Secondo il network Bdo, il nuovo Regolamento Gdpr potrebbe sbloccare questo mercato anche in Italia. Ma le compagnie faticano a individuare standard di riferimento.
Negli Usa, quasi un’azienda su tre possiede una polizza assicurativa contro il cyber crimine. E in Europa? La spinta decisiva potrebbe arrivare dal nuovo regolamento Gdpr (General data protection regulation), che entrerà in vigore nel maggio del 2018. È quanto emerge da un report di Bdo, network globale di revisione contabile e consulenza alle imprese, che sottolinea: «prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate».
Secondo i dati di Bdo, il costo medio annuale delle violazioni dei dati aziendali negli Usa ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di pubbliche relazioni e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati oppure somme di denaro rubate dagli autori dell’attacco. A questo va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio. «Il nuovo Gdpr, per esempio, sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro», ha commentato Lorenzo Mazzei (foto in basso), partner intelligence & cybersecurity di Bdo Italia. «Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio. È auspicabile che sia il GDPR, sia la direttiva Nis (Network and information Security) vengano recepiti da aziende, organizzazione e istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizze, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso».
Negli Usa, il 28% dei leader aziendali intervistati dal Bdo Usa Board Survey 2016 (condotto su un campione di 160 direttori di Cda di aziende quotate) ha dichiarato che nella propria azienda è stata acquistata una polizza assicurativa che protegga dai reati informatici. Una percentuale, questa, che rimane stabile rispetto all’anno precedente, ma è triplicata rispetto al 2014, in cui solo un intervistato su 10 rispondeva affermativamente.
Tornando agli ultimi dati disponibili, il 13% sta attualmente considerando l’acquisto di una polizza ad hoc; l’11% ha concluso negativamente la valutazione in merito alla stipula della polizza, mentre l’1% avrebbe voluto stipularne una, ma si è vista rifiutare la necessaria copertura assicurativa. Gli investimenti in cyber sicurezza oltreoceano stanno aumentando di anno in anno: 8 rispondenti su 10 dichiarano di aver investito una somma più alta in cyber security rispetto all’anno precedente, con un trend in continua crescita.
Secondo Bdo, «la difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare estremamente difficile. Occorre valutare attentamente il rischio cyber della propria azienda e disegnare le polizze su tutti quegli avvenimenti che non possono essere altrimenti prevenuti. Ciò significa anche controllare i termini e le clausole di esclusione, testandoli su scenari concreti basati sul proprio livello di rischio».
Quali sono gli elementi da valutare attentamente al momento della stipula di una copertura assicurativa contro il rischio cibernetico? «Identificare gli asset aziendali critici e il rischio cyber a loro associato; valutare l’esposizione al rischio e quantificarlo; decidere se l’attuale livello di protezione è sufficiente; implementare un programma di emergenza per colmare le lacune identificate a livello di rischio cyber». (fs)
© RIPRODUZIONE RISERVATA
