Secondo quanto emerso dal recente convegno annuale di Aiba, il mercato assicurativo italiano cyber è ancora «nella sua fase embrionale: poche le imprese che hanno sottoscritto una polizza nel 2017, scegliendo soluzioni che non sempre riescono a garantire la copertura completa del rischio».  

Nel 2017, i danni complessivi provocati dal cyber crime in Italia sono ammontati a circa 10 miliardi di euro, il tempo medio impiegato da un’azienda per capire di essere sotto attacco cyber è stato di 205 giorni e per riprendersi da una violazione sono stati necessari circa 74 giorni. Sono numeri che fanno rabbrividire quelli che arrivano dal convegno annuale organizzato qualche giorno fa a Roma dall’Aiba, l’Associazione italiana brokers di assicurazione e riassicurazione) dal titolo Security Code. I nuovi scenari per la gestione e il finanziamento del cyber risk nella industria 4.0, alla luce del Regolamento Gdpr.

Secondo quanto è emerso, le grandi aziende e le organizzazioni governative sono costantemente sotto attacco e oltre il 50% delle Pmi ha subìto un attacco nel 2017, per un costo medio di circa 35.000 euro.

Lo scorso anno, si legge in una nota dell’Aiba, «i cyber criminali sono riusciti a rubare 40 mila euro a una Pmi, ingannando il figlio dell’amministratore delegato con due sole e-mail: non è possibile definire un perimetro certo di difesa e non esiste tecnologia che ci difenda dall’ingegno delle persone. Un errore commesso in fase di chiusura di un rapporto nella filiale di una banca, ha prodotto un risarcimento danni di 1 milione di euro a favore del cliente: i dati sono preziosi e costosi i rischi dei trattamenti completamente automatizzati».

Naturalmente nel corso del dibattito si è parlato anche di cultura della gestione sistemica del cyber risk, che «è in crescita nel nostro Paese, ma non abbastanza». Le imprese, rileva l’Aiba, «non prestano sempre la dovuta attenzione ai benefici prospettici derivanti da una puntuale strategia di mitigazione dei rischi cyber». Il Regolamento generale sulla protezione dei dati (Gdpr) che sarà applicabile negli Stati Ue dal prossimo 25 maggio, «potrà aumentare la sensibilità verso questo tema, dove consulenti professionali indipendenti come i broker di assicurazioni Aiba, giocano un ruolo fondamentale come diffusori di cultura del rischio e nell’individuazione delle più idonee strategie di mitigazione del rischio che è la strada obbligata per la messa in sicurezza del patrimonio aziendale».

Prevenire del tutto un attacco cyber, fa notare l’associazione dei broker, «non sembra essere di fatto possibile, ma tutelarsi da questo rischio è indispensabile per salvaguardare le imprese da eventi dannosi che sfuggono a ogni previsione».

Secondo Luca Franzi, presidente di Aiba, «le aziende sono sempre più dipendenti dalle tecnologie, operano in un mercato globale sempre più interconnesso che ha eliminato, di fatto, i confini spazio-temporali. Il numero di attacchi è in costante aumento e a preoccupare è soprattutto l’alto livello di sofisticazione. Lo sviluppo di tecnologie come l’Internet of Things, il cloud computing e il mobile aumentano costantemente il raggio delle vulnerabilità e rendono indispensabile adottare efficaci strategie di cyber security che devono coinvolgere tutte le funzioni aziendali”.

Sempre secondo quanto è emerso dal convegno, il mercato assicurativo italiano cyber è ancora «nella sua fase embrionale: poche le imprese che hanno sottoscritto una polizza nel 2017, scegliendo soluzioni che non sempre riescono a garantire la copertura completa del rischio. Il valore del mercato cyber è di circa 20 milioni di euro». Le compagnie «faticano a individuare standard di riferimento per un rischio in costante e imprevedibile evoluzione, i cui costi totali sono difficili da stimare e dove mancano dati storici su un arco temporale sufficiente a consentire una compiuta valutazione del rischio in sede di assunzione».

La polizza cyber può coprire sia i danni dell’impresa (interruzione dell’attività, proprietà intellettuale, ripristino dei sistemi), sia i danni a terzi (violazione privacy, perdita profitto, frode finanziaria), sia i costi per la difesa legale, ripristino, reputazione e altro. «Nel mercato si sta affermando la tendenza a escludere il cyber risk dalle coperture tradizionali, come ad esempio le assicurazioni property & casualty. Però, allo stesso tempo le coperture specifiche sui cyber risk, tendono a escludere le lesioni e i danni materiali», ha osservato Franzi. «È fondamentale che il tema della sicurezza diventi il pilastro delle strategie di business aziendali. Oggi molti manager sono consapevoli della vulnerabilità aziendale rispetto al cyber risk, ma non tutti sono in grado di gestire un attacco: il cyber risk management è diventato un aspetto decisivo per la sostenibilità economica delle aziende». (fs)

© RIPRODUZIONE RISERVATA