Il comparto della assicurazioni informatiche ha visto la luce circa trent’anni fa quando poche aziende hanno cominciato a stipulare polizze per coprirsi dal rischio di incidenti online. Al giorno d’oggi rappresenta un mercato in fortissima espansione, quasi inflazionato, stante l’attenzione mediatica che c’è ogni qual volta si parli – alle volte a sproposito – di “cyber” applicata a diversi settori.
Prendendo in esame gli ultimi 5 anni, si è assistiti ad un costante aumento dei sottoscrittori di polizze assicurative informatiche: negli USA si è passati da un aumento del 26% annuo registrato nel 2016 a quasi il 50% nel 2020.
Solo recentemente si è ripreso a fare scelte “ponderate” sia lato assicuratore che lato cliente, con questi ultimi che più scrupolosamente prestano attenzione a selezionare cosa includere o meno nella polizza a seconda delle attività della società beneficiaria, a valutare la presenza di massimali o franchigie e verificare attentamente le condizioni contrattuali…contemporaneamente, lato broker assicurativi, vi è stato un aumento dei premi: l’incertezza derivante dalla continua scoperta di nuovi e più pericolosi malware – spesso e volentieri ransomware – unita alla mancanza di dati storici, essendo un settore in rapida evoluzione, ha fatto si che le polizze abbiano ingenti costi, registrando nel 2020 un aumento dei premi di circa il 30%.
Il recente confitto sta portando ad una corsa all’assicurazione nonostante la stragrande maggioranza delle polizze non copra da attacchi da parte di collettivi criminali riconducibili a Stati o apparati para-statali, in quanto la maggior parte delle polizze assicurative informatiche include fin dagli inizi clausole per escludere atti di guerra; secondo alcuni esperti il protrarsi del conflitto porterà anche ad una più puntuale indicazione degli eventi coperti e, soprattutto, un’espansione della casistica che comporta l’esclusione dalla copertura.
Nonostante appaia innegabile che i cybercriminali – molto spesso al soldo di alcuni Stati – abbiano intensificato le loro scorribande sul web così da trarre vantaggio dal caos provocato dal conflitto tra Ucraina e Russia, la polizza assicurativa informatica non può rappresentare la risposta alla crescente minaccia.
Sebbene secondo l’ex direttore dell’FBI Robert Mueller “Ci sono solo due tipi di società: quelle che sono state violate e quelle che lo saranno”, le società – specialmente quelle più strutturate che hanno minori problemi di budget – dinanzi al pericolo di attacchi informatici non dovrebbero iniziare dal coprirsi con l’assicurazione per eventuali danni o malfunzionamenti, quanto investire nella pianificazione dei controlli e nella predisposizione di eventuali to-do list per il ripristino d’emergenza in caso di incidente.
Una volta stabilite solide basi di sicurezza e condotto, una dettagliata analisi costi-benefici – il che richiede spesso e volentieri il coinvolgimento del CISO che si rapporta con il CFO e, alle volte, il Consiglio di amministrazione – si può considerare di investire nell’assicurazione informatica.
Senza queste premesse appare quanto mai inutile, e conseguentemente solo onerosa, una polizza assicurativa senza una corretta valutazione del rischio. La polizza può aver senso solo laddove il rischio che si verifichi l’evento avverso sia molto basso mentre l’eventuale costo della sua mitigazione risulti elevato.
