Nei giorni scorsi, l’autorità di vigilanza europea delle assicurazioni e delle pensioni aziendali o professionali (Eiopa) ha pubblicato una indagine condotta su un campione di 41 gruppi assicurativi europei. Ed è emerso che…
Come viene trattato il rischio Cyber nella gestione dei rischi operativi nelle imprese di assicurazione? Una indagine condotta da Eiopa, l’autorità di vigilanza europea delle assicurazioni e delle pensioni aziendali o professionali, ha provato a dare una risposta.
In particolare, nelle scorse settimane Eiopa ha pubblicato un’indagine conoscitiva presso un campione di 41 gruppi assicurativi europei di grandi dimensioni al quale sono state chieste, tra le altre cose, informazioni riguardo le pratiche utilizzate per gestire i rischi operativi (informazioni sulle caratteristiche degli assicurati di tipo sensibile, come quelle relative allo stato di salute dei clienti che intendono acquistare, o hanno già acquistato, una copertura medica oppure le informazioni sensibili sulla posizione e sugli spostamenti dei clienti che le imprese devono immagazzinare, gestire e dunque proteggere da attacchi esterni).
Nel complesso, le imprese incluse nel campione hanno mostrato consapevolezza sul rischio di attacco cyber. Tutti i gruppi (tranne uno) hanno riferito che esistono procedure interne di valutazione dell’esposizione. Il 28% di loro la giudica “alta”, il 63% la considera “media”, il 10% “bassa”.
Il 100% dei gruppi che hanno risposto in merito ai metodi di valutazione ha dichiarato che utilizza modelli interni, il 74% riferisce di raccogliere sistematicamente statistiche su eventi cyber, sempre il 74% si affida a esperti esterni e il 10% afferma di impiegare altri metodi.
Alcuni gruppi hanno fornito una lista dettagliata di eventi cyber presi in considerazione al momento di effettuare la valutazione. La maggioranza degli assicuratori tuttavia si focalizza su tipologie di eventi standard, come l’attacco malware, il defacing (distorsione volontaria dell’aspetto del sito del gruppo), la violazione delle banche dati e l’interruzione dei servizi.
In una sezione specifica del questionario, Eiopa ha formulato una serie di quesiti relativi alla natura degli eventi che hanno interessato i gruppi assicurativi e la relativa frequenza.
In base alle risposte degli assicuratori, le tipologie di attacco più frequentemente subite sono la truffa via e-mail (phishing), il ricatto informatico (ransomware) e l’interruzione distribuita dei servizi informatici (Distributed Denial of Service – DDoS). Tipicamente questi attacchi hanno l’obiettivo di estrarre risorse finanziarie dal gruppo, interruzione dell’attività e spionaggio industriale. Le infezioni di tipo malware, in tutte le loro declinazioni, sono considerate quelle con conseguenze economiche più gravi.
La gestione del rischio di attacchi informatici cyber richiede l’attivazione di diversi presidi interni che vanno dalla predisposizione di un sistema di misure preventive e alla formazione di unità di crisi in caso di avvenuto attacco e per la gestione post-evento.
Dall’indagine è emerso che gli assicuratori dimostrano piena consapevolezza dell’importanza di questa infrastruttura. Il 63% dei gruppi intervistati include in modo esplicito il rischio cyber nella valutazione periodica dei rischi operativi, mentre il restante 37% dichiara di tenerne conto in forma implicita; nell’80% delle compagnie l’esposizione al rischio cyber è compresa nella valutazione interna del rischio e della solvibilità prevista dalla direttiva Solvency II.
Per quanto riguarda le metodologie impiegate ai fini per la valutazione del rischio, il 52% del campione si affida agli stress test, il 23% all’analisi dello scenario peggiore, mentre l’11% considera diversi scenari; il 10% utilizza metodologie ad hoc. In ognuno di questi casi, gli strumenti adottati sono esclusivamente di natura qualitativa nel 37% dei gruppi, esclusivamente quantitativa nel 10%, mentre il restante 53% adotta un approccio che combina strumenti delle due tipologie.
Fabio Sgroi
© RIPRODUZIONE RISERVATA
