Quali sviluppi per il mercato cyber

La storia degli attacchi cyber risale al novembre 1988, quando Robert Morris Jr., uno studente della Cornell University creò un programma chiamato Worm per testare il livello di sicurezza di Internet. Il test andò ben oltre le aspettative di Morris, il suo worm infatti si propagò a un ritmo molto superiore a quanto immaginato e arrivò a infettare e bloccare circa 6.000 macchine (un numero considerevole per l’epoca), provocando danni tra gli altri a università, strutture di ricerca medica e siti militari. 

Come dimostrato dal worm di Morris, l’evoluzione tecnologica portò con sé anche l’aumento dei rischi a essa connessi. In particolare l’evoluzione della tecnologia subì un’accelerazione negli anni ’90, e fu proprio in quel periodo che nacquero negli Stati Uniti le prime polizze cyber insurance. Inizialmente le polizze cyber erano un’evoluzione delle polizze Rc professionale di software house e media companies, e furono create per soddisfare l’esigenza di queste società di tutelarsi dai rischi derivanti da possibili danni a terzi in conseguenza di malfunzionamenti dei software o di danni reputazionali conseguenti alla diffusione di contenuti media nel web. Con il passare degli anni, e con la crescita della frequenza e dei danni provocati dagli incidenti informatici, le polizze cyber si sono evolute, comprendendo dapprima i rischi legati all’utilizzo di internet (network security, accessi non autorizzati e danni da virus informatici) e successivamente i danni subiti direttamente dall’assicurato, come le cyber estorsioni e le interruzioni di attività. 

Nel corso dei suoi quasi vent’anni di storia, la cyber insurance ha fatto notevoli progressi. Gli Stati Uniti rimangono il primo mercato mondiale, e l’Europa il secondo, con l’Asia in forte crescita. In pochi anni i premi sono arrivati a raggiungere il valore di quasi tre miliardi di dollari a livello globale (1), di cui circa il 90% sottoscritto negli Usa e approssimativamente tra il 5% e il 9% in Europa (2). Londra è uno dei principali mercati mondiali, con circa il 25% dei premi globali sottoscritti da sindacati Lloyd’s nel 2017 (3). Le previsioni sono molto incoraggianti: secondo Munich Re il volume premi cyber raggiungerà il valore di 8-10 miliardi di dollari entro il 2020 (4), e di 20 miliardi entro il 2025 secondo previsioni di Allianz (5). 

Con la crescita dell’interesse per la cyber insurance cresce anche la necessità per assicuratori, clienti e istituzioni di elevare il livello di conoscenza dei rischi a essa connessi. Per farlo può essere utile analizzare i quattro principali aspetti di questo mercato: la domanda, l’offerta, le sfide, le opportunità. 

In Europa (e globalmente) la richiesta di protezione verso i rischi cyber è in rapidissima crescita. L’accresciuta consapevolezza dei rischi in seguito ai devastanti attacchi degli ultimi anni, e le nuove regolamentazioni come il Gdpr, stanno infatti portando questo tema in cima alle agende dei board di tutte le aziende e organizzazioni. In Europa gli acquirenti di polizze cyber sono prevalentemente le grandi aziende, in particolare quelle che processano grandi quantità di dati come quelle operanti nei settori delle telecomunicazioni e media, nel settore sanitario e dell’educazione. Da parte delle piccole e medie aziende c’è un interesse crescente, che però spesso non si trasforma nell’acquisto di una polizza (si stima che meno del 10% delle Pmi in Uk abbia una polizza cyber) (6). In particolare sono tre i principali fattori che spiegano i bassi tassi di conversione delle Pmi: una scarsa conoscenza (e spesso la sottovalutazione) delle proprie esposizioni, derivante dalla carenza di risorse e competenze interne adibite alla loro valutazione; una scarsa comprensione delle coperture, derivante da un ancora basso livello di standardizzazione dei wording delle polizze e talvolta anche dall’impreparazione degli intermediari assicurativi su questi rischi; e infine i costi delle polizze, che sono ancora troppo elevati, per la prudenza degli assicuratori nella sottoscrizione di questi rischi (ne vedremo più avanti i motivi). 

C’è infine un trend interessante che riguarda la linea persone e famiglie, sempre più esposte a rischi come le truffe informatiche e i furti d’identità. Un segmento, questo, ritenuto molto interessante e sul quale in Europa hanno iniziato a entrare assicuratori come Chubb e Munich Re.

Le coperture cyber vengono offerte in due modalità: come add-on ad altre polizze tradizionali, tipicamente polizze Rc professionali e polizze multirischio per le Pmi; o come contratti stand-alone. Un caso interessante nel settore delle polizze cyber stand-alone è rappresentato da Beazley, gruppo assicurativo americano e uno dei principali assicuratori cyber a livello mondiale. Nel mercato europeo Beazley è presente con tre linee di prodotti: una polizza standardizzata per il settore Pmi, la quale offre servizi per la gestione delle fasi immediatamente successive a un incidente cyber, una fase critica che spesso le Pmi non sono in grado di gestire autonomamente per carenza di risorse e competenze interne; una polizza con un basso livello di standardizzazione per aziende medie e grandi, che offre una serie di servizi specialistici come servizi legali e investigazioni forensi; e infine una polizza per grandi aziende, offerta in partnership con Munich Re, che viene totalmente personalizzata sulla base delle coperture già detenute dal cliente e dei gap di copertura identificati durante la fase di risk assessment. 

Nella tabella, si fornisce una sintesi delle principali coperture offerte dalle polizze cyber nel mercato europeo. 

(1) The Geneva Association – Cyber insurance as a risk mitigation strategy (2018)

(2) EIOPA (2018)

(3) Nostre stime sulla base di varie fonti (OECD, Marsh, AON)

(4) Insurance Business Mag (2018)

(5) Insurance Business Mag (2018)

(6) Ponemon Institute (2018)