I recenti fatti legati alla crisi russo-ucraina ed alla aggressione di quest’ultima includono anche una, in parte inattesa, svolta del mondo legato al cybercrime. Molti grossi nomi di questo mondo, in particolare legati all’industria del ransomware as a service, sono di origine Ucraina o Russa. Giocoforza, quindi, sono coinvolti nei fatti di guerra a cui assistiamo. Svolta in parte inattesa dicevo prima perché si è principalmente pensato a questi gruppi come gruppi connessi a vario titolo con alcuni stati, ma principalmente guidati da interessi economici.
In altre parole, attori interessati al cybercrime in quanto crimine e non ad atti di cyber terrorismo o cyber warfare. Questa distinzione, come vedremo, è fondamentale soprattutto per il mondo assicurativo ed il concetto di danno collaterale. I recenti fatti pertanto rischiano di avere un impatto duraturo sul mondo assicurativo, come documentato anche da un recente articolo dell’Economist.
Ad esempio, dalla analisi del recentemente data leak del gruppo Conti (condiviso dall’account anonimo Contileaks) emerge che non fanno solo attività di cybercrime. Su ordine della FSB (polizia federale russa) hanno hackerato un giornalista di Bellingcat che investigava sul caso Navalny (qui).
Ma non solo: il numero di gruppi cybercrime schierati è sempre più vasto. Come documentato da Cyberknow nella tabella sottostante.
Indice degli argomenti
Il mondo assicurativo cyber prima dei recenti fatti
Gli attacchi terroristici dell’11 settembre 2001 hanno colpito profondamente gli americani in molti modi e hanno anche avuto effetti economici duraturi sugli assicuratori e sull’economia statunitense. Gli attacchi hanno prodotto il più alto numero di sinistri pagati dagli assicuratori nella storia degli Stati Uniti fino a quella data e hanno portato alcuni assicuratori a escludere gli atti di terrorismo dalla copertura commerciale a causa delle difficoltà nella valutazione del rischio.
Il Congresso Americano nel 2002 ha approvato il Terrorism Risk Insurance Act (TRIA), che ha di fatto introdotto un “limite” alle quote assicurative derivanti da un attacco terroristico. La legge ha permesso al mercato di crescere coprendo a determinate condizioni anche il rischio di attacco terroristico. Il programma è scaduto alla fine del 2014, ma è stato di fatto rinnovato con alcune modifiche fino al 2027 (sotto il nome di TRIPRA). La motivazione di questo rinnovo è che in assenza di questo programma di copertura, i tassi di assicurazione contro il rischio di terrorismo aumenterebbero in modo imprevedibile.
Il punto è che il TRIA copre solamente atti terroristici reali e non il cybercrime. Ma il cybercrime come ben sappiamo grazie all’evoluzione dei sistemi cyber fisici e la crescente diffusione di ambienti smart (smartcity, smarcars ecc.) ha ricadute nel mondo reale e non è più una ipotesi lontana il fatto che tramite un attacco cyber si possano compiere atti di terrorismo o di guerra (in termini molto generali, un atto terroristico si differenzia da uno di guerra per il tipo di supporto che ha alle spalle – gruppi criminali, terroristici o stati sovrani – e la tattica generale).
Nel mondo assicurativo, in sostanza, manca una definizione chiara e adeguata di cosa significhi «hostile or warlike action»
Il caso Mondelez e Merck
Nel 2017 in noto produttore di merendine e snack Mondelez, nella sua relazione annuale per il 2017 depositata presso la Securities and Exchange Commissione, affermava di aver subito un attacco da parte di NotPetya (un malware che ha originariamente colpito l’Ucraina e che gli Stati Uniti hanno chiaramente connesso con la Russia). Il malware, riportava Mondelez, ha colpito una parte significativa del loro sistema globale di vendita, distribuzione e finanziario. La perdita netta è stata intorno all’1 per cento dei ricavi netti globali dell’azienda, pari a 103,6 milioni di dollari.
Inoltre, la società ha sostenuto spese incrementali per $ 84 milioni nella seconda metà del 2017 per il ripristino dei sistemi. Quando Mondelez presentò un reclamo per i danni subito, il suo assicuratore, Zurich International, li negò sulla base del fatto che NotPetya era considerato un “hostile or warlike action” da parte di un “governo o potere sovrano” e quindi escluso dal campo di applicazione della polizza, in virtù delle clausole a tutela e della specifica natura dell’attacco.
Il caso di Mondelez ha portato ad una revisione della definizione di “hostile o warlike action”, come segue: “hostile or warlike action in time of peace or war … by any … government or sovereign power (de jure or de facto) … [or] agent or authority”. In pratica la definizione allargata specificava meglio chi fosse il mandante dell’atto “warlike”
Questa definizione ha alcuni problemi. Innanzitutto, l’operatività economica del cybercrime rende le azioni su larga scala possibili anche senza la presenza di uno stato belligerante (es. l’hack attribuito alla Nord Corea hack della Sony avvenuto nel 2014 o più recentemente l’attacco alla Colonials’ Pipeline condotto dal defunto gruppo DarkSide). Il secondo problema è l’attribuzione. Spesso si punta il dito contro determinati stati anche per ragioni politiche (vedi attribuzione poi smentita dell’attacco alla Sony da parte della Nord Corea), ma l’attribuzione non è mai certa (da tempo il cyber crime sfrutta metodi per compiere operazioni sotto false flag). Delegare l’attribuzione ai governi non risolverebbe il problema e anzi renderebbe il panorama risarcitorio confuso.
A complicare la situazione della posizione degli assicuratori, se ce ne fosse stato bisogno, è arrivata ad inizio 2022 la sentenza nella disputa tra Merck – produttore di farmaci e vaccini – ed Ace Insurance sempre a causa di un attacco NotPetya.
La sentenza distingue tra “Cyber act” ed “Act of war”, dando ragione a Merck e obbligando il pool di assicuratori con a capo Ace Insurance al pagamento di un risarcimento “monstre” di 1,4B (miliardi) di dollari.
Problemi legati alle definizioni
Recentemente (qui) la definizione di “warlike action” è stata estesa come segue: “operations of such a general kind or character as belligerents have recourse to in war.” Ma la definizione non include attacchi con conseguenze riconducibili ad un attacco terroristico o warlike, svolti in tempo di pace per motivazioni puramente economiche.
I tribunali dovrebbero richiedere sia l’attribuzione a un governo straniero sia un nesso con un conflitto armato internazionale in corso, o almeno il tipo di interessi strategici che le nazioni di solito perseguono con mezzi militari. Ovviamente questo è complicato dal fatto che solitamente gli Organised Crime Groups (OCG) agiscono indipendentemente dagli enti statali.
O almeno questa cosa era vera fino a poco tempo fa.
Le linee guida e il ruolo governativo di arbitraggio servono per capire cosa è cyber crime e cosa cyber terrorismo, prima e dopo i fatti. Se negli USA la soluzione è praticabile (vedi TRIA), in Europa non lo è così facilmente.
Già a novembre 2021 il mercato dei Lloyd’s ha sviluppato delle nuove clausole di esclusione (Cyber War and Cyber Operation Exclusion Clauses – da LMA55464 a LMA5567) che prospettano un nuovo scenario molto restrittivo sulla valutazione del rischio cyber e relativa copertura.
Si distingue tra “WAR” e “CYBER OPERATION”, estendendo il secondo concetto ad operazioni “perpetrate durante una guerra” che possano colpire “uno stato” ed i suoi “servizi essenziali” purché siano “fisicamente” nello stato attaccato.
Il problema di fondo
Il problema di fondo in queste definizioni è che vengono introdotti nuovi concetti e distinguo (in particolare sui “servizi essenziali”) che portano con sé il rischio che parte degli assicurati (pensiamo alle strutture sanitarie – rientranti nei “servizi essenziali”). Il rischio è di essere considerati alla stregua di “danni collaterali” in situazione di guerra, ritrovandosi quindi senza copertura e tutele adeguate.
Ciò è ancora più vero in assenza di valide analogie con il mondo fisico per discriminare tra crimine e terrorismo o guerra (es. vicinanza a zone di combattimento, rivendicazioni territoriali di minoranze ecc.). Questo, oltre a sfavorire il decollo delle assicurazioni contro il rischio cyber, frena anche la propensione all’ingresso di nuove realtà imprenditoriali in ambiti dove sarebbero fortemente esposte a tale rischio.
Questo stato di cose, di fatto, rallenta il percorso di crescita trainato dall’innovazione digitale. Le soluzioni? Nel medio periodo probabilmente un maggior ingaggio degli enti governativi nel regolamentare l’applicabilità, promuove e l’adozione e dirimere situazioni controverse.
Ma nel breve, un approccio integrato alla valutazione del rischio informatico può certamente agevolare la creazione di prodotti appetibili, premianti verso i soggetti virtuosi e sostenibili per le compagnie.
Conclusioni
Dalla analisi fatta emerge chiaro che, alla luce del recente conflitto, si stia creando una situazione incerta, nella quale il panorama risarcitorio ancora meno chiaro di prima. Il recente schieramento di un così vasto numero di attori del cybercrime getta un’ombra su quali siano le reali intenzioni dietro ad un qualsiasi futuro attacco.
La cyber insurance è un modo per finanziare il rischio e rendere gestibile (sostenibile) i costi di un attacco, la forma più semplice di risk financing. Ma è anche un tipo di governance, la domanda è, mi supporterà sufficientemente dal punto di vista finanziario per le spese ed i costi di emergenza?
Nel 2001, Bruce Schneier immaginava un mondo in cui ogni organizzazione potesse acquistare un’assicurazione cyber con sconti offerti per i miglioramenti della sicurezza come, ad esempio, la sostituzione di un sistema Windows insicuro con una versione sicura di Linux. Il saggio suggeriva che una buona sicurezza sarebbe stata premiata dal mercato. Ora, invece, per rimanere sul mercato è necessario un sistema di gestione della sicurezza.
Non siamo ancora in questa fase e l’assunto iniziale ha perso di senso per le dinamiche del cyber crime raccontate fino ad ora.
