Quali sviluppi per il mercato cyber

Pur essendo il mercato della cyber insurance cresciuto notevolmente negli ultimi anni, il livello di sottoassicurazione è ancora molto elevato. Per avere un ordine di grandezza, basti pensare che nel 2017 le catastrofi naturali e i danni cagionati dall’uomo hanno provocato globalmente danni per 337 miliardi di dollari (1), il 40% dei quali era assicurato; nello stesso periodo gli attacchi e incidenti cyber hanno provocato globalmente danni per 1,5 trilioni (2) (cinque volte tanto), di cui si stima che solo lo 0,03% (pari a 400 milioni) erano assicurati (3). Le cause di questo gap sono riconducibili a problematiche sia dal lato della domanda, sia dell’offerta. Focalizzandoci sul lato dell’offerta, ci sono tre ordini di problemi che frenano l’appetito assuntivo degli assicuratori per questi rischi: 1. una bassa sofisticazione e precisione dei modelli di assessment e pricing; 2. la scarsità di strumenti e modelli analitici per monitorare i cumuli di rischio; 3. un quadro normativo non favorevole. 

Come visto, i rischi cyber sono presenti da poco tempo nelle agende degli assicuratori, ed evolvono a un ritmo incessante di pari passo con l’evoluzione della tecnologia. Le informazioni e i dati sugli incidenti cyber sono poi tenuti confidenziali dagli operatori di settore, per non offrire vantaggi competitivi ai propri competitor e per motivi di privacy, e questo frena l’evoluzione del mercato. La combinazione di questi fattori (scarsità di dati storici ed estrema variabilità dei rischi) rende molto complicato per gli assicuratori creare modelli predittivi efficaci e affidabili, e ciò li porta a essere molto cauti nella sottoscrizione di questi rischi. Warren Buffet ha recentemente preso posizione su questo tema, dichiarando “Non penso che noi né qualcun altro sappiamo davvero cosa stiamo facendo quando assumiamo rischi cyber” (4).

Il secondo ordine di problemi riguarda la difficoltà degli assicuratori di monitorare le proprie esposizioni. I rischi cyber hanno per loro natura un potenziale di diffusione globale (un attacco lanciato da un server in Russia può colpire simultaneamente computer in qualsiasi parte del mondo), il che li rende molto più difficili da assicurare rispetto, ad esempio, alle catastrofi naturali, che fanno danni di magnitudo molto elevata ma sono maggiormente prevedibili e colpiscono in zone circoscritte. A questo si aggiunge un problema che gli assicuratori hanno iniziato recentemente ad affrontare, quello dei rischi cyber silenti, ovvero potenziali sinistri, derivanti da incidenti cyber, registrati in polizze property o liability non pensate per coprire tali rischi, e che quindi non escludono né comprendono esplicitamente i rischi cyber. Uno degli scenari più frequentemente presi in considerazione dagli assicuratori è quello di possibili sinistri su polizze property derivanti da un attacco cyber a una rete elettrica pubblica. La difficoltà di valutare le reali esposizioni contribuisce a rendere questi rischi meno appetibili agli occhi degli assicuratori. 

Il compito degli assicuratori potrebbe essere agevolato da normative più uniformi a livello globale o continentale, e dalla riduzione dei disincentivi alla condivisione e diffusione di informazioni sugli incidenti. Un ruolo più proattivo delle istituzioni nella copertura di eventi cyber catastrofali, come avviene con le catastrofi naturali, potrebbe infine aumentare la propensione degli assicuratori ad assumere questa tipologia di rischi.

L’ingresso nel mercato di nuovi player tecnologici, che normalmente vengono visti dagli assicuratori come una minaccia, nel caso della cyber insurance potrebbe invece rivelarsi un’opportunità (5). La collaborazione da parte degli assicuratori con start-up e società tecnologiche specializzate nell’analisi, mitigazione e gestione dei rischi cyber, può contribuire ad aumentare la consapevolezza e l’educazione sui rischi cyber da parte dei potenziali clienti, accrescendo così la loro propensione all’acquisto delle polizze relative. 

Da queste collaborazioni gli assicuratori possono poi acquisire quei dati sugli attacchi cyber e sui danni da essi provocati che sono la base su cui elaborare modelli predittivi e di risk assessment. Grazie ad accordi di distribuzione con queste terze parti, gli assicuratori possono poi offrire ai loro clienti l’opportunità di utilizzare innovativi strumenti di prevenzione e mitigazione dei rischi, ottenendo così un doppio risultato: un aumento del valore della propria offerta (servizi a valore aggiunto abbinati alla polizza) e una maggiore protezione degli assicurati dai rischi cyber, con ricadute positive sulla loss ratio. Ci sono già numerosi casi di partnership di questo tipo, come quelle realizzate dalle americane CyberPolicy (https://cyberpolicy.com/) e AtBay (https://www.at-bay.com/), e dalla britannica Dynarisk (https://www.dynarisk.com/) che offre i propri strumenti ad assicuratori come Hiscox e Chubb. 

In conclusione, la gestione dei rischi cyber diventerà un elemento sempre più importante nelle vite delle persone e delle organizzazioni. Non è un tema semplice da affrontare, e non ci sono scorciatoie, ma rappresenta per l’industria assicurativa un’enorme opportunità per affiancare i propri clienti nella prevenzione, misurazione e gestione di questi rischi. La crescita di questo mercato dipenderà dalla disponibilità di strumenti per misurare e gestire i rischi e le esposizioni. La nascita di una nuova generazione di società tecnologiche specializzate in questa tipologia di rischi rappresenta per gli assicuratori un’enorme opportunità per abbattere le barriere esistenti e posizionarsi in un mercato che può garantire loro una crescita sostenuta nei prossimi decenni.