In un contesto quale quello attuale, caratterizzato da eventi di data breach di dimensioni estremamente rilevanti, potenzialmente in grado di dispiegare impatti bloccanti sull’operatività aziendale e di aumentare a dismisura l’esposizione dell’azienda sotto il profilo degli obblighi risarcitori e del rischio sanzionatorio, in virtù dell’introduzione di norme più severe a tutela dei dati, il rischio cyber diventa uno dei principali elementi di attenzione.
Non è un caso, infatti, che, tra le grandi imprese (Fonte: Allianz Risk Barometer 2019 report), al primo posto tra i maggiori scenari di rischio percepito vi sia la minaccia di un’interruzione del business (che ovviamente può discendere da attacchi informatici), al secondo posto l’incidente informatico in sé e per sé considerato e al settimo posto l’introduzione di nuove tecnologie, che offrono alle imprese grandi opportunità, ma che, stante la diffusione e la pervasività delle macchine connesse, pongono, al contempo, importanti interrogativi circa la sicurezza, la tutela della privacy, le garanzie di continuità operativa e i profili di rischio in termini di responsabilità civile.
Indice degli argomenti
Rischio cyber: i timori derivanti dalla tecnologia
Il Clusit (Associazione Italiana per la Sicurezza Informatica), nel recentissimo Rapporto per l‘anno 2018 presentato lo scorso 12 marzo, ha potuto prendere conoscenza e analizzare ben 1.552 casi gravi di incidenti informatici accaduti nel mondo nell’ultimo anno.
Dall’analisi di questi incidenti, emerge che i casi di cyber crime rappresentano ancora la grande maggioranza degli attacchi gravi rilevanti, ma in netto aumento sono i casi di spionaggio e sabotaggio (ben 203 casi rilevanti nel 2018, con un incremento di quasi il 60% rispetto all’anno precedente).
Questi numeri risultano ancora più interessanti se si analizza l’impatto degli incidenti. Ed infatti, circa la metà dei casi di cyber crime hanno un impatto basso e un 30% circa ha impatto medio. Viceversa, nei casi di spionaggio e sabotaggio gli impatti sono gravi nel 90% e oltre dei casi.
Da questi numeri emerge chiaramente che le aziende hanno molto da preoccuparsi in termini di danni derivanti dalla insicurezza informatica e, infatti, il tema dei danni potenziali è ormai molto sentito dai vertici aziendali.
Ma di quali danni si sta parlando?
Sicuramente un primo timore è costituito dalle conseguenze economiche derivanti dagli attacchi: perdita di business, perdita di produttività, perdita di dati.
Se si indaga poi su quali siano i maggiori timori che le aziende italiane hanno per i prossimi anni (Fonte: Osservatorio information security & privacy Politecnico di Milano) è possibile stilare questa particolare classifica:
- lo spionaggio;
- le truffe;
- l’acquisizione del controllo di sistemi come impianti di produzione.
Insomma, la tecnologia è essenziale, ma fa paura.
Le coperture assicurative per cautelarsi contro il rischio cyber
Il danno economico è del tutto evidente se si vanno ad analizzare le principali finalità degli attacchi cyber: la grande maggioranza sono truffe e estorsioni mirate al vantaggio economico, seguite da intrusioni a scopo di spionaggio ed interruzioni del servizio (Fonte: Osservatorio Politecnico).
Nell’era dei social media, oltre al danno economico diretto, desta poi grande preoccupazione anche il danno di immagine.
Recentemente una primaria banca italiana ha dovuto avvisare un elevato numero di clienti in merito ad un avvenuto data breach.
La comunicazione, necessitata ai sensi del Regolamento europeo, meglio noto come GDPR, rende chiaro il problema della propria immagine verso l’esterno, con tutte le conseguenze potenziali che questo può generare.
Esiste, infine, un terzo livello di rischio: quello sanzionatorio, aumentato esponenzialmente a seguito dell’introduzione della nuova normativa in materia di trattamento dati, che ha introdotto massimali elevatissimi per le violazioni di natura amministrativa conseguenti alla violazione degli adempimenti di legge.
In questo contesto, è interessante notare come sia ancora relativamente ristretto il numero di aziende che decidono di cautelarsi attraverso specifiche coperture assicurative. E tale circostanza potrebbe presumibilmente costituire un indice di immaturità dell’attuale contesto italiano in termini di capacità di identificazione, classificazione e misura del rischio cyber.
Come si può vedere nell’infografica sottostante, ad oggi pochissime imprese sono coperte da una polizza cyber e, considerando che il campione dell’Osservatorio del Politecnico si riferisce a 166 grandi imprese, c’è da pensare che nel mondo delle PMI la percentuale del 33% che in tutto o in parte dichiara di avere una copertura sia probabilmente ancora minore.
- difficoltà della misurazione degli impatti finanziari (indicazione che, in tutta evidenza, rende chiara l’immaturità del mercato nella capacità di comprendere le conseguenze dei rischi informatici e dei potenziali attacchi);
- incapacità delle aziende clienti di valutare l’esposizione ai rischi cyber (tematica attualissima e probabilmente conseguenza del fatto che solo di recente la normativa ha costrutto tutti i settori di mercato a valutare i rischi informatici sottesi – perlomeno – al trattamento dei dati personali);
- scarsa predisposizione delle imprese a sostenere un assessment del rischio cyber (tendenza che ci si augura si riduca nel tempo, in considerazione, soprattutto, dell’impostazione del GDPR in tema di analisi del rischio, accountability e privacy by design).
Interessante anche il dato inerente alla scarsa competenza tecnica di assicuratori/broker percepita dai clienti, che rende chiaro come sia necessario che anche il mercato dell’offerta maturi per supportare meglio la crescita del mercato.
Occorre che le aziende maturino nella comprensione del rischio e nella capacità di analizzarlo e misurarlo al fine di orientare al meglio gli investimenti. Ma – e i dati lo testimoniano – non c’è dubbio sul fatto che i danni ci sono e – seguendo il trend degli ultimi anni – inevitabilmente cresceranno. È probabile che il 2019 ci racconterà di altri casi critici.
