Cyber Risk – III° Capitolo

Cyber Risk – III° Capitolo

Giugno 2019: riapriamo la finestra sul settore della Cyber Insurance, già oggetto di due precedenti articoli di questa newsletter, per aggiornarci sullo stato di avanzamento del settore.

Il tema è sempre attuale, sia per settore IT (con la sempre maggiore necessità di proteggere sistemi e informazioni di proprietà e di terzi), sia in ambito legale, con la scadenza e la conseguente applicazione del GDPR (25 maggio 2018) come recepimento delle direttive Europee sulla privacy e la nascita di nuove figure apicali come il DPO (Data Protection Officier).

Certamente anche il settore assicurativo è stato, è e sarà sempre più interessato e coinvolto dal panorama economico che si sta sviluppando nel settore, ma l’evoluzione del mercato assicurativo, almeno in Italia (e non solo) non è direttamente proporzionata all’interesse destato dal tema o al volume degli attacchi registrati o denunciati nel mondo.

Tanta strada è ancora da fare.

Dopo una timida partenza che ha coinvolto esclusivamente istituti di credito e le grandi realtà utility e produttive prevalentemente multinazionali o con asset di riferimento in paesi europei o americani, la sensibilità alla sicurezza informatica sta lentamente e inesorabilmente propagandosi, verosimilmente proprio in conseguenza all’aumentare e diffondersi degli attacchi, tentati e riusciti oltre che dei rischi sanzionatori da parte dell’attività Garante.

Tra i tanti documenti di approfondimento, il report Symantec 2019, illustra in modo chiaro e sintetico una situazione in decisa evoluzione:

  • +56% attacchi web
  • + 33% Mobile Ransomware
  • +78% attacchi a supply chain
  • +1000% malicious powershell script

Un incremento costante che non solo coinvolge numericamente sempre più realtà, ma rappresenta al contempo anche un’evoluzione delle metodologie di attacco, e dei target di interesse.

E siamo ancora solo all’inizio…

 

Ma non disperiamo, parallelamente all’aumento degli atti criminosi, stiamo assistendo alla nascita di innumerevoli soluzioni, sistemi più o meno tecnici e di governance volti a proteggere e migliorare la sicurezza IT delle infrastrutture aziendali.

Certo si tratta di investimenti, e costi ulteriori che devono essere ben ponderati, ma che diventeranno sempre più necessari per garantire non solo la necessaria business continuity, ma anche per salvaguardare la vita economica e reputazionale di qualsiasi realtà, dalla grande produzione, ai servizi, ma anche la sanità e la logistica. Impossibile poi trascurare i risvolti e le necessità per i rischi emergenti dalla evoluzione digitale dei processi produttivi (Industria 4.0) del settore automotive e dei trasporti in generale, e l’evoluzione delle città a smart-city che producono e produrranno una sempre crescente interconnessione al World Wide Web ed ai problemi ad esso connessi.

È dunque sempre crescente la necessità di fornirsi di sistemi che possano ridurre il rischio derivante da attacchi cyber ed in quest’ottica dovrà necessariamente rientrare anche la stipula di una polizza assicurativa a protezione del rischio cyber diretto e delle responsabilità derivanti nei confronti dei terzi.

Ma come anticipato, almeno in Italia la penetrazione del mercato da parte dei prodotti assicurativi dedicati, è certamente inferiore rispetto a quella di altre soluzioni informatiche o a quella di adeguamento delle policy comportamentali dei dipendenti.

Quali sono i principali motivi che rallentano la diffusione massiva dei prodotti assicurativi come maggior tutela nei casi di attacchi informatici?

Alcune risposte ci vengono fornite dall’analisi di CBInsight secondo cui ad esempio Munich Re stima che il volume di mercato per l’assicurazione cibernetica crescerà nel mondo fino a  9 miliardi di dollari entro il 2020 – più del doppio del valore per il 2017, crescita guidata da una maggiore necessità/sensibilità del cliente finale, conseguente all’aumento del rischio di attacco, come anche delle stringenti normative a tutela della privacy.

Aon Benfield (sempre dal report CB) ha identificato che 20 dei 170 principali produttori di polizze cyber, nel 2016 costituivano l’87,3% del totale dei premi assicurativi per gli assicuratori statunitensi. Molte compagnie di assicurazione rimangono scettiche, o quantomeno si muovono a passo lento nel settore, caratterizzato da tecnicismi altamente specifici, e dall’assenza di storicità e statistiche a medio termine anche in virtù del mancato obbligo di denuncia (introdotto invece dal GDPR).

Alla riunione annuale del Berkshire Hathaway nel maggio 2018, Warren Buffett ha detto al riguardo delle polizze cyber: “non penso che né noi né nessun altro sappia davvero cosa sta assicurando quando sottoscrive un contratto cyber. Noi non vogliamo essere pionieri di questo settore”.

Questa frase rappresenta e contestualizza in modo cristallino il sentiment generale del settore, quantomeno in Italia, dove i prodotti sono spesso omologati o di derivazione di grandi riassicuratori (proprio perché il ramo vede al momento una grande quota di trasferimento di rischio proprio ai riassicuratori), con poca possibilità di customizzazione e di diversificazione del mercato.

Per garantire dunque una crescita “protetta” del mercato che possa produrre risultati economici favorevoli sia per i clienti che per gli assicuratori, le Compagnie stanno allora volgendo lo sguardo agli strumenti tecnologici che il mercato inizia a proporre come supporto e/o garanzia a diversi livelli della protezione della rete informatica assicurata.

Oggi, nel mondo i fornitori stanno assistendo le Compagnie fornendo principalmente consulenza, strumenti per la selezione dei rischi guidata dai dati e da una stima economica dell’impatto dei rischi informatici a livello aziendale e di portafoglio.

In Italia invece al momento la fase assuntiva, è prevalentemente lasciata alla redazione di questionario specifico, e in alcuni casi viene proposta all’assicurato a possibilità di utilizzare strumenti di incident managment o semplice monitoraggio post evento, al fine di avere prezzi o condizioni vantaggiose alla stipula.

Rimandiamo ad un prossimo approfondimento l’analisi degli strumenti e loro valutazione.

Personalmente ritengo più efficace un approccio volto alla selezione del rischio ed alla sua diagnosi predittiva, in modo da poter garantire ai sottoscrittori una migliore conoscenza dei rischi ed una maggiore tutela degli asset.

Certamente in entrambi i casi il mondo IT dovrà convincere quello assicurativo della bontà delle soluzioni che possano portare all’ottenimento di un buon andamento del ramo.

Quindi certamente un ostacolo alla crescita è la mancanza di storicità del settore, che si sta lentamente costruendo sulla base delle informazioni dei paesi in cui il settore è già evoluto (USA in primis), ma ritengo che preponderante sia ancora la necessità di interconnettere il processo assuntivo, prima che quello indennitario o risarcitorio della polizza con i sistemi tecnologici di supporto.

Non trascurabile poi come ostacolo alla diffusione della cyber insurance, come l’insieme di uno o più strumenti (oltre il contratto assicurativo) comportino un costo decisamente maggiore rispetto ad altri settori in cui la polizza è strumento necessario e spesso ritenuto sufficiente. Chi dovrà sostenere i costi, che per i supporti tecnici ai contratti assicurativi, le Compagnie o i clienti finali reali beneficiari di un sistema composto a garantire una protezione efficace del proprio business.

Torna dunque nuovamente nodale l’aspetto economico, ed in particolare il valore dello strumento assicurativo in funzione del premio da parametrare necessariamente ai vantaggi tecnici e di salvaguardia permessi. Il mercato si divide sostanzialmente in due, chi propone polizze a basso costo, smart, con coperture limitate (limitatissime in alcuni casi) senza utilizzo di strumenti di supporto e chi invece propone polizze taylor made o comunque customizzate, che utilizzano ma solo in alcuni casi sistemi informatici di supporto e che rispondono probabilmente meglio alle reali necessità del mercato.

Certamente saranno necessarie evoluzioni, cambiamento e nuovi approcci sia tecnici che assicurativi per un settore certamente interessante ma anche altamente specialistico.

Alla prossima, dunque, per continuare a monitorare le evoluzioni del mercato.

Stay tuned.

Bibliografia: Symentec ISTR 2019, report CBInsight