di Giuseppe Gaetano, chief editor

A livello globale l’85% delle aziende ha subito almeno un attacco hacker negli ultimi 12 mesi e quest’anno prevede di aumentare in media dell’8,3% il budget per la protezione dei dati, buona parte del quale da destinare a strumenti di strumenti di cybersecurity e soluzioni backup.

Anche il recupero in tempi rapidi dei dati è importante, e sempre più difficile: quasi la metà è crittografata o distrutta, secondo il Veeam Data Protection Trends Report 2023. Reti predittive potenziate dall’IA e multicloud, secondo Cisco, i trend del comparto nei prossimi 12 mesi. Gli attacchi informatici costano tempo e denaro, anche secondo gli studi di Kaspersky Security Services e della piattaforma di servizi finanziari PYMNTS: in termini di blocco dei processi, reputazione e risorse da investirvi in prevenzione, sottratte allo sviluppo digitale. Del resto la trasformazione digitale ha facilitato il fenomeno, accrescendo i sinistri. Solo la settimana scorsa sono state violate e diffuse sul dark web le informazioni di oltre 2 milioni di clienti giapponesi di polizze sanitarie di Aflac e automobilistiche Zurich, per falle informatiche imputate a fornitori terzi.

Il ransomware è la causa più comune di interruzioni dell’attività, insieme ai disastri naturali con cui condivide l’imprevedibilità e la continua evoluzione: difficile valutarne esposizione e impatto, non a caso sono le due maggiori preoccupazioni delle imprese (e dei responsabili IT) individuate dall’ultimo Allianz Risk Barometer. Per i limiti tecnologici e culturali con cui ci si scontra nello standardizzarlo, il cyber risk è stato definito “inassicurabile” dall’ad di Zurich, Mario Greco: “Non è solo questione di privacy – ha detto di recente al Financial Times –. Assumendo il controllo di infrastrutture vitali, i criminali informatici possono compromettere seriamente le nostre vite”. Per non dover dare forfait anche in questo settore, come per il clima, i governi nazionali devono “creare schemi pubblico-privato per gestire i rischi informatici sistemici non quantificabili, simili a quelli che esistono in alcune giurisdizioni per i terremoti o gli attacchi terroristici”. Non possiamo fermarci al generico protocollo d’intesa, firmato due settimane fa da Camera e Agenzia per la cybersecurity nazionale, o alle Direttive Ue sulla resilienza digitale.

Le assicurazioni si trovano nella delicata duplice veste di goloso bersaglio dei crimini informatici e unico sostegno per le vittime, allo stesso tempo preda e paracadute d’emergenza. Già in passato Axa aveva parlato dell’insostenibilità delle polizze cyber non riuscendo a coprire le enormi perdite potenzialmente arrecabili dagli hacker a infrastrutture critiche: banche, ospedali, reti energetiche, telecomunicazioni fino alle stesse istituzioni, a cui il mondo assicurativo vorrebbe dare una scossa anche su questo fronte. Guardando ai numeri, in realtà il mercato della cyber risk insurance è cresciuto negli ultimi anni: oggi dispongono di tali prodotti quasi tutte le compagnie italiane ed europee: sono ancora una minoranza invece le imprese che li conoscono e hanno acceso una polizza specifica per questo pericolo, dunque il business ha grandi margini.

L’offerta però, estremamente diversificata, non può che incrementare premi e franchigie e abbassare massimali e danni risarcibili al contraente. Di fronte a rischi e costi imponderabili e non esattamente misurabili, anche la soglia di ingresso ha alzato l’asticella e nel prezzo finale rientra il grado di sicurezza interno da cui parte il cliente tramite l’implementazione di misure come: presenza di ruoli e figure responsabili delle informazioni; sistema di raccolta e analisi di log e segnalazioni dal web; team dedicato alle minacce online; formazione del personale. Anche le polizze antincendio, d’altronde, stimolano l’assunzione di azioni di sicurezza preventive da parte del cliente che rendano parametrabile il rischio, incluso quello residuo che resta in capo all’azienda. Secondo Nozomi Networks, inoltre, i criminali stanno allineando i riscatti agli importi dei rimborsi previsti dalle polizze cyber. E, in tutto questo, le criptovalute forniscono una via efficace per monetizzare il crimine.

Non solo multinazionali, anche le famiglie hanno bisogno di assistenza e tutela legale in caso di vertenze relative a danni subiti navigando in Rete o utilizzando portali di e-commerce, liti con fornitori di servizi, furti d’identità, uso fraudolento di carte di credito clonate, difesa penale per reati online e civile dinanzi al Garante se destinatarie di reclami e ricorsi. Così come l’indennizzo di danni pecuniari subiti in caso di furto di carte e dati, frodi negli acquisti su internet, virus che danneggino pc e dispositivi mobili. E di una copertura sulla responsabilità civile, che garantisca da danni involontariamente arrecati a terzi a seguito di attacco cyber, uso improprio di materiale protetto da copyright e molto altro.

L’ultima frontiera sembra essere la finanziarizzazione del rischio: la società assicurativa inglese Beazley ha appena lanciato un cyber catastrophe bond, ovvero una obbligazione privata da 45 milioni di dollari negoziabile che “fornisce a Beazley un indennizzo contro tutte le perdite informatiche superiori a un evento catastrofico di 300 milioni – recita il comunicato -, con la possibilità di rilasciare ulteriori tranche fino al 2023 e oltre”. Nel frattempo, la prima linea di difesa è investire in prevenzione e protezione, attivando – come nel comparto salute – prodotti volti non solo a ridurre le ripercussioni economiche immediate ma ad accendere un’autentica azione di sicurezza a lungo termine.

Silver Economy, Cyber Risk e Climate Change: 3 Trend per i Prossimi 12 mesi