CYBER RISK
Approfondimenti sulla polizza a copertura del cyber risk – Autori: Laura Opilio e Luca Cristini
Sempre più spesso si sente parlare di spazio cibernetico (c.d. cyberspace), quale luogo dalle caratteristiche a-spaziali e a-temporali, epicentro di una condivisione di dati a livello globale.
Proprio in ragione delle sue caratteristiche, questo spazio presenta elevati rischi, che richiedono coperture assicurative ben calibrate sia in termini di oggetto di copertura sia di risk assessment. Così, la polizza assicurativa di tipo “cyber”, con specifico focus sugli incidenti di sicurezza, rappresenta uno strumento utile per rispondere alle nuove esigenze di tutela contro le minacce informatiche.
In un’ottica generale, la polizza cyber risk punta ad offrire una copertura totale dei rischi collegati alla rete e alle nuove tecnologie, proteggendo gli assicurati dalle responsabilità derivanti da violazione dei dispositivi di sicurezza e da violazione della privacy derivante da perdita o diffusione non autorizzata di dati di terzi.
Prima di esaminare più nel dettaglio la polizza, che (come vedremo) agisce di regola come assicurazione per la responsabilità civile, nonché come assicurazione contro i danni, occorre preliminarmente soffermarci sulle definizioni di “spazio cibernetico” e “rischio cibernetico”, per meglio comprendere il complesso ambito in cui opera la copertura assicurativa.
Lo spazio cibernetico (o cyberspace) viene definito all’interno dell’art. 2 del D.P.C.M. 17 febbraio 2017 (Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, G.U. 13/04/2017) quale «l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi».
La stessa disciplina individua poi la “sicurezza cibernetica” in quella «condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria o accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi».
Quanto al rischio cibernetico (c.d. cyber risk), questo termine rappresenta una sintesi del tema del rischio all’interno dello spazio cibernetico. Di norma, il cyber risk viene inteso come quel rischio associato alle perdite economiche inflitte dalla mancata disponibilità di integrità di informazioni e/o sistemi informatici propri o di terzi. Nondimeno, anche il rischio cibernetico si articola secondo gli schemi classici del rischio coperto nei rami danni: vale a dire i danni al patrimonio, i danni alle cose e i danni alle persone.
Ed è a partire da questi schemi classici che si articola la stessa domanda e offerta assicurativa, in cui: il cyberspace viene individuato nel network delle infrastrutture della information tecnology, inclusivo delle reti internet, del sistema di telecomunicazioni e dei sistemi informatici più in generale; mentre il cyber risk è quel rischio collegato all’operare all’interno dello spazio informatico, con i suoi pericoli intrinseci associati al trattamento delle informazioni nei sistemi di rete (banche dati, hardware, software), spesso soggetti a criminalità informatica (come per esempio agli attacchi hacker).
Un ambito, quello della polizza cyber risk, che investe quindi il mondo informatico nel suo complesso e che tutela le attività commerciali da tutti i cybercrimes che possono causare ripercussioni per la produttività.
Volendo calare nel caso concreto il cyber risk coperto dalla polizza, si è soliti parlare di “incidente di sicurezza”: vale a dire, in termini generali, un evento che compromette l’integrità, la disponibilità o la riservatezza di sistemi informatici o delle informazioni che detti sistemi elaborano, conservano o trasmettono.
A ben vedere, non esiste né una definizione né una disciplina unitaria di “incidente di sicurezza”, che è invece contenuta in normative di settore, nazionali ed europee (tra queste, la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione).
Senza voler pretendere di avanzarne in questa sede una elencazione della casistica esaustiva, tra i più comuni “incidenti di sicurezza” troviamo: la violazione dei dati personali (c.d. data breach), vale a dire quella violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, n. 12, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, ‘GDPR’); il ransomware (dall’inglese ransom, “riscatto”), vale a dire quel programma informatico dannoso che può “infettare” un qualunque dispositivo digitale, bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) e poi esigendo il pagamento di un riscatto per “liberarli”.
Nel loro verificarsi, gli incidenti di sicurezza possono esporre i soggetti che li subiscono a danni e costi per la difesa derivanti da reclami o azioni di terzi (in particolare gli interessati dal trattamento dei dati personali); a danni alla reputazione e all’immagine, ovvero derivanti da interruzione dell’attività; ai costi per le investigazioni di cybersecurity, consulenza e misure tecniche adeguate a contenere o rimediare alla violazione.
Plurime appaiono quindi le voci di danno che possono scaturire da un medesimo incidente e che devono trovare copertura in una polizza cyber risk.
La minaccia cibernetica, inoltre, può condurre in inganno più di altre, in quanto gli attacchi informatici e gli incidenti di sicurezza che ne possono derivare non sono quasi mai palesi o evidenti; nella maggior parte dei casi, invece, si tratta di infiltrazioni silenti realizzate mediante software malevoli (c.d. malware) che, introdotti nelle reti e nei sistemi, vi permangono per mesi o anni.
È per queste ragioni che la gestione dell’incidente di sicurezza richiede un intervento coordinato da parte di più professionisti, che di regola compongono un panel altamente specializzato offerto dalla società assicurativa che propone la polizza cyber.
Tale polizza comprende, anzitutto, l’intervento di consulenti legali, indispensabili al fine di valutare la natura dell’incidente e il relativo livello di rischio, nonché di comprendere gli obblighi legali applicabili e svolgere i relativi adempimenti (quali, ai sensi dell’art. 33 GDPR, la notifica obbligatoria della violazione entro 72 ore dal momento in cui si è avuta conoscenza dell’evento all’autorità di controllo competente, che in Italia è il Garante per la protezione dei dati personali).
Contestualmente, è senz’altro necessario coinvolgere risorse specializzate in ambito informatico in materia di cybersecurity, al fine di investigare prontamente le caratteristiche tecniche dell’incidente e attuare nel più breve tempo possibile tutte quelle attività finalizzate a comprendere la portata che tale incidente ha avuto nella sicurezza dei sistemi informatici coinvolti e a minimizzarne l’impatto.
L’intervento di altri professionisti può risultare essenziale, specie in relazione a determinate violazioni di sicurezza. Per esempio, qualora l’episodio sia stato reso pubblico, potrebbe risultare indispensabile coinvolgere un’agenzia di comunicazione che predisponga comunicati stampa o analoghe informative connesse all’incidente, al fine di gestirne il relativo impatto mediatico. O ancora, nei sopra descritti casi di ransomware, potrebbe risultare fondamentale l’intervento di consulenti specializzati nella negoziazione del riscatto; si tratta di società con elevata specializzazione tecnica, che entrano in contatto con gli hacker al fine di verificare se la minaccia sia reale e negoziare, appunto, l’importo del riscatto richiesto.
In generale, quindi, le polizze cyber coprono i clienti dalla responsabilità civile in caso di danni a sistemi o apparecchiature tecnologiche. Tuttavia, sono spesso inclusi nella copertura assicurativa anche i danni dovuti ad un’eventuale interruzione di servizio causata dagli attacchi informatici o altre manomissioni ai sistemi, come la perdita di fatturato, e i costi relativi alle lesioni all’immagine e alla credibilità del soggetto che ha subito l’incidente di sicurezza.
A seguito dell’incidente di sicurezza, infatti, le polizze cyber, valutati i danni subiti dall’azienda/professionista coinvolto, offrono una compensazione adeguata. Ma accanto a questa prestazione, i campi di intervento della polizza cyber sono ampi e possono tutelare molteplici conseguenze legate all’incidente verificatosi (come visto, ad esempio, possono rientrare nella copertura della polizza i costi legati al recupero dei dati e alla ripresa delle attività, ma anche eventuali spese legali o perdite di fatturato dovute ai danni informatici).
Il valore assicurato da una polizza cyber è quindi molto variabile, e difficilmente definibile a priori. Di conseguenza, anche i premi assicurativi spaziano tra diversi range, spesso legati a fatturato e dimensioni dell’assicurato.
Ciò che qui rileva, è che l’interesse tutelato nella polizza cyber risk non trova soluzione soltanto nella compensazione del danno, che non può certo essere l’unica risposta, ma anche – e forse soprattutto – in misure di contenimento di tutti quegli effetti dannosi ulteriori prodotti dall’incidente di sicurezza.
Nello specifico, l’assicurato coinvolto in una violazione di sicurezza, notificandola all’assicuratore, potrà attivare un panel di professionisti specializzati che, mediante il coordinamento dei vari settori coinvolti, gestirà ogni aspetto dell’incidente.
Rispetto ad una classica assicurazione per la responsabilità civile, dunque, la polizza cyber risk punta ad offrire una soluzione esaustiva, che non è soltanto di carattere compensativo, ma anche preventivo, offrendo all’assicurato un espediente per rispondere in maniera rapida ed efficace a tutte le molteplici incidenze negative che possono derivare dal medesimo incidente di sicurezza e che coinvolgono figure professionali in disparati ambiti di competenza.
È proprio per queste sue caratteristiche che la polizza cyber risk viene generalmente offerta sul mercato come prodotto stand alone, il più completo contro gli attacchi informatici/ incidenti di sicurezza.
Rispetto alle più tradizionali polizze per la responsabilità civile professionale o alle polizze D&O, infatti, la polizza cyber copre il risarcimento di tutte le spese sostenute dall’assicurato: sia sotto forma di danni propri (quali le spese per il recupero dei dati, le spese per il ripristino dei sistemi informatici, sino anche alla perdita di fatturato e ai costi relativi alle lesioni all’immagine), sia sotto forma di danni causati a terzi (quali le spese derivanti da violazione della privacy e le relative richieste di risarcimento).
In un’epoca in cui lo sviluppo tecnologico è un fenomeno in continua espansione che colpisce tutti i settori economici, la polizza cyber può senz’altro rappresentare uno strumento utile per rispondere alle nuove sfide ed esigenze del mercato, in particolare proprio grazie a questo suo approccio esaustivo, che consente inoltre di avere a disposizione un team dedicato e specializzato per la gestione delle violazioni di sicurezza sotto tutti i suoi molteplici aspetti, un vero e proprio “pronto intervento” da attivare appena si è colpiti da questi eventi. Non sorprende, quindi, che i cyber risks siano oggi prevalentemente assunti da imprese assicuratrici con alta specializzazione.
La diffusione di polizze cyber risk, tuttavia, seppur in crescita nel resto del mondo, stenta ancora ad affermarsi in Italia.
Al fine di valutare l’opportunità di sottoscrivere una polizza cyber in vigenza di altri prodotti assicurativi, occorre prestare particolare attenzione alle condizioni generali degli altri prodotti sottoscritti. Di norma, infatti, la copertura cyber non viene di per sé offerta da altre polizze tradizionali, che sovente escludono i danni derivanti da e le richieste di risarcimento relative a cyber liability.
Solo alcune compagnie hanno optato per la presenza nelle loro polizze della cosiddetta “garanzia ransomware”, omettendo però di offrire vere polizze cyber, caratterizzate da quell’elemento di esaustività visto in precedenza.
Con un non troppo celato velo di amarezza, quindi, si può soltanto auspicare che nel prossimo futuro anche il nostro paese possa accelerare il passo nella direzione delle polizze cyber risk e affiancarsi in quella che, in altri parti d’Europa e nel mondo, rappresenta ormai una realtà consolidata.
FONTE:
