La cyber insurance alla prova dei fatti

Non esiste cyber insurance senza cybersecurity. È questo il denominatore comune dell’offerta delle compagnie assicurative che propongono in Italia polizze a copertura rischio cyber crime. Le imprese sono chiamate ad aggiornare i sistemi IT e ad adottare soluzioni di sicurezza adeguate per accedere a determinate offerte. È un requisito minimo che spesso, ma non sempre, incide anche sul valore del premio. Lo dicono le proposte delle compagnie attive in Italia, dove sono diversi i gruppi che propongono assicurazioni a copertura rischio cyber crime. Le assicurazioni non ancora attive con un’offerta in questo ambito, invece, stanno studiando in modo approfondito soluzioni per rispondere a una domanda che risulta essere in crescita.

L’indagine

È quanto emerso dall’indagine realizzata da Office Automation, la prima condotta in questo ambito nel nostro Paese, per fare luce su un mercato agli albori. Per realizzarla, abbiamo contattato venti dei maggiori gruppi attivi in Italia, basandoci sull’ultima graduatoria di settore per l’anno 2017 relativa ai rami danni pubblicata da Ania, Associazione nazionale fra le imprese assicuratrici. Obiettivo: comprendere cosa propongono, a chi si rivolgono e in che modo puntano a coprire i rischi relativi alla sicurezza informatica delle aziende italiane.

Le compagnie che hanno risposto sono state dieci: AIG, Cattolica Assicurazioni, Groupama, HDI Global, Helvetia, ITAS Assicurazioni, Reale Mutua, Sara, Unipol e Zurich Insurance. Intesa Sanpaolo Assicura, Mapfre e Aviva, invece, hanno confermato la loro attenzione verso questo mercato ma al momento non hanno un’offerta di prodotti assicurativi di questo tipo.

Da alcune società – Ammissima, Vittoria Assicurazioni e Axa – non sono giunte risposte anche se da noi più volte sollecitate, così come da Generali, che comunque sappiamo aver lanciato una nuova funzione cyber insurance e una nuova startup, CyberSecurTech, per soddisfare le esigenze dei clienti proprio nel campo dei rischi informatici. Allianz, invece, ha preferito non partecipare pur avendo un’offerta di cyber insurance.

Da questa prima fotografia, però, è già possibile estrapolare alcune informazioni interessanti. Se da tempo esiste sul mercato un’offerta di polizze, comunque limitata a pochi operatori, per la copertura del rischio residuo sul fronte della sicurezza informatica dedicata alle grandi realtà enterprise, oggi tutti i gruppi intervistati, chi più chi meno, sono attenti a soddisfare prima di tutto le necessità delle piccole e medie imprese del nostro Paese, ‘l’anima’ del tessuto industriale italiano. Uno sguardo che, nel suo insieme, coinvolge gli studi professionali anche delle più piccole dimensioni, per un’offerta che in maniera ecumenica abbraccia tutti i settori, dal manifatturiero all’alberghiero, e che in alcuni casi guarda anche alla PA.

A tutte queste realtà la copertura danni mette al centro, non solo quelli propri di interruzione delle attività dovuti al blocco dei sistemi informatici, ma anche quelli cagionati a terzi, come nel caso della perdita di dati, informazioni e di violazione della privacy. ‘Data is the king’, insomma, anche nelle assicurazioni. E lo dovrà essere anche in futuro se le cyber insurance vorranno approfittare dei numeri di crescita che caratterizzano questo nuovo mercato.

2020: mercato potenziale da due a cinque volte

I numeri sono da capogiro e li fornisce Lloyd’s: se a livello globale per il 2018 la sottoscrizione di polizze di cyber insurance era stimato in 4 miliardi di dollari, da qui al 2020 si stima invece un valore compreso tra i 7,5 miliardi e i 20 miliardi di dollari. In pratica, un aumento nei prossimi 22 mesi da due a cinque volte. Una crescita ‘enorme’, quindi, una prediction sicuramente da ‘prendere con le pinze’, vista anche l’ampiezza della stima al 2020, ma che comunque indica come esista una forte potenziale domanda da parte delle aziende ad accedere a questa tipologia di polizze.

L’atteggiamento proattivo delle imprese alla sicurezza informatica, nel nostro Paese e in Europa, come sappiamo ha ricevuto una spinta dal GDPR, il Regolamento sulla protezione dei dati personali divenuto attuativo lo scorso maggio. Ma a mettere in guardia le aziende dai possibili rischi cyber è anche il fatto che “le migrazioni cloud, le tecniche di social engineering, lo smart working e la convergenza di IT e OT saranno responsabili dei maggiori grattacapi legati alla cybersecurity”. A spiegarlo è Trend Micro nel suo report “Mappare il futuro: affrontare le minacce pervasive e persistenti”, studio che raccoglie le previsioni relative alla sicurezza informatica per il 2019. “Tra le tendenze individuate, un posto di primo piano è ricoperto dallo sviluppo del mercato delle cyber insurance”, ha sottolineato Gastone Nencini, country manager di Trend Micro, durante la presentazione della ricerca secondo la quale “le cyber assicurazioni vedranno una crescita senza precedenti in quanto si prevede un aumento anche di violazioni e mancata conformità”. A guidarla, anche le nuove sfide per le imprese che saranno dovute “alla mancanza di risorse umane qualificate che metterà sotto pressione i bilanci per la ricerca di personale IT esperto”.

Attenzione a non sbagliare approccio

Una crescita senza precedenti cui dovrà far seguito anche un approccio più maturo da parte delle aziende utenti interessate a sottoscrivere le polizze di cyber insurance. Il timore, infatti, è che l’assicurazione sia vista dalle imprese come un cerotto da applicare sulla ferita. Una medicina da tenere nel cassetto, da prendere perché non si vuole prevenire e investire in sicurezza informatica in maniera adeguata. La speranza è che questo non avvenga, ma secondo diversi operatori di cybersecurity la visione attuale della cyber insurance di molte organizzazioni è proprio quello della ‘toppa’. Un approccio sbagliato a un’offerta assicurativa che, dal canto suo, è invece chiamata a seguire l’evoluzione delle minacce e ad analizzare a 360° l’assessment dei clienti per capire qual è il reale rischio residuo su cui intervenire. La sicurezza informatica al 100%, come sappiamo, non esiste: ogni azienda deve valutare il proprio business, i propri asset e fissare un determinato livello di rischio oltre il quale gestire il tema in maniera differente. È qui che le assicurazioni devono operare.

La valutazione del rischio

Un compito non semplice da garantire prima di tutto partendo da una valutazione del rischio che tenga conto di numerosi aspetti dell’azienda, non solo la tecnologia. Se al momento l’analisi delle imprese guarda infatti alle soluzioni di difesa – come data recovery, backup e firewall – nel prossimo futuro al centro delle profilazioni le assicurazioni dovranno mettere in primo piano anche un altro elemento: l’utente finale, spesso l’anello debole a livello di sicurezza informatica. Senza dimenticare che molte volte i problemi di cybersecurity nascono dall’interno: sono sì figli di un’intenzionalità malevola, ma spesso anche dell’errore umano causato dalla disattenzione di una parte del personale a policy e regole di sicurezza definite, ma evidentemente scarsamente comunicate. In questo senso, quindi, bisogna valutare anche la qualità del lavoro del CISO e dei tecnici preposti alla sicurezza informatica.

Un’analisi attenta, insomma, non solo per fornire una polizza il più vicina possibile alle necessità di copertura delle aziende, ma anche per premiare tutte quelle realtà ‘virtuose’ che investono in sicurezza informatica e formazione del personale. Perché, come ha evidenziato Andrea Agosti, financial services lead di Accenture Security Italia, “le organizzazioni che subiscono violazioni informatiche non hanno solo necessità di recuperare la perdita economica causata dal cyber attack, ma anche e soprattutto di arginare il prima possibile l’attacco subito, gestendolo in modo efficace ed evitando l’aggravamento dei danni”, ha sottolineato. Il consiglio per le aziende è quindi quello di “ricercare nelle proposte assicurative un’offerta innovativa che integri le coperture in ambito cyber con servizi professionali di valore per il cliente; in particolare attraverso l’assistenza da parte di team di specialisti per assessment, gestione degli eventi e azioni di ripristino e recupero dei dati”. Non mancano, in ogni caso, le compagnie assicurative che a fronte di verifiche sullo stato di adeguatezza della sicurezza informatica del cliente riconoscono anche forti sconti al premio annuale che un’azienda deve sottoscrivere a copertura di una polizza di cyber insurance.

Il settore pubblico e la sanità

Anche in ambito pubblico il paradigma delle assicurazioni sta cambiando. È il caso del centro ospedaliero Papa Giovanni XXIII di Bergamo. “Se una volta il focus maggiore era sul rischio legato alla ‘malasanità’, ora è sul rischio clinico legato anche al software – ha spiegato Antonio Fumagalli, UOC ICT dell’ospedale. In questo senso, nell’ultimo periodo abbiamo dovuto fornire una serie di informazioni per spiegare, per esempio, come viene utilizzato il software per scrivere e somministrare un farmaco e nel corso dell’ultimo anno abbiamo dovuto dettagliare spiegazioni relative alla gestione delle informazioni, alla continuità operativa o al recupero dei dati. In base a queste informazioni – ha concluso Fumagalli – il broker assicurativo ha realizzato la sua valutazione di profilo di rischio ed emesso la polizza assicurativa per il nostro ospedale”.

Le possibili sinergie

Numerose, insomma, le sfumature e le strade che la cyber insurance può intraprendere. Quel che è certo è che stiamo parlando di un mercato in crescita anche in Italia e che mondo assicurativo e sicurezza informatica non percorrono più strade separate. Si incontrano e probabilmente lo faranno ancor di più in futuro, magari operando in sinergia. “Sono due i casi dove vedo possibili sinergie con le compagnie assicurative – ha spiegato Marco Urciuoli, country manager Italy di Check Point Software Technologies. Il primo quando chi offre polizze contro il cyber risk intende mettere in campo per i suoi clienti strumenti per svolgere analisi sofisticate, ma anche soluzioni all’avanguardia per prevenire gli attacchi APT da offrire come servizio ai propri clienti, quali Soc e servizi di ‘incident response’. Il secondo, nella fase di remediation successiva all’assessment svolto sulla security del cliente che vuole sottoscrivere una polizza: dove la compagnia assicurativa non suggerisce nulla al cliente. È infatti compito suo attuare misure correttive, quindi in questa fase può entrare in scena un vendor di cybersecurity come noi”.

Esistono già esempi di sinergia sul mercato italiano, come quello messo in campo da G Data, Reale Mutua e il broker assicurativo Margas, che insieme nel corso del 2018 hanno sviluppato una soluzione Insurtech che integra tecnologie di sicurezza informatica con una polizza assicurativa per la responsabilità civile per le PMI. Potrebbe essere questa, cercare il giusto equilibrio tra cyber insurance e cybersecurity, una possibile via per far maturare il mercato e allontanare il ‘rischio del palliativo’?