Distinzione per ram

Si è già trattato in precedenza del meccanismo di visione combinata del C.C. e del C.A.P. atta a raggiungere una completezza della disciplina (Cap. II, paragrafo 1).

Per questa ragione, avendo fin d'ora analizzato le disciplina contenuta nel Codice Civile, per fare chiarezza in merito alle reali polizze assicurative contro il rischio cyber che si stanno sviluppando, è necessario, considerare ciò che il Codice delle Assicurazioni dispone.

Si deduce infatti, da tutto ciò che è stato detto fin'ora, che in concreto il concetto di assicurazione contro i danni è molto ampio. Proprio nella stessa definizione di questa tipologia di contratto infatti non si può fare a meno di riferirsi all'art. 2 C.A.P., che, in particolare, offre una classificazione per ramo dei contratti di assicurazione sia sulla vita che contro i danni; per i secondi la classificazione specifica è la seguente:

1. Infortuni 2. Malattia

3. Corpi di veicoli terrestri 4. Corpi di veicoli ferroviari 5. Corpi di veicoli aerei

6. Corpi di veicoli marittimi, lacustri e fluviali 7. Merci trasportate

8. Incendio ed elementi naturali: questo ramo copre ogni danno subito dai beni (diversi dai beni compresi nei rami 3, 4, 5, 6 e 7) causato da incendio, esplosione, tempesta, elementi naturali diversi dalla tempesta, energia nucleare, cedimento del terreno

9. Altri danni ai beni: questo ramo copre ogni danno subito dai beni (diversi dai beni compresi nei rami 3, 4, 5, 6 e 7) causato dalla grandine o dal gelo, nonché da qualsiasi altro evento, quale il furto, diverso da quelli compresi al n. 8

125

11. Responsabilità civile aeromobili

12. Responsabilità civile veicoli marittimi, lacustri e fluviali

13. Responsabilità civile generale: ogni responsabilità diversa da quelle menzionate ai numeri 10, 11 e 12;

14. Credito 15. Cauzione

16. Perdite pecuniarie di vario genere: questo ramo copre i rischi relativi all'occupazione, insufficienza di entrate (generale), intemperie, perdite di utili, persistenza di spese generali, spese commerciali impreviste, perdita di valore venale, perdita di fitti o di redditi, perdite commerciali indirette diverse da quelle menzionate precedentemente, perdite pecuniarie non commerciali e altre perdite pecuniarie.

17. Tutela legale. 18. Assistenza.

I rami assicurativi interessati dal rischio cyber sono molteplici, ed è importante identificarli perché questo aspetto incide sia sulla tassazione che sull'autorizzazione: in base al ramo in cui opera o decide di operare un'impresa di assicurazione essa deve essere autorizzata e le verrà applicata una certa tassazione. Le polizze tradizionali con cui mettere in relazione la copertura cyber o da analizzare comunque in quest'ottica, sono diverse e solitamente la copertura viene strutturata in modo da ricomprendere i rami necessari alle esigenze del cliente, combinandoli.

Operate le opportune distinzioni e messo in luce il significato di queste, è ora possibile generare uno schema da poter seguire per meglio comprendere nello specifico le polizze cyber, avvalendoci della terminologia e delle definizioni tratte dalle polizza tradizionali.

In precedenza abbiamo diviso le assicurazioni contro i danni in tre grandi gruppi: le assicurazioni contro i danni alle cose, quelle contro i danni alle persone e quelle del patrimonio.

126

Le prime sono quelle nelle quali la copertura assicurativa viene riferita ad un bene di titolarità dell'assicurato. Quest'ultimo avrà diritto all'indennizzo nel caso in cui il bene subisca un pregiudizio. Le seconde, invece, prevedono di tutelare non più un bene, ma l'integrità fisica dell'individuo in merito a infortuni e malattie. Queste due tipologie di assicurazione sono in gergo chiamate first party damage (Cap. IV, paragrafo 3), in quanto il danno che è rilevante ai fini della copertura assicurativa è direttamente quello che il sinistro provoca all'assicurato.

Infine, le assicurazioni del patrimonio, definite anche assicurazioni per la responsabilità civile, garantiscono l'assicurato per l'evenienza in cui il suo patrimonio subisca un decremento quantitativo dovuto all'insorgenza di un debito a carico dello stesso ed in favore di terzi252_{. Queste nel linguaggio assicurativo vengono definite third party}

damage (Cap. IV, paragrafo 4), in quanto il danno che rileva ai fini della copertura assicurativa non è direttamente quello causato dal sinistro al terzo, ma il conseguente danno che grava sull'assicurato in seguito alla richiesta di risarcimento del terzo.

Considerando che i più diffusi prodotti assicurativi per la copertura del rischio cyber sono di tipo all risks, come detto in precedenza (Cap. IV, paragrafo I), essi sono destinati principalmente alla copertura delle fattispecie che in seguito si elencano: assicurazione delle componenti hardware, assicurazione delle componenti software e disaster recovery.

In questa sede quindi è possibile raggruppare all'interno delle first party damage tutte le polizze che coprono dei danni diretti, siano essi materiali o immateriali (indiretti253_),

e quindi considerando le assicurazioni delle componenti hardware e quelle delle componenti software, ma anche le assicurazioni per disaster recovery.

Nelle assicurazioni third party damage invece verranno ricomprese quelle per la responsabilità civile, che coprono quindi i danni consequenziali254_.

252 _{FERRARI V., op. ult. cit.}

253 _{Viene definito "indiretto" qualsiasi danno che non riguardi la materialità delle cose assicurate.} 254 _{Vengono definiti "consequenziali" i danni alle cose non provocati direttamente dall'evento assicurato}

127

La distinzione delle polizze cyber tra l'approccio first party e quello third party dà origine a due metodologie di indennizzo differenti. Nel primo caso infatti l'assicuratore indennizzerà le spese per fronteggiare la crisi di emergenza, intese come le spese di società informatiche specializzate nella messa in sicurezza informatica, nel ripristino dei dati persi, criptati o distrutti, nei costi legali per far fronte ad una indagine dell'autorità preposta al controllo, nella perdita di profitto legata al blocco dell'attività dell'assicurato e inoltre eventualmente anche nella frode informatica subita dall'impresa.

Il secondo approccio è speculare: esso indennizzerà la richiesta di danni che viene avanzata dai terzi per la violazione dei loro dati, in possesso della società, con l'aggiunta delle spese addizionali per il recupero dei dati. In questo caso non verrà però indennizzata, salva diversa e specifica pattuizione, la riduzione del profitto dell'impresa assicurata.

Si deve aggiungere comunque che, mentre la capacità teorica del mercato assicurativo per ogni singola impresa si attesta intorno ai 200 milioni di euro, se si circoscrive tale copertura alle fattispecie first party tale limite si riduce drasticamente ad un intervallo compreso tra 25 e 80 milioni di euro. Questo indubbiamente favorisce la selezione del rischio da parte dell'assicuratore. Tutti gli assicuratori, però, stanno cercando di sviluppare delle coperture per i rischi cibernetici e, proprio in relazione a questo momento di valutazione della portata di questo comparto, le imprese hanno un'opportunità in più per tutelarsi. Il beneficio finale che queste imprese possono apprezzare da questa tipologia di copertura è fondamentalmente una tutela finanziaria del bilancio dell'impresa, a fronte di un rischio residuo che altrimenti non sarebbe contenibile, se non a fronte di eccessivi investimenti255_.

255 _{BALDONI R.,MONTANARI L., 2015 Italian Cyber Security Report: un framework nazionale per la cyber}

128