L’International Organization for Standardization (ISO) ‒ organizzazione indipendente che, come noto, ha quale scopo quello di elaborare standard internazionali diretti a fornire soluzioni a problemi di interesse globale ‒ ha di recente pubblicato delle linee guida sull’assicurazione per il cyber risk[1].
Il documento assume interesse perché aspira a favorire, per la sua stessa natura, una maggiore standardizzazione in un ambito, quello dell’assicurazione cyber risk, in cui l’adozione di standard uniformi può agevolare lo sviluppo di tale mercato.
L’importanza del tema è evidente, considerato che l’esigenza di cybersecurity è sempre più avvertita dalle società, soprattutto negli Stati Uniti[2], e la domanda di assicurazione contro il cyber risk è in costante crescita, anche in Europa[3]. Ciò, a riprova del fatto che il cyber risk è ricompreso tra i rischi in assoluto più temuti dalle imprese[4]. In Italia, per esempio, i danni da cyber crime nel 2017 sono stati pari a circa 10 miliardi di euro, con un danno medio pari a 2 milioni di euro, circa il 70% in più rispetto a tre anni prima, con le imprese appartenenti al comparto finanziario, farmaceutico e dei beni di consumo tra quelle maggiormente colpite.[5]
L’iniziativa dell’ISO concorre a sensibilizzare ulteriormente rispetto al tema del cyber risk, ponendo l’accento sul ruolo dell’assicurazione come strumento di gestione e copertura (anche) di questo rischio.
Le linee guida, pur non circoscrivendo la nozione di cyber risk, inevitabilmente legata alla varietà di modalità con cui può essere perpetrato un attacco informatico, evidenziano i tipici incidenti cyber, tra cui la violazione, cancellazione o il deterioramento di dati confidenziali dell’impresa e di terzi, il malfunzionamento dei sistemi informatici e delle reti di comunicazione, frodi finanziarie anche sotto forma di limitazioni per l’impresa all’accesso ai propri dati se non a fronte del pagamento di una sorta di riscatto.
Come è noto, le conseguenze in termini di danni sono assai rilevanti e variano dall’interruzione dell’attività d’impresa, con conseguente perdita di opportunità d’affari, anche e soprattutto legate all’e-commerce, al furto di diritti di proprietà intellettuale ‒ notoriamente tra i beni di maggiore valore per un’impresa ‒ a danni reputazionali, responsabilità civile nei confronti di terzi, sanzioni amministrative, spese legali e costi per ripristinare l’operatività dei sistemi danneggiati.
In tale quadro, l’assicurazione ha un ruolo complementare rispetto alle regole e procedure interne di risk management, laddove ‒ e semplificando ‒ mentre queste ultime sono dirette a prevenire e gestire il verificarsi di un evento di cyber risk, la seconda interviene nel caso di verificazione del rischio, trasferendone le conseguenze dannose a un soggetto terzo, l’assicuratore appunto, a fronte del pagamento di un premio.
La copertura assicurativa si apprezza, soprattutto, in termini di indennizzo per l’interruzione dell’attività d’impresa (si pensi qui, per esempio, oltre alla perdita di reddito anche ai danni da ritardato o mancato adempimento), per le perdite da risarcimento danni nei confronti di terzi e, più in generale, per i costi da violazione di dati e per ripristinare l’operatività dei sistemi compromessi dal cyber attack.
Di regola, non sono assicurati, invece, i danni derivanti da violazioni di brevetti e trade secrets, mentre più comune è il caso di copertura dei danni da perdita di informazioni coperte da copyright, sebbene è da dire che, con riferimento in generale ai diritti di proprietà intellettuale, tenuto conto dell’ingente valore che di norma li contraddistingue, si impone per l’assicuratore un approccio tailor-made che tenga conto delle peculiarità del caso di specie. Altre esclusioni tipiche sono quelle per i danni a persone o cose, per i danni reputazionali subiti dalla società, così come per cyber attacks derivanti da atti di terrorismo.
La valenza dell’assicurazione cyber risk non è solo nel risarcimento dei danni subiti dall’impresa, ma anche in una serie di possibili servizi di assistenza che vengono prestati al verificarsi dell’evento, quali ad esempio la valutazione delle conseguenze dell’evento, l’attuazione di misure d’intervento per la mitigazione dei danni e per il ripristino della normale operatività dell’impresa, il coinvolgimento di esperti di investigazione forense, il supporto nell’informativa da fornire ai clienti e più in generale nella comunicazione all’esterno ‒ si pensi a questo proposito all’obbligo per le imprese imposto dal GDPR di comunicare all’autorità competente le violazioni dei dati personali che comportino un rischio per i diritti e le libertà delle persone fisiche[6].
Il documento dell’ISO avverte della necessità per le imprese, come parte di un efficace sistema di risk management, di dotarsi di procedure idonee ad identificare, valutare e gestire il cyber risk, procedure che, consentendo la raccolta di informazioni e dati, anche sulla frequenza e gravità di eventi pregressi, consentono di instaurare un flusso informativo con l’assicuratore funzionale alla valutazione del rischio e alla stipulazione, quindi, del contratto d’assicurazione. In molti casi, l’adozione di regole e procedure interne di cyber risk management rimane requisito essenziale ai fini dell’ottenimento della stessa copertura assicurativa.
In Italia, secondo una recente indagine della Banca d’Italia, risulta che la quasi totalità delle imprese non finanziarie ha adottato misure di prevenzione dei rischi informatici, così avvicinandosi ai requisiti previsti per le imprese operanti nei settori regolamentati[7], sebbene circa il 30% delle stesse ha dichiarato di avere comunque subito danni nel periodo settembre 2015-settembre 2016, dato questo che sale ad una percentuale compresa tra il 45,2 e il 56 se corretto per tenere conto di casi di mancata risposta al sondaggio e di cyber attacks ancora latenti.[8]
Emerge così in tutta evidenza il ruolo complementare che l’assicurazione può svolgere ai fini di un’adeguata protezione dal rischio cyber e quindi l’importanza per gli amministratori di società di considerare, in adempimento dei propri doveri, l’opportunità della sottoscrizione di un’assicurazione cyber risk o quantomeno di verificare, nell’ambito dei programmi assicurativi in essere, l’esistenza di eventuali "buchi" di copertura rispetto a questo tipo di rischi, al fine di garantire adeguata protezione alla società ed al suo patrimonio.
[1] ISO, Information technology – Security techniques – Information security management guidelines for cyber insurance, ISO/IEC DIS 27102, disponibile al link: https://www.iso.org/obp/ui#iso:std:iso-iec:27102:dis:ed-1:v1:en.
[2] BDO, 2018 BDO Cyber Governance Survey, disponibile al link: https://www.bdo.com/insights/assurance/corporate-governance/2018-bdo-cyber-governance-survey-board-perspecti.
[3] EIOPA, Seventh Consumer Trends Report, 2018, 24 ss., disponibile al link: https://eiopa.europa.eu/Publications/Reports/EIOPA-BoS-18-526-Seventh%20Consumer%20Trends%20Report%20for%20Publication.pdf
[4] EIOPA, Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, 2018, disponibile al link: https://eiopa.europa.eu/Publications/Reports/EIOPA%20Understanding%20cyber%20insurance.pdf; IAIS, Issues Paper on Cyber Risk to the Insurance Sector, 2016, disponibile al link: file:///C:/Users/borsella/Downloads/Issues_Paper_on_Cyber_Risk_to_the_Insurance_Sector.pdf.
[5] ANIA, Il rischio cyber. Conoscerlo di più per proteggersi meglio, 4, disponibile al link: http://www.ania.it/export/sites/default/it/pubblicazioni/Dossier-e-position-paper/Il-rischio-cyber-conoscerlo-di-piu-per-proteggersi-meglio-Position-paper.pdf.
[6] V. art. 33, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[7] V. per esempio per il settore assicurativo la disciplina sulla cyber security aziendale recata dal Regolamento IVASS n. 38 del 3 luglio 2018, in materia di governo societario.
[8] Banca d’Italia, Cyber attacks: preliminary evidence from the Bank of Italy’s business surveys, Questioni di Economia e Finanza, disponibile al link: https://www.bancaditalia.it/pubblicazioni/qef/2017-0373/QEF_373.pdf