Niente polizze per il settore cybersecurity. Per le aziende che hanno sistemi informatici che gestiscono dati sensibili, contrarre una polizza assicurativa contro gli attacchi informatici è una condizione sine qua non

Purtroppo sta diventando sempre più difficile assicurarsi contro i rischi informatici, dovuto al fatto che il settore registra di anno in anno un aumento dei danni causati dalla pirateria informatica.
In una intervista con il Financial Times, Mario Greco, CEO del gruppo assicurativo Zurich ha sottolineato che la cybersecurity diventerà presto un settore non assicurabile. Ha poi aggiunto di essere molto preoccupato per la crescita esponenziale degli attacchi ransomware che da una parte hanno messo a nudo la vulnerabilità delle imprese e dall’altra lasciano prevedere un trend di incremento delle perdite. Preoccupa inoltre che i pirati informatici possano ottenere facilmente il controllo delle infrastrutture informatiche delle aziende e degli enti governativi.
A suo avviso, non si tratta solo delle perdite dei dati e dei relativi danni, ma anche della continuità della nostra civiltà e della nostra qualità di vita. Ha sottolineato come queste bande organizzate possano causare gravi disagi nella nostra vita quotidiana.
Di recente, le compagnie di assicurazione sono diventate molto più caute, determinando un aumento dei premi e una modifica delle opzioni di copertura.
d aprile, Zurich Assicurazioni e Mondelez International hanno raggiunto una risoluzione della controversia da 100 milioni di dollari relativa al rifiuto di Zurich di pagare le richieste di risarcimento per l’attacco informatico subito nel 2017 dal virus NotPetya che aveva attaccato varie imprese nel mondo.
Le richieste di rimborso danni di Mondelez sono state respinte da Zurich, che ha sostenuto che il cyberattacco NotPetya, che inizialmente aveva preso di mira entità ucraine, era un’operazione sponsorizzata dallo Stato russo e quindi protetta dalle esenzioni di pagamento danni per atti di guerra.

A settembre, i Lloyd’s di Londra hanno preso provvedimenti per ridurre i potenziali rimborsi danni dovuti per i cyber attacchi, ed hanno annunciato che a partire dal 2023 tutti i loro gruppi assicurativi dovranno escludere dalle loro polizze di assicurazione informatica gli attacchi “catastrofici” intesi come atti ostili appoggiati da uno Stato.
Un alto dirigente dei Lloyd’s ha commentato che si è preso la misura corretta perché era più razionale agire piuttosto che aspettare che “le cose continuassero a peggiorare”.
Tuttavia, la complessità del riconoscimento dei colpevoli e dei loro legami con uno Stato rende tali eccezioni molto opinabili e giuridicamente difficili.
Gli specialisti del settore informatico hanno avvertito che l’aumento dei costi e l’ampliamento delle eccezioni potrebbero dissuadere le imprese dall’acquisire qualsiasi tipo di polizza.

Attacchi informatici trattati come i terremoti

Secondo Greco, il settore privato è in qualche modo limitato in termini di risorse da destinare a copertura delle perdite causate da attacchi informatici. Suggerisce che i governi istituiscano un partenariato pubblico-privato per gestire i rischi informatici troppo complessi per essere calcolati, in modo simile a quelli che esistono in alcune nazioni per catastrofi come terremoti o attacchi terroristici.

Durante l’intervista, Greco ha elogiato le azioni del governo statunitense per limitare i pagamenti dei riscatti, affermando: “La diminuzione dei pagamenti dei riscatti si tradurrà in un minor numero di attacchi.
Il governo degli Stati Uniti ha chiesto pareri sull’opportunità di creare un’assicurazione federale sulla cyber sicurezza come parte del suo programma assicurativo pubblico-privato destinato a coprire le questioni legate al terrorismo.
A giugno, il Government Accountability Office degli Stati Uniti ha pubblicato un rapporto in cui si evidenzia la possibilità che gli incidenti informatici abbiano un impatto su altre aziende connesse.
Un esempio citato come prova della possibilità che un singolo incidente informatico abbia effetti catastrofici è stato l’hack di Colonial Pipeline, che ha causato una breve carenza di carburante nel sud-est degli Stati Uniti. Ciò ha dimostrato come un attacco possa diffondersi attraverso i sistemi di infrastrutture vitali.

Christian Mumenthaler, responsabile di Swiss Re, una delle compagnie di Assicurazione e Riassicurazione più importante del mondo, ha osservato che gli attacchi informatici di questo livello di complessità sono “in aumento” e che “le infrastrutture critiche sono un problema”.

Cosa cambia nella polizza cybersecurity

La guerra Russia-Ucraina è la prima guerra che viene condotta principalmente con attacchi informatici volti a rendere inefficaci le infrastrutture del nemico. L’intensificazione degli attacchi e la difficoltà di attribuzione degli stessi, rende difficile sia la prevenzione sia le proteste diplomatiche o imposizioni di eventuali sanzioni.

Inoltre la situazione è stata peggiorata dalla creazione di nuovi modelli di business dei cyber criminali, che ispirandosi alle forme di vendita dei mercati tradizionali, hanno introdotto un servizio di affiliazione per servizi ransomware. In questo modo danno la possibilità di compiere attacchi informatici anche a coloro che non hanno le competenze tecniche, moltiplicando quindi la propagazione di questo reato Un’altra novità è la creazione sul mercato di una offerta di accesso ai dati di una impresa vittima di un precedente attacco. Le organizzazioni criminali pubblicizzano la vendita di accessi a reti precedentemente infettate, sul Dark Web.

A causa di queste circostanze, un numero crescente di compagnie assicurative hanno cominciate ad assumere un atteggiamento più prudenziale sulle polizze di cybersecurity. Per prima cosa hanno modificato i termini economici, aumentando i premi e le franchigie. Poi hanno diminuito i massimali assicurati e apportato una serie di restrizioni alla copertura dell’assicurazione. In pratica, in caso di sinistro, è molto probabile che l’assicurato non sia mai risarcito.

Solo il tempo ci dirà se i settori della assicurazione, riassicurazione ed i governi riusciranno a tenere il passo ed a formare un fronte che possa contrastare la crescente gamma di rischi informatici. Intanto però le imprese in vista di questi segni premonitori, devono assolutamente anticipare i tempi e contrattare esperti del settore per migliorare il know how del team interno e ricevere la consulenza esterna per stare sempre aggiornate.