GESTIRE I DATI E PREVENIRE I RISCHI INFORMATICI: ECCO COSA STANNO FACENDO AGENTI E BROKER

20 Dicembre 2017

L’Ivass ha reso noti i risultati dell’indagine avviata a luglio scorso. Il livello di consapevolezza dell’esistenza del rischio informatico e della necessità di protezione dei dati e delle informazioni della clientela? «È discreto». Ma non mancano le note negative…

L’Ivass ha organizzato, venerdì scorso, una giornata di studio sull’innovazione tecnologica nel mercato assicurativo dedicata a compagnie, intermediari assicurativi, regolatori e ricercatori, con l’obiettivo di condividere esperienze, analisi e ricerche sul tema dell’Insurtech – l’innovazione tecnologica nel mercato assicurativo.

Maria Luisa Cavina (nella foto a lato, durante la sua presentazione), capo del servizio vigilanza intermediari dell’Ivass, è intervenuta sul tema riguardante gli intermediari assicurativi e i rischi informatici. Cavina ha illustrato i risultati dell’indagine conoscitiva sui presidi degli intermediari tradizionali (agenti e broker) per la gestione delle informazioni e la prevenzione dei rischi informatici, avviata lo scorso mese di luglio dall’istituto di vigilanza. Si è trattato di un questionario costituito da 20 domande e sottoposto a circa 2.900 intermediari (200 broker e 2.700 agenti) tramite le rispettive associazioni di categoria.

I risultati hanno evidenziato un «discreto livello di consapevolezza dell’esistenza del rischio informatico e della necessità di protezione dei dati e delle informazioni della clientela, tendenze univoche su particolari aspetti e limitate/parziali difformità collegate alle caratteristiche e alle differenti modalità operative di agenti e broker».

Fra le note positive è emerso che oltre l’80% degli intermediari adotta presidi di base volti a fronteggiare il rischio. Nel dettaglio, le misure hanno riguardato l’utilizzo di password alfanumeriche, la accolta dei soli dati necessari per lo svolgimento dell’attività, l’assegnazione al personale di utenze personali non condivisibili con altri utenti, l’utilizzo di sistemi e reti protetti da accessi non autorizzati, l’effettuazione periodica di backup dei dati, la configurazione di sistemi e dispositivi affidata a personale esperto.

Ma ci sono anche evidenze negative: la policy aziendale in materia di cyber risk adottata dal 20% degli intermediari e dal 50% dei grandi broker (provvigioni annue superiori ai 2,2 milioni di euro), test anti intrusione effettuati dal 20% degli intermediari (50% se guardiamo solo ai grandi broker), sistemi e strumenti di analisi dei rischi adottati dal 40% degli agenti, dal 50% dei broker e dal 90% dei grandi broker. Per quanto riguarda poi la rilevazione degli accessi non autorizzati, solo il 22% degli agenti e il 50% dei broker dispone di appositi sistemi.

Inoltre, l’impatto del Regolamento Ue 2016/679 (data protection) è stato valutato solo dal 30% degli agenti, dal 50% dei broker e dal 70% dei grandi broker. Completano il quadro le informazioni di base al personale fornite solo dal 50% degli agenti e dal 60% dei broker, la formazione specifica del personale erogata solo dal 23% degli agenti, dal 30% dei broker e dall’80% dei grandi broker, il ricorso allo strumento assicurativo per il rischio residuo previsto dal 10% agenti, dal 12% dei broker e dal 40% dei grandi broker.

Cavina ha riassunto così la situazione: «Gli intermediari assicurativi dispongono di sensibili margini di miglioramento nel grado di consapevolezza e nel conseguente livello di presidio dei rischi cyber».

In questo, l’Ivass è impegnato a promuovere delle azioni che possano migliorare la situazione. Innanzitutto «fornendo agli intermediari indicazioni sugli interventi e le iniziative di potenziamento dei propri presidi (commisurati al livello di esposizione al rischio proprio di ciascun intermediario), quindi favorendo un rapido ed efficace processo di autovalutazione e di autocorrezione». Sul piano della prevenzione, l’istituto di vigilanza raccomanda che gli intermediari «adottino specifiche policy su cyber risk e data protection, individuabili anche sulla base di linee guida definite con le rispettive associazioni di categoria, da condividere con i propri collaboratori e dipendenti» e «accrescano le conoscenze informatiche, proprie, dei collaboratori e dei dipendenti, destinando a questo scopo una percentuale del monte ore biennale di aggiornamento professionale».

E ci sono anche delle raccomandazioni in ambito protezione: «innalzamento della sicurezza dei sistemi, potenziamento dei sistemi di monitoraggio contro accessi non autorizzati, l’aumento della frequenza dei test anti-intrusione e dei backup dei dati, la previsione di un piano di gestione di eventuali crisi».

Cavina ha anche aggiunto che «la consapevolezza che il rischio può essere mitigato, ma non annullato, induce a ritenere opportuno anche un ampliamento del ricorso allo strumento assicurativo, utilizzato all’attualità in misura del tutto marginale, per la copertura del rischio residuo. Il mercato italiano è ancora in una fase embrionale. Su quest o fronte l’Ivass auspica lo sviluppo dell’offerta di protezione».

Quali saranno i prossimi step previsti dall’istituto di vigilanza? Innanzitutto una lettera al mercato, di prossima emanazione, attraverso la quale l’Ivass illustrerà i risultati dell’indagine sul cyber risk e fornirà agli operatori le indicazioni ritenute fondamentali per una significativa mitigazione dei rischi. Entro il 2019, l’Ivass ripeterà l’indagine per valutare il grado di adesione alle misure suggerite e per misurare il livello di evoluzione del settore in materia di sicurezza informatica e di resilienza agli attacchi informatici.

Fabio Sgroi

© RIPRODUZIONE RISERVATA