Società

Polizze cyber sotto la lente: per IVASS “ampi margini di sviluppo per le assicurazioni”

Chissà in quanti avrebbero immaginato decenni fa che il mondo cyber sarebbe diventato così decisivo per imprese e famiglie. Al punto da doversi proteggere al meglio, anche con soluzioni assicurative. E questo perché, come ha sottolineato in un report recente l’IVASS (l’istituto per la vigilanza sulle assicurazioni), “la consapevolezza di imprese e individui nei confronti del rischio cyber è aumentata”.  Ed è aumentata perché gli attacchi informatici sono ormai all’ordine del giorno, a causa non solo delle tensioni geopolitiche, ma anche della rapida diffusione di nuove tecnologie e di nuove forme di interconnessione tra i servizi.

La sicurezza informatica deve diventare un elemento basilare per tutti. E non solo per aziende e famiglie, ma anche per le imprese assicurative. Sempre l’IVASS, in un’indagine condotta su 50 polizze assicurative, ha notato che le coperture assicurative legate ai rischi cyber “riguarda soprattutto le Pmi mentre le coperture dedicate a individui e famiglie sono meno sviluppate“.

Cybersecurity, coperture ed esclusioni per le PMI

Nell’indagine condotta dall’IVASS, sono state analizzate nel caso delle PMI ben 26 polizze cyber, di cui 14 stand alone e 12 modulari. In particolare, lo studio pone l’accento sul fatto che le coperture cyber per le PMI “siano piuttosto articolate“. Le garanzie assicurative vanno a coprire infatti non solo dai danni dovuti ad attacchi informatici, ma anche “[…] sia dai danni causati a terzi per effetto degli attacchi, sia le spese legali.“. Addirittura sono previsti servizi accessori prima del verificarsi dell’attacco informatico, oltre che nella gestione post-evento.

Andando a vedere più nel dettaglio le polizze stand alone, l’indagine ha notato come queste ultime puntino a garantire particolari perdite pecuniarie. Vanno da quelle derivanti i danni per il ripristino dei dati e dei sistemi, ai costi di istruttoria e notifica, fino ai costi per la consulenza di esperti nella gestione degli attacchi subiti. Non vanno però a coprire (o si prevedono dei limiti) i casi in cui la PMI ha subìto un attacco in assenza di antivirus o di aggiornamenti, o per guasti di network esterni o pubblici, oppure nel caso estremo di atti di guerra/terrorismo o danni con armi chimiche. A sua volta, i danni da furto o violazione e divulgazione di proprietà intellettuale sono esclusi.

Per quanto riguarda la responsabilità civile, oltre la violazione della privacy su dati riservati, la copertura può riguardare anche i danni reputazionali del terzo, violazioni della proprietà intellettuale, i costi per interruzione dell’attività o alle sanzioni per inadempimento. Sono, tuttavia, esclusi i danni dovuti da responsabilità contrattuali, o da pubblicazioni sul web non controllati dall’assicurato, così come da mancata rimozione di contenuti dal web a seguito di richiesta o denuncia dai terzi. Nel caso della tutela legale, la compagnia riconosce le spese legali in merito a vertenze relative all’assicurato per la difesa dei suoi interessi  (es. danni extracontrattuali, contravvenzioni relative all’uso del web e dei social in attività professionale…), ma non la copertura per spese relative a risarcimenti di carattere punitivo, esecuzioni forzate o multe, sanzioni e oneri fiscali.

Caso delicato è il ransomware, ovvero il “sequestro” da parte di un hacker di un computer o sistema, con tanto di richiesta di riscatto. Non sempre garantita nelle polizze, come riporta l’IVASS, “[…] Due compagnie estere che operano in Italia coprono le perdite pecuniarie derivanti dalla richiesta di riscatto […] Un’impresa offre una polizza cyber con una garanzia per attacchi informatici a scopo estorsivo“. Ma con una condizione: “[che] la sottoscrizione della polizza sia mantenuta riservata e che sia data pronta informativa alle Autorità della minaccia di estorsione.“.

Andando a vedere invece le modulari, per le PMI la portata di queste coperture è più contenuta. Si va dalla semplice tutela legale che guardano sia delitti dolosi, colposi sia contravvenzioni connessi all’utilizzo del web e dei social media. Ma a differenza delle stand alone, c’è solo l’assistenza per il recupero dei dati informatici e il ripristino dei sistemi informatici danneggiati dall’attacco, non l’indennizzo delle perdite pecuniarie associate.

È interessante anche la serie di ‘condizioni di assicurabilità’ che richiedono le compagnie. A titolo d’esempio, oltre all’aggiornamento dei sistemi di protezione e allo svolgimento di periodici backup, si richiedono anche degli oneri da parte dell’azienda, come “la sottoscrizione e il mantenimento per tutto il periodo di vigenza della polizza di un contratto di assistenza tecnica e di manutenzione sia per l’hardware che per il software”.

Polizze cyber, per le famiglie sono meno articolate

Nel caso delle polizze stand alone e modulari previste per la clientela retail, le polizze sono meno rispetto a quelle rivolte alle PMI: 6 quelle stand alone, contro le 14 delle PMI. Le perdite pecuniarie sono coperte nel caso di danni relativi a “furto o clonazione di carte di credito/debito e carte prepagate, furto di identità digitale, acquisti fraudolenti online.“. Quanto alla responsabilità civile, sono indennizzate le spese risarcitorie “per danni patrimoniali e non, involontariamente cagionati a terzi a seguito di un attacco cyber.“. Fuori dalla stand alone sono disponibili integrazioni che vadano a coprire i danni “da uso improprio di materiale protetto da copyright […] dalla pubblicazione impropria di contenuti che causano un danno di immagine a terzi, la violazione della privacy o la diffusione di dati personali di terzi.“.

Nota a parte è per l’assistenza, ma non quella semplicemente informatica come vista con le PMI. Si segnala infatti per le famiglie la disponibilità di polizze cyber che coprano “l’assistenza psicologica, telefonica e digitale“. Nel caso di attacco informatico, l’assicurato dovrà essere registrato a un servizio di monitoraggio online. Il sistema invierà un alert in caso di sospetto attacco informatico sui suoi device, così da contattare un tecnico specializzato per attivare tutte le procedure di analisi e ripristino. Nel caso di danno dovuto da furto dell’identità digitale, cyberbullismo e cyberstalking, sono previste coperture “[…] per il rimborso delle spese sostenute per ottenere un supporto psicologico a causa del manifestarsi di situazioni di disagio o stress psicofisico“.

Per quanto riguarda le modulari, “più rivolte a singoli ma estendibili al nucleo familiare“, prevedono come soluzioni opzionali le garanzie Tutela legale, Assistenza e Responsabilità civile. Nota a parte per gli acquisti e-commerce, “[…] in molte polizze sono espressamente esclusi i sinistri derivanti dall’acquisto di un’ampia gamma di beni“. Parliamo in questo caso di beni di lusso (gioielli, beni preziosi), finanziari (denaro), veicoli, e beni deperibili, oltre che armi, medicinali e animali/vegetali.

Una protezione cyber migliora la fiducia

Assicurarsi contro gli attacchi informatici non serve solo per proteggersi, ma anche per inziettare una dose di fiducia ai propri clienti. Un modo per tutelare al meglio l’interesse le PMI, garantendo coperture che guardino sia al danno economico, sia alla protezione ma anche all’assistenza dei servizi informatici (esclusioni a parte). Nell’intervento di Stefano De Polis, Segretario Generale dell’IVASS, si segnala come “[…] nel mondo digitale, fiducia significa anche un elevato livello di sicurezza informatica, resilienza agli attacchi cyber, tutela della riservatezza e corretto utilizzo dei dati.

E le aziende devono prima di tutto tutelarsi, facendo rientrare “by design” la copertura assicurativa. Anche perché, dal McKinsey Global Survey on Digital Trust di maggio 2022, “il 53% dei clienti che acquistano online lo fanno solo dopo aver verificato la reputazione del venditore specie in termini di protezione dei dati.“. E in un paese come l’Italia, non estraneo agli attacchi hacker, deve diventare una priorità. È altresì vero che alcuni contratti, PMI e retail, prevedono stringenti pre-requisiti o condizioni per rendere il rischio assicurabile, così come le esclusioni, limitazioni e le franchigie. Per questo l’IVASS conferma non solo uno stato di avanzamento nella copertura assicurativa cyber, ma, come riporta il comunicato stampa, anche “ampi margini di sviluppo di questo tipo di polizze, con offerte ancor più flessibili, commisurate alle specifiche necessità di copertura di PMI e individui e del loro differente grado di esposizione al rischio cyber.