Il panorama delle compagnie assicurative per il 2023 è considerato “impegnativo” sul fronte delle assicurazioni dei rischi di cyber security a causa delle forze contrapposte: da un lato i requisiti di sottoscrizione sono soggetti ad aumento, insieme ai premi dei clienti, e dall’altro i livelli di copertura sono in diminuzione per la maggior parte dei clienti.
Vi sono compagnie che sono intenzionate ad abbandonare questa porzione del mercato assicurativo e altre che si preparano al contesto complesso, richiedendo alle aziende di dimostrare di disporre di misure fondamentali di sicurezza informatica, preventivamente alla sottoscrizione di una polizza.
Analizziamo questa contrapposizione di approccio in un mercato soggetto a complicazioni crescenti, a cui rispondere con appropriate misure continuamente rivalutate.
Ne abbiamo parlato con Chiara Gatti, responsabile cyber risk presso UnipolSai Assicurazioni Spa, e con Enrico Boi, Insurance Coach e Formatore di reti vendita presso Fly up Coaching.
Il nuovo approccio alla resilienza per il settore assicurativo
Indice degli argomenti
Introduzione alla copertura assicurativa del rischio cyber
Secondo il nuovo report di Research & Markets, il mercato globale del cyber risk raggiungerà i 32,6 miliardi di dollari nei prossimi sei anni, con un tasso di crescita annuale composto del 18,8%.
Se ci si chiede da quanto tempo in Italia sia gestita la copertura del rischio cyber e in cosa consistano queste polizze, la risposta è tutt’altro che banale e non è un fatto recente: Chiara Gatti spiega: “Le coperture assicurative sono partite dagli anni ‘90: le aziende erano preoccupate delle violazioni alla privacy, sulla scia dei requisiti della giurisprudenza anglosassone e degli USA.
“Oggi l’Europa con il GDPR (Regolamento Generale per la Protezione dei dati) si è nuovamente avvantaggiata rispetto ai paesi extraeuropei, ma nel frattempo il mercato italiano è diventato di interesse per le compagnie internazionali di assicurazione, anche trainate da un mercato cyber in continua evoluzione crescente.
“Negli anni ’90 – continua Gatti – erano principalmente i provider di servizi informatici che assicuravano gli asset fisici con l’aggiunta di coperture per i rischi da virus e una quota di responsabilità civile professionale. Unipolsai sottoscrive polizze contro di rischi di Cybersecurity dal 2015 ma il mercato aveva già attori assicurativi (esempi sono costituiti da Generali, MunichRE, Barclays Bank, Chubb n.d.r.).
“Nel 2015 considerando il fronte normativo e la componente di pricing dei premi”, continua Chiara Gatti, “il rischio di sicurezza informatica era ancora principalmente considerato come componente di Responsabilità Civile (RC) nella mappatura di rischi, anche se poi era legato legata alle perdite patrimoniale. Vorrei specificare che c’è una precisa differenza tecnica fra i due: il ramo perdite patrimoniale indirizza perdite economiche non conseguenti a danni materiali e a danni alla persona; quest’ultimo è invece il fulcro del ramo RC. Ma in Italia l’evoluzione delle assicurazioni è oggi molto diversa; sappiamo infatti, che nella cyber security è necessario valutare il danno da interruzione da attività e quindi si è reso necessario aggiungere su base evidenze presentate, anche costi inizialmente non considerati: costi di ripristino, assistenza legale, forensi”.
“Con l’avvento del GDPR”, sottolinea ancora la Gatti, “questa porzione si è molto allargata, per via degli obblighi verso le autorità per le notifiche al garante e quindi progressivamente una polizza di assicurazione del rischio Cyber ha subito evoluzioni di copertura sempre maggiori, tanto da diventare oggi una copertura su tre direttrici: danni all’organizzazione, protezione del patrimonio dell’azienda (danno esistente first party), interruzione di business con perdita di ricavi per indisponibilità dati e sistemi (cosiddetto lucro cessante) e il pool costituito da Responsabilità Civile verso terzi (per danni a terzi), violazione privacy o violazione delle informazioni commerciali riservate, danni supply chain (assicurazione cosiddetta Third party)”.
“È inoltre possibile inserire la garanzia per la tutela legale (comprendente trattazione giudiziale o extragiudiziale, arbitrati, violazioni privacy, vertenze varie). Ma è importante chiarire che l’ampiezza delle coperture in ambito cyber non copre tutto ciò che costituisce un incidente informatico, perché si deve sempre distinguere l’attacco da antagonisti esterni al problema informatico avvenuto come security o system failure (non tutti gli incidenti di sicurezza dipendono da antagonisti criminali, ci sono occasioni in cui l’errore umano causa un incidente informatico e non ci sono quindi avversari esterni all’organizzazione come causa scatenante n.d.r.). Quindi, molto dipende anche da come si sottoscrive il contratto, da quali rischi si decide di includere, correlandoli al tipo di reato contro il quale ci si vuole assicurare”.
L’influenza della pandemia e della guerra sugli scenari di rischio
Enrico Boi in qualità di osservatore che analizza il mercato in modo autonomo e slegato dalle direttive delle compagnie produttrici, sottolinea alcuni aspetti del mercato assicurativo come doverosa premessa: “I CTO di grandi aziende sono sempre più affamati di protezione a causa delle previsioni sul crimine informatico che, è stato stimato, costerà alle aziende oltre 2 trilioni di dollari, rispetto ai 500 milioni di dollari del 2015 preso come anno pregresso di esempio. Gli effetti portati dalla pandemia, dal conseguente smart working, dal picco dell’e-commerce coniugati ad un uso spinto di device poco protetti, ha contribuito a rendere il sistema digitale sempre più vulnerabile. Inoltre, gli antagonisti e criminali sono sempre più preparati e organizzati soprattutto perché aiutati dai cosiddetti “governi canaglia” che li sostengono economicamente”.
“Da queste premesse – continua Boi – si capisce come la crescita nel mercato delle assicurazioni informatiche sulla cyber risk rappresenti un segno sicuro della crescente consapevolezza da parte delle aziende sul rischio informatico e della propensione a trasferire l’esposizione. Ma l’acquisto delle polizze giuste può essere difficile, in particolare per le aziende la cui comprensione delle proprie vulnerabilità può essere imprecisa. La mancanza di una terminologia simile, approcci diversi all’offerta di coperture, insieme alla complessità delle polizze stesse, aumentano la frustrazione e smorzano la domanda di acquisto degli acquirenti. Le grandi aziende sanno di poter essere vittime di attacchi informatici, ma investono in modo insufficiente per una protezione preventiva o hanno difficoltà a emanare regole di compliance da adottare per evitare attacchi o per essere resilienti nel più breve tempo possibile. Le aziende più piccole, artigiani e professionisti sono quelli più vulnerabili, una sorta di “analfabeti funzionali informatici”.
Chiara Gatti aggiunge che “certamente la pandemia e oggi la guerra in corso hanno contribuito e continuano a influenzare il mercato in modo tale da ridurre le capacità (massimali) e aumentare i tassi legati ai premi (si tratta di percentuali applicate come moltiplicatore dei valori di rischio n.d.r.). Infatti, gli aumenti medi si sono manifestati sui rinnovi delle polizze che, in più di una occasione, possono aver lasciato sconvolti i clienti che le hanno ricevute: sulla base dei report dei broker assicurativi gli aumenti medi sono stati di circa un +30%, ovvero in termini di sottoscrizione risulta incrementata la severità del contesto di mercato. In questo senso si ricordano eventi sistemici di attacco come le campagne Wannacry, Solar Winds, Log4j che mandarono in fibrillazione il mercato assicurativo e provocarono significative esclusioni esplicite”.
Un possibile paradosso: la mancanza di consapevolezza del rischio cyber in alcune aree del settore assicurativo
È necessario precisare e ricordare che tutte le aziende assicurative e le entità di intermediazione e riassicurazione, non sono affatto esenti dai rischi di sicurezza informatica. Oltre ad assicurare le altre aziende dai rischi, anche loro sono chiamate da specifici regolamenti e linee guida a introdurre misure organizzative, procedurali e tecnologiche per evitare di essere vittime di criminali digitali (Regolamento 38 IVASS e Linee guida EIOPA).
Molte grandi aziende assicurative si sono dotate di misure e stanno implementando anche misure di sicurezza in ottemperanza alla Digital OPerational Resilience Act (DORA). Ma vi sono realtà non ancora perfettamente in linea con le esigenze del mercato.
In questo senso, Enrico Boi chiarisce che “gli intermediari, visto l’enorme quantità di dati in loro possesso sono i primi a essere a rischio e tuttavia sono poco attenti alle conseguenze che potrebbero subire da un attacco cyber. L’età media degli agenti iscritti in Italia al Registro degli intermediari assicurativi (RUI) supera i 55 anni e questo non facilita un approccio adeguato ai sistemi informatici; la maggior parte del lavoro informatico di agenzia è eseguito dai collaboratori senza averne un sistematico controllo. Questo comportamento li allontana sempre più dal mondo informatico rendendoli ulteriormente poco sensibili alla materia e per via della poca conoscenza e la conseguenza estrema oltre a non essere protetti, li porta anche a non esercitare un’adeguata consulenza ai propri clienti, non proponendo con convinzione e consapevolezza adeguata le polizze cyber”.
“Nonostante l’IVASS abbia sollecitato fin dall’informativa del 29 dicembre 2017 di dedicare almeno il 20% delle ore formative obbligatorie al tema della sicurezza informatica”, aggiunge Enrico Boi, “sembra che ci sia ancora poca adeguata conoscenza sul tema. Quindi, l’incompetenza tecnologica degli intermediari, la mancata adeguatezza dei questionari per la valutazione del rischio, la pochezza di capitali di copertura messi a disposizione, le franchigie molto elevate e le esclusioni, portano sia l’intermediario, sia il potenziale cliente ad avere dubbi sulla qualità del prodotto in sede di liquidazione. Dubbi ulteriori lato intermediario, riguardano il valore del sinistro cyber sull’economia della redditività provvigionale o di rappel di agenzia”.
Regolamento DORA: le novità nella gestione degli incidenti e nei test di resilienza
La scelta di chi si ritira dal mercato e di chi resta
Tutti questi fattori, al momento, incidono sulle compagnie per evitare di dover assumere rischio poco graditi e pur senza uscire dal mercato sembrano tenersi “a debita distanza”.
Si aggiunga che le prospettive per il 2023 del settore non sono affatto rosee: la società di ricerca e consulenza Forrester prevede che il 25% delle insurtech uscirà dal mercato il prossimo anno, per liquidazione o tramite acquisizione.
Proprio Ellen Carney, Principal Analyst in Forrester, infatti, dichiara: “Nel 2023, i leader assicurativi attraverseranno turbolenze mai viste dalla crisi finanziaria del 2008. La copertura assicurativa si ridurrà o scomparirà man mano che i consumatori e le piccole imprese dovranno affrontare pressioni sul flusso di cassa.
“I team tecnologici si batteranno con budget meno generosi e un maggiore controllo normativo della stessa tecnologia che molto probabilmente li aiuterà a prosperare fino al 2023: l’IA. Nel frattempo, la realtà della recessione tornerà a posarsi in un mercato IPO in evaporazione, con molte insurtech in uscita dal mercato a causa di liquidazioni, roll-up o acquisizioni di vettori”, (fonte: insurtechdigital).
Il primo nome eccellente in procinto di ritirarsi dal mercato è Zurich che ha dichiarato un’imminente cessazione delle assicurazioni sui rischi da attacchi informatici a causa dei costi “proibitivi” tanto in termini di premi, che di risarcimenti (Fonte Financial Times e Sole24ore). Chi resta sul mercato ovviamente ci guadagna: in Beazley ad esempio, i premi ascrivibili alla divisione cyber risk sono saliti a 1,15 miliardi di dollari, in forte crescita rispetto agli 814,3 milioni di dollari del 2021 (fonte: Assinews) .
In Italia, chiarisce Enrico Boi, “alcune delle primarie compagnie, tramite gli statistici e le fabbriche prodotti vorrebbero sfruttare l’esperienza nella gestione del rischio per aiutare i clienti ad affrontare i rischi inerenti alla transizione verso un’economia digitale; conoscere i dati sugli incidenti informatici potrebbero migliorare la capacità del settore assicurativo, ma solo tramite la miglior capacità di valutazione del rischio si potranno offrire garanzie degne di nota e all’altezza delle esigenze. Infatti, chi resta nel mercato delle polizze Cyber, prima di sottoscrivere una polizza richiede alle aziende di dimostrare misure fondamentali di sicurezza informatica come capacità di riduzione del rischio”.
Polizze cyber: un esempio processo di valutazione del rischio pre-sottoscrizione
Chiara Gatti, spiega che “il 60% delle aziende non ha la postura di sicurezza idonea per essere assicurata, tanto che spesso accade di assicurare contro i rischi cyber solo le aziende Corporate o quelle con un business superiore ai 50 milioni di euro che dimostrino di aver investito correttamente in misure di prevenzione e protezione informatica”.
“In UnipolSai prima di sottoscrivere una polizza, si effettua una valutazione del rischio del potenziale cliente: si manda inizialmente un questionario tecnico e si richiedono integrazioni documentali. Contestualmente si procede ad un rating del rischio anche basato su KPI di aderenza normativa o certificativa secondo gli standard ISO 27001, PCIDSS, GDPR. Dopo l’invio dei dati da parte del potenziale cliente, si usano strumenti di security rating, basati sull’analisi del rischio in OSINT (Open Source Intelligence) per normalizzare i dati ricevuti. Qualora un’azienda si rifiuti di compilare il questionario l’azienda assicurativa può rifiutare di assicurarla, mentre per coloro che posson avere delle “defaillance” è possibile intervenire con una consulenza di base per aiutarli nelle prassi base: backup off line, patch management, conformità GDPR e data protection”.
