Anche nell’ambito delle coperture del settore, ricorre la classica bipartizione tra polizze loss occurrence e claim’s made. Alcune polizze restringono la copertura a perdite di dati o attacchi che si verificano dopo una determinata data, che rappresenta il momento iniziale di copertura; va tenuto presente, tuttavia, che gli accessi al sistema possono essere latenti e venire individuati a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata.
Una realtà ormai tristemente nota è quella dei ransomware, ossia malware che limitano o impediscono l’accesso al dispositivo infettato, richiedendo un riscatto (ransom in inglese) per ottenere la liberazione del sistema.
Molte polizze escludono la copertura in relazione al pagamento di simili riscatti, la cui assicurabilità del resto è esclusa o molto dubbia in numerose giurisdizioni.
Le misure di loss prevention saranno cruciali
È molto probabile che la corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.
Molto spesso le clausole di esclusione contemplano la mancata realizzazione di adeguate azioni di loss prevention, e vanno valutate con attenzione possibili eccezioni legate a misrepresentation, ossia alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.
Un ostacolo alla diffusione della cyber insurance è stato probabilmente costituito finora da costi piuttosto significativi di copertura, e innegabili complessità nell’individuazione della copertura e del wording di polizza adeguato (oltre a una percezione finora parziale della diffusione del fenomeno e dell’entità del rischio).
Il problema è acuito dal fatto che, trattandosi di un mercato in larga parte ancora da sviluppare, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso che consenta di eseguire una completa valutazione del rischio in sede di assunzione.
Tutti gli elementi disponibili attestano tuttavia che quello del cyber risk è un mercato assicurativo destinato ad uno sviluppo rilevante nel prossimo futuro.
La prima e la seconda parte dell’articolo sono state pubblicate rispettivamente su Insurance Daily n. 1078 del 23 febbraio e su Insurance Daily n. 1087 dell' 8 marzo
© RIPRODUZIONE RISERVATA
👥
