Passi falsi che possono compromettere la copertura

Soprattutto per quanto riguarda la copertura informatica, è fondamentale che le aziende comprendano che, il loro lavoro non è terminato dopo aver acquistato una polizza informatica (Selby, 2020). L'assicurato deve essere consapevole delle dichiarazioni fatte alla compagnia assicurativa in relazione al suo acquisto e comprendere gli obblighi imposti dai termini e dalle condizioni della polizza, in caso contrario, la copertura potrebbe essere messa a rischio in caso di sinistro.

Alcune delle questioni chiave da tenere a mente sono:

1. dichiarazioni fatte all'assicuratore; si dovrebbe fare molta attenzione nel completare accuratamente una domanda di cyber insurance, che entrerà a far parte della polizza se questa verrà emessa, inoltre eventuali futuri assicuratori possono includere un'approvazione a una nuova polizza informatica che, preveda che le dichiarazioni fatte dall'assicurato, in una precedente domanda, vengano invocate

43 _{Si definisce "evento informatico" che richiede un'intrusione nel sistema informatico dell'assicurato da}

71

in relazione alla nuova emissione. Saranno probabilmente richiesti input da una sezione trasversale di parti interessate in tutta l'azienda, tra cui la gestione del rischio, legale, risorse umane e tecnologia dell'informazione al fine di fornire risposte corrette alle domande dell'assicuratore. Gli assicuratori possono richiedere al presidente, al CEO e/o al CIO della compagnia di firmare la domanda compilata e di attestare l'accuratezza delle risposte della compagnia. Informazioni imprecise fornite da una società nel processo di candidatura possono compromettere la copertura, se una richiesta di risarcimento viene successivamente presentata nell'ambito della polizza. Ad esempio, XYZ Inc. afferma nella sua applicazione che crittografa debba fornire sempre i dati contenenti informazioni personali identificabili (PII) e un assicuratore emetta una polizza in base alle dichiarazioni di XYZ. Se XYZ dovesse essere violato durante il periodo di polizza, con conseguente furto di informazioni personali non crittografate, la copertura per la sua richiesta potrebbe essere a rischio.

Alcuni assicuratori potrebbero richiedere al potenziale assicurato di fornire informazioni aggiornate prima che venga emessa una polizza, se eventuali risposte nella domanda presentata non risultassero più accurate.44_.

La condizione "assistenza e cooperazione" di una polizza informatica può richiedere espressamente all'assicurato di collaborare con la compagnia assicurativa in qualsiasi indagine ritenga necessaria in merito alla domanda di copertura. La violazione di tali condizioni potrebbe compromettere seriamente la copertura.

2. Esclusioni relative alle risposte sul modulo. Le polizze informatiche possono contenere una "mancata osservanza delle pratiche minime richieste" o un'esclusione analoga. Tali esclusioni si applicano espressamente alle perdite connesse al fallimento dell'assicurato “di attuare continuamente le procedure e i controlli dei rischi identificati nella domanda dell'assicurato”.

Gli assicurati dovrebbero accertarsi che, le risposte nel modulo della polizza rispecchino la verità e garantire che esse rimangano accurate durante la durata della polizza.

3. Avviso delle condizioni di reclamo. Le polizze informatiche contengono

44 _{È probabile che questo requisito venga imposto se esiste un divario significativo, di solito superiore a}

72

abitualmente disposizioni esplicite relative a come e quando un assicurato debba comunicare una richiesta di risarcimento. A seconda della formulazione esatta del contratto, delle circostanze di fatto e della legge applicabile, la mancata osservanza da parte dell'assicurato della condizione di preavviso di una polizza può giustificare il rifiuto dell'assicuratore. Gli obblighi imposti all'assicurato possono variare notevolmente da polizza a polizza, inoltre, altre sezioni della polizza, comprese definizioni e condizioni, possono contenere anche termini che incidono sugli obblighi di preavviso dell'assicurato. Gli assicurati, pertanto, sono invitati a comprendere i requisiti specifici della loro polizza e ad attuare processi interni per identificare le persone implicate dalla polizza e istruirle in anticipo sulle loro responsabilità. Se l'assicurato ha acquistato anche livelli eccedenti di copertura informatica, dovrà rivedere attentamente i requisiti di preavviso in tali polizze.

4. Consenso preliminare e requisiti. Le polizze informatiche possono richiedere all'assicurato di ottenere il consenso dell'assicuratore prima di spendere fondi in relazione a un evento coperto dalla polizza. Ad esempio, alcuni assicuratori richiedono che l'assicurato ottenga il “previo consenso scritto” dell’assicuratore in anticipo, in relazione ai costi sostenuti per rispondere a una richiesta di violazione, reclamo o riscatto, mentre altri consentono flessibilità sul problema. Per un assicurato che affronta una violazione della sicurezza, arresto della rete o attacco ransomware, ottenere il consenso scritto di un assicuratore, prima di affrontare la situazione potrebbe non essere implicito, di conseguenza, si consiglia agli assicurati di prendere nota delle disposizioni del consenso preventivo della loro polizza e di incorporare tali requisiti nei loro piani di risposta agli incidenti e nei programmi di formazione dei dipendenti. Gli assicurati dovrebbero inoltre essere consapevoli del fatto che, alcuni assicuratori informatici impongono l'uso di professionisti preselezionati, inclusi avvocati, specialisti forensi e società di notifica, in caso di incidente coperto. È fondamentale che gli assicurati conoscano i requisiti specifici del loro assicuratore, prima di subire un incidente informatico e spendere fondi per trattenere i fornitori di servizi. Alcuni assicuratori possono consentire all'assicurato di selezionare i propri fornitori di servizi, ma tale questione viene affrontata nelle negoziazioni prima dell'emissione della polizza. 5. Responsabilità assunta in base alle esclusioni contrattuali. Come molte altre

73

contengono un'esclusione per le responsabilità che, l'assicurato abbia assunto in virtù di un contratto. Sebbene vi siano generalmente eccezioni a tali esclusioni per le passività che, l'assicurato avrebbe anche in assenza di un contratto, alcune importanti e comuni esposizioni informatiche potrebbero rientrare nell'ambito di questa esclusione. Esempi importanti includono accordi di risarcimento con banche in relazione all'uso della carta di pagamento e contratti tra l'assicurato e i suoi partner commerciali in merito ai servizi di gestione dei dati.

È importante sottolineare che, molte politiche contengono ritagli per l'esclusione di determinate esposizioni come multe, spese e costi del settore delle carte di pagamento.

Ai fini della gestione generale del rischio, tuttavia, gli assicurati dovrebbero ben comprendere la portata degli obblighi assunti nell'ambito di contratti che, probabilmente rientreranno nell'ambito di questa esclusione.

6. Disposizioni su fusioni e acquisizioni. Le polizze informatiche, come la maggior parte delle altre forme di polizza, in genere forniscono copertura all'assicurato designato e identificato nella polizza, nonché a qualsiasi sussidiaria dell'assicurato nominato creata alla data di entrata in vigore della polizza. Gli assicuratori generalmente chiedono alle imprese di identificare tutte queste filiali durante il processo di candidatura. Sebbene le società affiliate divulgate possano in genere essere considerate "assicurate", nel momento in cui viene emessa una polizza informatica, la polizza può contenere disposizioni che, specifichino i passi che devono essere compiuti per ottenere copertura per le filiali acquisite, create o per le entità coinvolte in fusioni o consolidamenti durante il periodo della polizza. Le misure che un assicurato deve adottare per garantire la copertura di una nuova controllata variano da polizza a polizza e possono dipendere dai dati finanziari della controllata. Ad esempio, nell'ambito di una polizza informatica, se l'entità acquisita ha entrate superiori al 10% delle entrate annue totali dell'assicurato nominato, esso deve: fornire comunicazione scritta prima dell'acquisizione, ottenere il consenso scritto dell'assicuratore e accettare di pagare qualsiasi premio aggiuntivo richiesto dall'assicuratore.

Un altro assicuratore richiede ad un assicurato che si fonda con, che acquisisca o crei un'entità con attività superiori al 10% delle attività totali dell'assicurato, di fornire i dettagli completi della transazione non appena possibile.

74

esclusiva discrezione45_{. Alla luce dei vari requisiti imposti dai diversi assicuratori,}

gli assicurati coinvolti in attività di fusione o acquisizione dovrebbero rivedere attentamente le loro cyber policy all'inizio del processo di negoziazione. Le disposizioni pertinenti possono essere trovate in una varietà di sezioni della polizza, a seconda del modulo in questione, anche all'interno delle condizioni, definizioni e sezioni di esclusione.