Le forme di copertura assicurativa per il rischio cyber

Le attività che sono legate all'utilizzo pressoché esclusivo o comunque strumentale della tecnologia informatica nel processo produttivo sono sempre più diffuse, ed espongono le imprese ad un insieme di rischi per i quali è possibile ricorrere ad una copertura assicurativa, cosa non facile tenendo conto delle difficoltà e delle complicazioni dovute alla novità che tali prodotti comportano e all'evoluzione continua di questo settore assicurativo.

Il settore delle assicurazioni infatti, come anche gli altri ambiti contrattuali, risente dei mutamenti delle esigenze di ordine economico e sociale, che si manifestano nella società sulla spinta del mercato e dell'evoluzione tecnologica ed industriale249_{. La}

conseguenza di ciò è che, con il passare del tempo, emergono nuove tipologie di rischio che possono avere una diffusione più o meno ampia. Le polizze assicurative per la copertura del rischio cyber sono certamente un esempio chiaro e diretto di questa situazione.

Oggigiorno infatti le imprese sono esposte a gravi rischi informatici, situazione alla quale, come accennato in precedenza, dal 2018 si aggiungeranno le normative europee, che entreranno in vigore. L'aumento delle minacce cibernetiche comporta, quindi, delle possibilità di perdite che associate tra loro non possono essere ignorate: dalla compromissione sia fisica che finanziaria relativa alla violazione di dati, ai costi di business interruption ed inoltre ai costi delle sanzioni che verranno applicate con le nuove normative. Il danno fisico alle apparecchiature informatiche è, dunque, solamente un aspetto a latere, in quanto il problema principale è un danno al loro contenuto informativo.

La forma di copertura che comunemente viene adottata per questi rischi e in queste situazioni quindi è quella denominata "all risks", in quanto il cambiamento continuo e il

122

rapido susseguirsi di nuove tecnologie rendono molto difficile l'individuazione esatta del tipo di rischi e la loro immutabilità nel tempo.

Esiste, in campo assicurativo, una differenziazione tra le modalità di assicurazioni denominate "named perils" o "rischi nominati", che fino a pochi anni fa erano le più diffuse e che comunque anche oggi rappresentano la maggioranza della tipologia delle coperture assicurative, e quelle cosiddette "all risks" o "tutti i rischi", che si sono sviluppate inizialmente nei paesi anglosassoni e che negli ultimi anni si sono diffuse molto. Le coperture del tipo named perils, all'interno della polizza contengono una parte che viene dedicata ad una elencazione esaustiva ed analitica degli eventi che si ritengono possibilmente generatori del sinistro e per i quali ha valore la copertura assicurativa e solitamente, sempre all'interno della polizza, si trovano anche delle esclusioni che la accompagnano. Nel caso invece delle coperture di tipo "all risks", vi è solamente l'indicazione delle casistiche in cui la copertura viene esclusa. Nonostante questa elencazione sia analitica quasi quanto la precedente, in questo modo si viene a determinare un'area di rischio più ampia posta in capo alla compagnia di assicurazione: bisogna considerare infatti che è possibile, soprattutto nella tipologia di copertura che stiamo analizzando, ossia quella per il rischio cyber, che si verifichino eventi nuovi, che non erano prevedibili anticipatamente, i quali determinano l'attivazione dell'indennizzo.

Dal punto di vista dell'assicurato ovviamente, a parità di altre condizioni, questa tipologia di copertura risulta preferibile, proprio perché potenzialmente più ampia della precedente. Bisogna considerare però che difficilmente si potrà ragionare "a parità di altre condizioni": proprio perché la copertura all risks è potenzialmente più ampia di quella a rischi nominati, consegue che l'impresa di assicurazione sopporta un rischio maggiore. Per quest'ultima ragione quindi, per rimanere nelle condizioni di riuscire ad adempiere in generale nei confronti degli assicurati, l'impresa di assicurazione dovrà parametrare i premi sulla base delle maggiori obbligazioni future assunte: questo porterà inevitabilmente l'assicurato a dover pagare un premio maggiore, e qui la condizione diversa, essendo maggiore anche il rischio totale traslato all'assicuratore.

123

Si deduce dunque che le imprese di assicurazione, nel caso delle polizze cyber, sopportano maggiormente un maggior rischio. Esse infatti, oltre a dover fornire una copertura all risks non essendo il rischio in questione statico e quindi perfettamente delineabile, hanno a che fare anche con un ulteriore aspetto critico dello stesso, e cioè che le polizze cyber sono ancora poco diffuse. Anche per quest'ultima ragione quindi il rischio informatico è difficilmente diversificabile dalle imprese di assicurazione, che si ritrovano ad avere a che fare quindi con pochi rischi che implicano però eventuali risarcimenti futuri ingenti.

Le compagnie di assicurazione sono infatti seriamente preoccupate per la dimensione del rischio di cui si devono occupare. La media delle perdite che derivano da violazioni della sicurezza è di meno di 3 milioni di dollari americani, ma questa grandezza tiene conto solamente dei costi diretti che sono quelli sostenuti per assumere esperti forensi, imprese di pubblica relazione e consulenti legali. Secondo J. Crowther250

tenendo conto del totale delle spese sostenute per la responsabilità verso i terzi e i danni allora la media delle perdite che derivano da violazioni della sicurezza aumenterebbe di quattro volte251_.

Questa è la ragione per cui gli assicuratori stanno guardando più da vicino questa area di rischio, adottando una linea più prudente. Le compagnie stanno quindi richiedendo ad esempio ai loro clienti di rendere conto delle strategie adottate per rendere sicure le loro informazioni, oltre a porre dei requisiti minimi di sicurezza informatica. In altri casi ancora le compagnie di assicurazione chiedono ai propri clienti di raggiungere un certo livello di sicurezza informatica prima ancora di stipulare la polizza. Gli assicuratori stanno iniziando quindi ad essere molto vigili nell'identificare se le violazioni del sistema informatico sono state causate da una falla del sistema di sicurezza aziendale piuttosto che dal maggiore avanzamento tecnologico degli hackers, in modo da rimanere sempre aggiornate.

Oltre al continuo aggiornamento ed alle attenzioni costanti, è lecito chiedersi se il mondo assicurativo sarà davvero in grado di sopportare questo nuovo rischio. Si potrebbe quindi ricorrere a strumenti quali la coassicurazione (Cap. II, paragrafo 7) e la

250 _{Cyber portfolio manager della London Australia Underwriting.} 251 _{BARBELER D., op. cit.}

124

riassicurazione (Cap. II, paragrafo 8), che permetterebbero una suddivisione maggiore del rischio.