L'Assessment del Cyber Risk: una valutazione empirica

(1)

UNIVERSITA' DI PISA

Dipartimento di Economia e Management

Corso di Laurea Magistrale in Strategia, Management e Controllo

Tesi di Laurea

L’assessment del cyber rysk: una valutazione empirica

Candidato: Relatrice:

Giuseppe Molinaro Prof.ssa Alessandra Rigolini

(2)

1

INDICE

INTRODUZIONE ... 4

IL RISCHIO NELL’AMBITO AZIENDALE E L’EMERGENTE

“CYBER-RISK” ... 5

1.1 L’evoluzione del concetto di rischio ... 5

1.1.1 I caratteri del rischio nell'azienda ... 9

1.1.2 Classificazione dei rischi ... 10

1.1.3 Classificazione dei rischi secondo il modello ERM... 14

1.2 Rischi emergenti ... 19

1.2.1 Risultati EMEA ... 21

1.2.2 Supply Chain e Infrastrutture ... 22

1.2.3 Rischio ambientale ... 22

1.2.4 Rischio informatico ... 22

1.2.5 D&O - Responsabilità di dirigenti e funzionari ... 23

1.2.6 Risultati Italia ... 24

1.3 La Digitalizzazione: Opportunità O Minaccia? L’avvento Del Cyber Risk ... 25

1.3.1 Il Panorama Italiano ... 30

1.3.2 Definizione Cyber Risk ... 30

1.3.3 Cyber Risk: le fonti del rischio che arriva tramite la rete ... 32

1.3.4 Perché’ il cyber risk non è un rischio da sottovalutare? ... 34

1.3.5 Danni Cyber ... 35

1.3.6 Breve panoramica della legislazione in materia di cyber risk ... 37

1.3.7 Come difendersi dai rischi informatici ... 39

Capitolo 2 ... 41

CYBER RISK MANAGEMENT ... 41

2.1 ERM ... 41

2.1.1 Gli attori dell’ERM ... 42

2.1.2 Le componenti dell’enterprise risk management ... 46

2.2 Cyber Risk Assessment e Cyber Risk Analysis... 69

(3)

2

Capitolo 3 ... 87

L’ASSESSMENT DEL CYBER RISK: UNA VALUTAZIONE

EMPIRICA ... 87

3.1 Analisi dei principali attacchi noti a livello globale del primo semestre 2017 ... 87

3.1.1 Distribuzione degli attaccanti per tipologia e trend evolutivi ... 88

3.1.2 Tipologia e distribuzione degli attaccanti – 1h 2017 ... 89

3.1.3 Distribuzione degli attaccanti per finalità, 2011 – 1h 2017 ... 90

3.1.4 Distribuzione delle vittime per tipologia e trend evolutivi ... 91

3.1.5 Tipologia e distribuzione delle vittime – 1H 2017 ... 92

3.1.6 Distribuzione generale delle vittime per area geografica e trend evolutivi ... 93

3.1.7 Distribuzione generale delle tecniche di attacco e trend evolutivi ... 94

3.1.8 Tipologia e distribuzione delle tecniche di attacco – 1h 2017 ... 95

3.1.9 Tipologia tecniche di attacco, 2011 – 1h 2017 ... 96

3.2 Analisi dei casi emblematici in un orizzonte temporale di 5 anni (2012-2016) ... 97

3.3 Analisi probabilità e impatto della tipologia di rischio “Cybercrime” ... 117

3.3.1 Driver di probabilità e impatto ... 117

3.3.2 Analisi dell’impatto del “cyber crime” ... 121

3.3.3 Analisi dell’impatto sulle persone ... 122

3.3.4 Esposizione al rischio “Cybercrime”: “probabilità x impatto” ... 127

3.4 Analisi della probabilità e impatto della tipologia di rischio “cyber-espionage” ... 128

3.4.1 Legenda dell’impatto ... 128

3.4.2 Analisi dell’impatto del “cyber-espionage” ... 129

3.4.3 Esposizione al rischio “cyber-espionage”: “probabilità x impatto” ... 132

3.5 Analisi della probabilità e impatto della tipologia di rischio “Hacktivism” ... 133

3.5.2 Analisi dell’impatto del “Hacktivism” ... 134

3.5.3 Esposizione al rischio “hacktivism”: “probabilità x impatto” ... 136

3.6 Analisi della probabilità e impatto della tipologia di rischio “Information Warfare” ... 137

3.6.2 Analisi dell’impatto del “Information Warfare” ... 137

3.6.3 Esposizione al rischio “Information Warfare”: “probabilità x impatto” ... 138

3.7 Considerazioni conclusive dell’analisi ... 139

APPENDICE A ... 141

(4)

3

BIBLIOGRAFIA E SITOGRAFIA ... 152

(5)

4

INTRODUZIONE

Il presente lavoro nasce con l’intento di studiare un rischio del tutto nuovo non contemplato nelle classificazioni standard e classiche dei rischi e per l’appunto detto rischio emergente: il cyber risk. L’elaborato è articolato in 3 capitoli.

Nel primo capitolo si è andato a definire il concetto di rischio con tutte le sue caratteristiche intrinseche ed estrinseche, per poi procedere alle varie classificazioni dei rischi. Nella parte centrale del capitolo sono stati trattati i rischi emergenti tra i quali è emerso il rischio informatico o cyber risk. Nella parte finale del capitolo si è andato a definire il cyber risk, la normativa vigente, gli eventuali danni cyber e infine si è introdotto a larghi linee le varie modalità di gestione del cyber risk.

Nel secondo capitolo si è approfondito il modello ERM andando a vedere chi sono gli attori coinvolti e le 8 componenti principali del modello. Nella parte centrale si è proceduto ad approfondire i processi di risk analysis e risk assessment del cyber risk. Nella parte finale del capitolo viene esposto la tematica innovativa del “cyber risk management” ovvero la gestione integrata del cyber risk con il modello ERM.

Nel terzo capitolo dopo aver riportato i dati in merito ai diversi attacchi informatici rilevanti dal 2011 al 2017, si è proceduto ad analizzare gli attacchi informatici più rilevanti negli ultimi 5 anni andando ad individuare le macro categorie di attaccanti per poi studiare per ogni macro categoria la probabilità e l’impatto e costruire un database in cui si valuta l’esposizione al rischio di ciascuna macro categoria. Infine viene valutato il livello di rischio di ogni singolo attacco in una tabella conclusiva estrapolando gli eventuali spunti e conclusioni dell’analisi.

(6)

5

Capitolo 1

IL RISCHIO NELL’AMBITO AZIENDALE E L’EMERGENTE “CYBER-RISK”

1.1 L’evoluzione del concetto di rischio

L’azienda è un sistema in evoluzione che muta nelle dimensioni e nelle combinazioni di risorse umane, tecniche e finanziarie in relazione all’ambiente circostante. Le condizioni ambientali possono configurarsi come vincoli e quindi limitare l’attività dell’impresa o come opportunità e quindi consentire l’ottenimento di possibili vantaggi. Le relazioni tra impresa e ambiente sono pertanto la chiave principale dei successi o delle crisi aziendali.

Tutti i processi aziendali condotti con una serie di attività e azioni comportano l’insorgere di esposizioni a rischio di varia natura. D’altronde se da un lato tali attività e azioni sono il presupposto che consente all’imprenditore di raggiungere gli obiettivi prefissati e di conseguire performances vantaggiose, dall’altro implicano il pericolo di dover affrontare situazioni di rischio. Il rischio è quindi un “qualsiasi evento che può condurre una azienda ad avere delle performance finanziarie al di sotto delle aspettative o può ostacolare il raggiungimento degli obiettivi strategici prefissati”. Una gestione efficiente dell’impresa implica quindi una adeguata gestione dei rischi (risk management) con l’obiettivo di minimizzare gli impatti negativi e conseguentemente massimizzare il valore creato per tutti i portatori di interesse.

“Il risk management è il processo di identificazione, gestione e controllo di qualsiasi tipo di rischio aziendale”1_.

La rilevanza del rischio nell’attività imprenditoriale è stata fortemente sottolineata ed ha assunto valore cruciale a partire dagli anni ’90. Molti interventi normativi hanno, infatti, comportato l’obbligo per le imprese di dotarsi di procedure di contenimento del rischio e di controllo interno, portando

(7)

6

all’attenzione di tutte le imprese la necessità di destinare adeguate risorse alla gestione dell’incertezza.

Tuttavia sono degni di nota numerosi contributi di autori che, molto prima degli anni ’90, hanno incentrato i propri studi sulla nozione di rischio. Di seguito ne riportiamo alcuni2_:

• Secondo l’economista americano F.H. Knight è possibile distinguere tra “incertezza misurabile” e “incertezza non misurabile”. Nella sua accezione misurabile, l’incertezza coincide con il rischio. Il rischio si palesa quando si verificano eventi considerati ripetibili e quindi suscettibili di stime statistiche. La visione di Knight rientra nella cosiddetta corrente oggettivistica, che attribuisce al rischio i connotati dell’oggettività e della misurabilità3_;

• In contrapposizione a questa corrente di pensiero, basata sulla distinzione tra incertezza e rischio, si ha la corrente soggettivistica, la quale tende ad individuare la natura degli eventi come fulcro decisivo nella differenza tra rischio e incertezza4_;

• Per la scuola tedesca, Friedrich Leitner attribuiva al rischio una sola accezione negativa, definendolo una minaccia per l’impresa in quanto rappresenta “il pericolo del mancato successo di un fatto economico”;

• Per la scuola italiana, Corsani5_{si discosta dalla visione di Leitner definendo il} rischio come il differenziale tra i risultati previsti e stimati dall’operatore e quelli effettivamente osservati. Dunque in tale ottica, il rischio può esplicitarsi sia in un’ottica favorevole che sfavorevole, in quanto la variazione tra risultati previsti e risultati effettivi, può essere sia positiva che negativa;

• Il noto studioso italiano Ulisse Gobbi6

, definiva il rischio scrivendo cosi: “Vi sono eventi che consideriamo come necessari, altri come impossibili: fra i due estremi, la certezza della necessità e la certezza dell’impossibilità, vi è il campo estesissimo in cui si ha in varie gradazioni l’incertezza se un dato evento si

2_{S. De Bernardis, L'ENTERPRISE RISK MANAGEMENT: MODELLI E CASI PRATICI NELLE PMI,}

Teramo, 2015, pp. 8

3_{F.H. Knight, Rischio, Incertezza, Profitto, Firenze, La Nuova Italia, 1960 (edizione originale 1921).} 4_{De Finetti e Savage sono i maggiori esponenti di questa corrente (Furlanetto 2014).}

5_{Corsani, 1936.}

(8)

7

verificherà o meno”; La gradazione dell’incertezza sarà legata ad un’assenza più o meno ampia d’informazioni sul fatto che un certo evento abbia o non abbia a verificarsi in un certo intervallo di tempo. Egli definisce invece eventualità la possibilità di un evento incerto e poiché per ogni soggetto un eventualità può essere favorevole, indifferente, sfavorevole, identifica con il termine rischio, l’eventualità sfavorevole;

•La visione offerta da Ferrero, invece, rappresenta l'incertezza come una componente inevitabile con la quale ogni individuo ed ogni impresa, sono costantemente costretti ad interfacciarsi. Secondo l'Autore, il rischio, avendo la sua origine nell'incertezza, è considerato una condizione esistenziale ed imprescindibile tipica di tutte le aziende indipendentemente dalla loro origine e dalle singole caratteristiche di ognuna e può manifestarsi, come l’incertezza, sotto forma oggettiva o soggettiva7_.

Il concetto di rischio, in termini aziendali, è un concetto astratto, non quantificabile, e si manifesta globalmente in relazione all’agire complessivo dell’impresa (c.d. rischio generale) ma si identifica anche in termini di analisi dei rischi tra loro correlati. Nell’economia aziendale, “il rischio si identifica nell’alea che l’azienda è costretta a sopportare in seguito al possibile manifestarsi degli eventi che ricadono nella sua orbita”. In definitiva, un rischio di impresa è definito “come l’insieme dei possibili effetti positivi (opportunità) e negativi (minacce) di un evento rischioso sulla situazione economica, finanziaria e patrimoniale dell’impresa”. Secondo l’AIRMIC (=The Association of Insurance and Risk Managers), “the risk can be defined as the combination of the probability of an event and its consequences”. In all types of undertaking, there is the potential for events and consequences that constitute opportunities for benefit (upside) or threats to success (downside)”8_.

7_{Cfr. Ferrero, 1968.}

8_{Tratto dal sito internet www.airmic.com, (a cura di) AIRMIC, ALARM, IRM, 2002, A risk management}

standard, in collaborazione con l’International Organization for Standardization (ISO, v. ISO/IEC Guide 73). Letteralmente significa: “Il rischio può essere definito come la combinazione della probabilità di un evento e le sue conseguenze. In tutti i tipi di aziende, per gli eventi (e conseguenze degli stessi) che si verificano, distinguiamo opportunità per i benefici, o minacce (rischi) per il successo di un’azienda”.

(9)

8

Dunque il rischio, secondo la definizione della ISO Guide 73:2009, è definito come la combinazione delle probabilità di un evento e delle sue conseguenze. Al termine rischio vengono , dunque, attribuiti diversi significati. A fronte di ciò possono essere individuati quattro approcci nei quali è possibile far confluire le diverse definizioni individuate in letteratura9_:

- L’approccio tradizionale-assicurativo: secondo tale approccio il rischio è inteso esclusivamente come l’insieme delle possibili minacce. L’accezione negativa trae origine dal fatto che, fino a poco tempo fa, si consideravano solo i rischi puri. Oggi invece si considerano altre categorie di rischi che tratteremo successivamente nella classificazione dei rischi;

- L’approccio statistico-finanziario: in questo secondo approccio il rischio è inteso come aleatorietà stocastica, cioè come il possibile scostamento di una variabile aleatoria rispetto alle aspettative. Rischio inteso, quindi, sia come possibile minaccia che come possibile opportunità;-

- L’approccio manageriale: secondo tale approccio, il rischio è visto come possibile scostamento rispetto agli obiettivi del soggetto che si trova ad affrontarlo. In tale approccio rientra la definizione di Price Waterhouse Cooper secondo cui “i rischi sono eventi futuri ed incerti che possono influenzare il raggiungimento degli obiettivi strategici, operativi e finanziari di un’istituzione”. In tale approccio, come in quello statistico-finanziario, il rischio viene inteso sia come minaccia che come opportunità;

- L’approccio matematico: secondo tale approccio il rischio è definito come una variabile aleatoria, insieme di realizzazioni quantitative alle quali sono associate delle probabilità di realizzazione. In questo approccio rientra la definizione di rischio secondo la norma ISO Guide 73:2009.

9_{A. Floreani, Enterprise Risk Management –I rischi aziendali e il processo di risk management, Milano,}

(10)

9

1.1.1 I caratteri del rischio nell'azienda

- NON ELIMINABILE: per effetto delle limitate capacità indagatrici dell'uomo e il mutevole manifestarsi degli eventi futuri il rischio è una componente non eliminabile. Coloro che guidano l'azienda non riescono ad avere certezza sul futuro: l'incertezza determina quindi sempre una condizione di rischio. L'ipotesi di un rischio complessivo pari a zero non esiste, il rischio deve essere gestito non può essere annullato. E’ possibile, infatti, grazie all’introduzione di efficaci sistemi di gestione del rischio ridurre la probabilità o l’impatto di un determinato evento.

- SISTEMATICITA': quando si parla di rischio bisogna considerare almeno due livelli di analisi: il primo livello fa riferimento al rischio economico generale/globale/complessivo di un'azienda, il secondo livello fa riferimento ai rischi particolari/specifici/elementari, i singoli rischi che aggregati determinano il rischio complessivo. Quindi quando si ragiona a livello di rischio aggregato devo tener conto delle interdipendenze che esistono tra i diversi rischi, ragionare in termini sistemici su quello che accade quando si verifica un certo rischio che può o meno generare un altro rischio. La sistematicità è importante sia per valutare i rischi che per definire le politiche di gestione del rischio;

- DINAMICITA': questa caratteristica è legata alla mutevolezza dell'ambiente e delle condizioni di produzione interne. L'entità/dimensione del rischio cambia nel tempo perché si modifica la gestione, si introducono politiche di RM, cambia lo scenario economico. L'attività di RM va ripetuta in maniera continuativa e sistematica nel tempo e aggiornata sulla base delle azioni di gestione;

- CONTENUTO ECONOMICO: è importante comprendere l’effetto economico dei rischi. Si può affermare che ogni rischio, in linea generale, determina una riduzione del capitale investito nella combinazione produttiva.

(11)

10

1.1.2 Classificazione dei rischi

Esistono diversi criteri di classificazione dei rischi:

Primo criterio di classificazione: “segno” dell’impatto del rischio. In base al

segno dell’impatto si distinguono due grandi categorie di rischio: rischi puri e

rischi speculativi.

I rischi puri sono quei rischi a cui è associata la possibilità di sostenere un onere elevato ma non la possibilità di un guadagno. Inizialmente il processo di risk management si focalizzava soltanto sui rischi “puri” che sono legati ad eventi che possono portare unicamente il manifestarsi di perdite per l’azienda. Nascono da eventi improvvisi che non possono essere previsti ex-ante con le attività di previsione dal management che non ha nessuna possibilità di modificarne la natura, l’epoca di accadimento o le dinamiche attraverso le quali si manifestano ma possono essere gestiti ex-post mediante attività di gestione, trasferimento, monitoraggio del rischio. Esempi tipici di rischio puro li possiamo identificare tra i rischi di responsabilità civile dell’impresa, tra i rischi di disastri naturali come terremoti o alluvioni che possono portare ingenti danni ad un’azienda agricola, o ancora tra i rischi di invalidità, malattia o morte del personale. Il rischio puro si riferisce di solito a fenomeni naturali, sociali, umani. Di solito questi rischi vengono fronteggiati attraverso la stipula di contratti assicurativi. Ecco perché sono anche detti rischi assicurabili.

I rischi puri si caratterizzano per10_:

a) Una realizzazione improvvisa;

b) Una manifestazione immediatamente osservabile;

c) Effetti economici che si determinano in un brevissimo lasso di tempo;

d) La possibilità di ridurre le conseguenze fisiche ed economiche dell’evento tramite l’adozione di tempestive misure di contenimento o riduzione del danno.

(12)

11

I rischi speculativi invece, sono connessi ad eventi futuri incerti che possono generare sia risultati economici negativi, sia risultati economici positivi. Sono definiti rischi propriamente imprenditoriali e non assicurabili, in virtù della frequenza con la quale l’impresa è chiamata a fronteggiarli, infatti sono rischi che l’impresa si trova ad affrontare quotidianamente: rischi operativi, rischi di mercato, rischi finanziari, rischi di business ecc.

I rischi speculativi sono a loro volta distinti in rischi di business, se derivano dall’attività tipica dell’impresa, e rischi derivati se scaturiscono dalle attività finanziarie dell’impresa. Questi ultimi si originano dall’attività di raccolta dei mezzi finanziari per le imprese in deficit (rischi di struttura finanziaria) e dall’attività di impiego dei mezzi finanziari per le imprese in surplus (rischio investimento), mentre i rischi di business si distinguono in strategici, operativi e finanziari.

I rischi speculativi si caratterizzano per11_:

a) Una realizzazione progressiva nel tempo;

b) Un’ osservabilità ritardata della sua manifestazione; c) Effetti economici che si determinano progressivamente;

d) L’impossibilità di intervento per ridurre le conseguenze economiche negative degli eventi che si sono già realizzati.

L’importanza di questa classificazione attiene alla diversa attività che viene messa in atto per la loro gestione. I rischi puri rappresentano un elemento di disturbo alle normali attività e la loro attenuazione comporta dei costi a volte anche elevati, lasciando quasi sempre una percentuale residuale di accadimento. I rischi speculativi invece sono quelli che rendono potenzialmente conveniente intraprendere un’attività d’impresa, perché offrono, a chi sa gestire questi eventi, l’occasione di conquistare il successo o il profitto.

(13)

12

E’ necessario osservare che, in realtà, non è sempre facile né, talvolta, corretto operare una distinzione tra rischi puri e rischi speculativi in quanto tutti i rischi potrebbero essere qualificati come speculativi qualora nei loro riguardi venissero formulate delle aspettative12.

Secondo criterio di classificazione: riguarda la possibilità che i fattori di rischio

possano essere ridotti mediante una scelta di diversificazione13_{. Si distinguono}

rischi sistematici e rischi specifici.

I primi, i rischi sistematici, sono quei rischi determinati dalle principali variabili macroeconomiche o finanziarie che colpiscono, seppur in modo diverso, tutte le aziende. In altre parole, esprimono la sensibilità delle performance aziendali alle dinamiche dell’economia generale. Ad esempio, sono fattori di rischio sistematico la variazione dei tassi d’interesse, dei tassi di cambio e l’inflazione. Questo tipo di rischio non è “diversificabile” in quanto non può essere gestito/mitigato/contenuto attraverso strategie di diversificazione; tuttavia è governabile mediante adeguate politiche di copertura, utilizzando i contratti derivati e l’assicurazione.

Il rischio specifico (o diversificabile o non sistematico) sorge sulla base delle caratteristiche delle singole imprese, dei settori in cui operano e dalle modalità di svolgimento dell’attività. Fanno parte dei rischi specifici, ad esempio, i rischi di controparte, i rischi di credito, i rischi di tasso e i rischi di portafoglio. Sono rischi diversificabili perché possono essere gestiti/eliminati per mezzo di un’adeguata strategia di diversificazione. Tale processo si identifica “nella combinazione di numerose variabili aleatorie non

perfettamente correlate fra di loro, al fine di ridurre la variabilità complessiva attraverso la compensazione dei rischi”14_.

12_{(Conti, 1996)}

13_{M. Giorgino, Risk Management, 2015}

14_{Cit., Fabrizio Di Lazzaro, Il rischio aziendale, i modi per il suo fronteggiamento,Vol.3,Giuffrè}

(14)

13

In altre parole la diversificazione dei rischi si realizza suddividendo il capitale su più attività diverse tra di loro, per poter ottenere dei vantaggi derivanti dalla riduzione della componente di rischio sistematico.

Un rischio si dirà quindi diversificabile se sarà possibile “attraverso la composizione con altri rischi non correlati ad esso, ridurre la

rischiosità complessiva dell’azienda”15 .

Terzo criterio di classificazione: riguarda l’origine dei fattori che determinano il

rischio. Si distingue tra rischi interni (endogeni) e rischi esterni (esogeni).

I rischi interni derivano dalle decisioni e dalle azioni della direzione aziendale in merito agli aspetti che costituiscono la centralità dell’attività operativa quindi sono generati da fattori che riguardano i processi, il management e l’organizzazione nel suo complesso. Tali rischi possono essere determinati a loro volta da fattori che derivano dall’esterno. Il manager, in questo caso, ha una forte influenza nel determinare e manovrare il livello di rischio interno all’azienda. Fanno parte di questa categoria, ad esempio, la qualità e la programmazione dei flussi informativi, il livello di assistenza post-vendita dei clienti, la sicurezza dei lavoratori.

I rischi esterni riguardano tutti quegli eventi rischiosi che hanno natura esogena e che possono influire sui valori patrimoniali ed economici aziendali. Traggono origine da fenomeni esterni sui quali l’azienda non può intervenire. Un organizzazione, ad esempio, non può impedire in alcun modo il verificarsi di una catastrofe naturale. Tali rischi possono essere generati da qualsiasi variabile macroeconomica, compreso il mercato finanziario. Anche se i rischi derivano da fenomeni esterni, è importante che l’alta direzione intervenga per governarne gli effetti e influenzare le conseguenze economiche e patrimoniali.

(15)

14

1.1.3 Classificazione dei rischi secondo il modello ERM

Nel paragrafo precedente si è proposta una classificazione dei rischi aziendali considerando i contributi di vari autori, i quali non presentano opinioni condivise su quali tipologie di rischio includere o meno nel sistema dei rischi aziendali. Tuttavia essendo che le imprese stanno intraprendendo o hanno intrapreso l’adozione di un modello di gestione integrata dei rischi (ERM), in questo paragrafo ci soffermiamo sui rischi considerati nelle varie fasi del processo di ERM. Nel modello dovranno essere necessariamente inclusi i rischi di natura finanziaria, quelli strategici, quelli operativi e quelli di compliance. A questi ultimi vanno aggiunti i cosiddetti rischi emergenti legati ad esempio alla tecnologia, alla supply chain, alla reputazione ecc.

In questo caso la suddivisione è effettuata in base all’obiettivo su cui impatta il fattore di rischio16_:

I rischi strategici: sono quelli che possono determinare un peggioramento della qualità della strategia aziendale, come la riduzione della capacità competitiva dell’azienda, e possono derivare sia da fattori esterni che interni; viene compromessa la capacità dell’azienda di creare valore in una prospettiva di medio/lungo termine. I fattori di rischio esterni possono essere relativi a elementi macro ambientali come variabili politiche, demografiche, normative o sociali oppure possono essere legati al sistema competitivo in cui opera l’azienda. I fattori interni invece possono derivare dalla non conformità dei prodotti e del processo produttivo in generale. I rischi strategici riguardano il grado di successo delle strategie aziendali di più alto livello come le strategie di definizione dei segmenti di mercato in cui entrare o su cui operare e le risorse necessarie per potervi entrare/operare. Le decisioni di entrare su nuovi segmenti di mercato o di abbandonare quelli esistenti, comportano strategie il cui successo è incerto e, dunque, soggetto a rischi. Rientrano tra i rischi strategici anche le scelte

(16)

15

riguardanti il lancio di nuovi prodotti che sono particolarmente rilevanti per l’impresa e/o che richiedono l’investimento di ingenti risorse per essere realizzate. Infine, sono da considerarsi parte del rischio strategico il grado di successo commerciale delle principali linee di prodotto dell’impresa.

Gli autori Adrian J. Slywotzky e John Drzik di Mercer in un articolo della Harvard Business Review dell'aprile 2005 distinguono sette classi di rischio strategico17_: Settore; Tecnologia; Brand; Concorrenza; Cliente; Progetto; Stagnazione.

I rischi operativi: è riconducibile “ a tutti gli eventi aleatori al cui verificarsi si determinano livelli insoddisfacenti di efficienza ed efficacia nei processi di gestione, nonché bassi livelli nella soddisfazione della clientela e nel raggiungimento degli obiettivi di qualità, di costo e di tempestività realizzativa”18_.

I rischi di reporting: attengono all’attività di reporting sia esterna che interna, e riguardano il fatto che il flusso di informazioni dirette ai soggetti interessati possano essere inaccurate, poco rilevanti, non selezionate, intempestive, non aggiornate o caratterizzate da uno sfavorevole rapporto costi-benefici. Esempi sono i rischi legati a problemi che possono riguardare ritardi, assenze di informazioni oppure bilancio falso o falsificato.

17_{Cfr. (Drzik, 2005)}

18_{Cit. Paolo Prandi, Il risk management, teoria e pratica nel rispetto della normativa, 2010, pag.}

(17)

16

I rischi di compliance: sono legati a quegli eventi che possono causare un danno economico a breve o a medio/lungo termine dovuto ad una deviazione (intenzionale e non) da norme di legge e regolamenti. La compliance è intesa come conformità dell’attività aziendale alle normative. Questi rischi si gestiscono facendo leva soprattutto sui controlli interni.

I rischi reputazionali: possibilità che si possa verificare un danno di immagine per l’azienda che può portare a conseguenze negative in termini di risultati. Si tratta di un rischio derivato: cioè nasce in quanto si sono verificati dei rischi precedenti che hanno causato danno all’immagine e quindi alla reputazione dell’azienda.. il rischio reputazionale va considerato nei sistemi RM perché il danno reputazionale può fare aumentare l’impatto complessivo di un rischio. L’effetto reputazionale funge da moltiplicatore del danno.

Un ulteriore suddivisione può essere effettuata considerando la natura del rischio. Distinguiamo:

I rischi finanziari: sono quelli che impattano sulla dinamica, sulla gestione finanziaria di un’azienda e sono distinguibili in rischi finanziari intesi in senso stretto, legati alla possibilità che il reddito netto subisca una flessione a causa del grado di indebitamento dell’azienda, e intesi in senso largo (definizione IAS/IFRS), relativi a possibili perdite di valore degli strumenti finanziari.

Secondo gli International Accounting Standards (IAS) gli strumenti finanziari comprendono:

▪ Attività liquide;

▪ Crediti/debiti commerciali; ▪ Crediti/debiti finanziari; ▪ Azioni/obbligazioni/altri titoli.

I rischi finanziari sono a loro volta suddivisi in:

- Rischi di mercato: sono quelli che l’azienda incontra nei rapporti che intraprende con i mercati finanziari e riguardano la possibilità che il fair value

(18)

17

(valore equo) o i flussi finanziari futuri di uno strumento fluttuino in seguito a variazioni dei prezzi di mercato. Il rischio di mercato comprende tre tipi di rischio:

a) Il rischio di cambio/di valuta che riguarda soprattutto le aziende che si riforniscono o vendono a Paesi esteri che hanno una valuta diversa rispetto a quella di conto e si concretizza nel rischio di subire delle perdite in seguito al cambiamento del tasso di cambio;

b) Il rischio di interesse si manifesta quando il valore di mercato di un investimento è sensibile a variazioni dei tassi d’interesse. Tali variazioni potrebbero quindi portare a delle perdite. Il rischio di tasso di interesse è dovuto, dunque, alla possibilità che cambiamenti significativi nei tassi possano portare l’impresa a sopportare costi maggiori sui finanziamenti ottenuti, ad avere rendimenti minori sugli investimenti effettuati o a subire una diminuzione del valore delle proprie attività;

c) Il rischio di prezzo si ha quando il valore di mercato degli strumenti finanziari detenuti dall’azienda è sensibile all’andamento dei mercati azionari.

- Rischi di credito: riguarda l’eventualità che una delle parti di uno strumento finanziario causi una perdita per la controparte creditrice non adempiendo agli obblighi assunti. Giesecke19_{definisce il rischio di credito} come "la distribuzione delle perdite finanziarie dovute a variazioni inattese del merito creditizio di una controparte in un accordo finanziario".

Il rischio di credito ha tre caratteristiche, così come individuato da Dowd20_:

Probability of default: è la probabilità che la controparte non rispetterà gli obblighi contrattuali non adempiendo all’obbligazione di restituire il capitale prestato e gli interessi maturati su di esso21_;

19_{Cfr. ( Giesecke, 2004)} 20_{Cfr. (Dowd, 1998)}

(19)

18

Recovery rate: è la parte di credito che l’azienda può recuperare in caso di inadempimento contrattuale del debitore22_;

Credit exposure: è la parte di credito che l’azienda perderebbe in caso di default della controparte.

Per eliminare il rischio di credito l’azienda può ricorrere a una selezione della clientela ex ante, eliminando i rapporti caratterizzati da un’elevata probabilità di default. L’azienda può anche diversificare il proprio portafoglio clienti o ricorrere alle assicurazioni.

- Rischi di liquidità: consiste nell’incapacità dell’impresa di fronteggiare, tempestivamente e in condizioni di equilibrio economico, gli impegni monetari legati alla gestione operativa23_{. Il rischio, dunque, che l’azienda} non disponga dei fondi necessari per adempiere ai propri obblighi e quindi deve aumentare le passività o svendere gli asset aziendali.

I rischi operativi: “ Il rischio operativo è il rischio di subire delle perdite, derivante da inadeguati o difettosi processi interni, sistemi o persone dell’impresa o da eventi esterni”24_{. In altre parole, il rischio operativo si concretizza nella} possibilità che si verifichino oscillazioni più o meno ampie dei risultati economici della gestione operativa caratteristica dovuti sia ad eventi interni (come, ad esempio, variazioni dei volumi di produzione, di vendita e, di conseguenza, delle rimanenze, modifiche dei livelli di efficienza e di efficacia operativa e di economicità della gestione, ecc.) sia ad eventi esterni (come, ad esempio, inflazione, cambiamenti tecnologici, contrazione della domanda ecc.). Il grado di variabilità viene misurato dalle oscillazioni del risultato operativo. Il rischio operativo deve essere gestito per mantenere le perdite entro la soglia di tolleranza definita dall’impresa. In generale questa tipologia di rischi caratterizza

21_{Cfr. (www.lexicon.ft.com)} 22_{Cfr. (www.lexicon.ft.com)} 23_{Dabrassi e Prandi 2010, pag. 503} 24_{Basel Committee, 2004, pag. 140}

(20)

19

i processi operativi di un’organizzazione, come produzione, vendita, approvvigionamento e gestione delle risorse umane, che quindi impattano principalmente su quelle attività che generano costi e ricavi; in definitiva sul reddito operativo.

Secondo l’autore Giorgio Donna25_{sono classificabili in:}

- Rischiosità settoriale: legata alle caratteristiche del sistema competitivo in cui l’azienda si trova ad operare. E’ possibile stimare una rischiosità operativa media delle aziende che operano nel settore sulla base della struttura del settore e della sua dinamica;

- Rischiosità strategica: legata al gradi di vantaggio competitivo e al tasso di crescita dell’azienda;

- Rischiosità strutturale: legata al grado di flessibilità dell’azienda (il riferimento è la struttura dei costi) e alla sensibilità alle ragioni di scambio.

1.2 Rischi emergenti

ACE Group26_{– 25 anni di storia, 17.000 professionisti, 400 uffici in 54 Paesi che} diventano 170 con le compagnie partner, 22 miliardi di Dollari di portafoglio e 30 di capitalizzazione – ha reso disponibili i risultati della ricerca “Barometro dei rischi emergenti” frutto di un sondaggio che ha coinvolto 650 Dirigenti Senior con responsabilità sul Risk Management e operanti in 15 diversi Paesi dell’area EMEA (Europa, Medio Oriente e Africa settentrionale). Secondo Andrew Kendrick, Presidente, ACE European Group, i team manageriali hanno difficoltà ad affrontare una serie di rischi nuovi ed emergenti che mettono seriamente a repentaglio le loro attività. Circa le cause il top manager ha dichiarato: “La

nostra ricerca suggerisce che i rischi emergenti non sono ancora entrati a far parte delle discussioni più ampie sulla gestione dei rischi all’interno dei consigli

25_{G. Donna, La creazione di valore nella gestione dell'impresa, 1999}

26

(21)

20

di amministrazione. Il 57% degli intervistati parla della mancanza di attenzione come scoglio principale, che a sua volta porta al secondo e terzo problema: la mancanza di risorse umane competenti e di strumenti e processi di gestione del rischio”27.

Figura1- Principali ostacoli nella gestione dei rischi emergenti28_:

(Nell’ordine, dal maggiore al minore: Mancanza di attenzione da parte della dirigenza, Mancanza di risorse umane e di competenze, Mancanza di strumenti e processi di gestione dei rischi, Mancanza di conoscenza e di informazioni sui rischi, Mancanza di risorse finanziarie, Mancanza di opzioni assicurative).

27_{http://www.intermediachannel.it/barometro-dei-rischi-emergenti-ace-group/} 28_{http://www.intermediachannel.it/barometro-dei-rischi-emergenti-ace-group/}

(22)

21

Figura 2- I rischi emergenti che, secondo le società, avranno l’impatto

finanziario più significativo sugli affari nel corso dei prossimi due anni (% di intervistati)29_:

(Nell’ordine, dal maggiore al minore: Rischio infrastruttura/catena di approvvigionamento, Rischio ambientale, Rischio informatico, Rischio dirigenti e funzionari, Rischio esportazioni, Rischio viaggi d’affari, Rischio terrorismo e violenza politica).

1.2.1 Risultati EMEA

Il 45% delle società considerano la dipendenza dalla catena di approvvigionamento (supply chain) e dalle infrastrutture come principale rischio emergente. Seguono la responsabilità ambientale (42%), il rischio informatico (Cyber Risk) (40%) e la responsabilità D&O (40%). Questi i rischi emergenti che probabilmente registreranno il maggiore impatto finanziario sulla propria società nel corso dei prossimi due anni.

(23)

22

1.2.2 Supply Chain e Infrastrutture

Il 45% delle aziende dichiara di prevedere che il rischio derivante dalla supply chain e dalle infrastrutture avrà un impatto finanziario significativo sulla propria società nei prossimi due anni. Le sofisticate supply chain transnazionali sono riuscite ad abbattere i costi di molte società, ma le aziende stanno pagando in termini di scarsa visibilità delle aree di esposizione ai rischi. Ad aggravare questi problemi, molte aziende si trovano ad operare con infrastrutture civili poco affidabili, forniture di energia a rischio e altri punti focali che le espongono a rischi finanziari gravi in caso di interruzioni delle attività.

1.2.3 Rischio ambientale

Il rischio ambientale si classifica secondo, con il 42% che lo valuta come uno dei rischi emergenti che ha maggiori probabilità di avere un impatto finanziario negativo sulle proprie aziende. In virtù di normative ambientali più severe e di preoccupazioni crescenti degli attori in gioco, le aziende vengono sempre più responsabilizzate, come mai prima d’ora, circa il loro rischio ambientale. Il fatto che il rischio ambientale si classifichi complessivamente al secondo posto (42% di citazioni) indica anche una maggiore consapevolezza che si tratti di un problema per tutti i settori, non solo per quelli tradizionalmente “inquinanti“. Peraltro quasi i tre quarti (73%) delle aziende dichiara che i propri stakeholder considera con sempre maggiore serietà il rischio ambientale.

1.2.4 Rischio informatico

Gli intervistati classificano il rischio informatico al terzo posto, con il 40% che lo considera come uno dei rischi emergenti con le maggiori probabilità di influire sugli affari. In anni recenti, il rischio informatico è diventato virtualmente impossibile da evitare, dal momento che le aziende sono sempre più dipendenti dall’Information Technology. Oltre un terzo delle aziende cita i virus (49%), l’hackeraggio (38%) e il furto di dati da parte di terzi (37%) come alcune tra le

(24)

23

maggiori preoccupazioni. Ciononostante, le aziende dispongono ancora di protezioni inadeguate e quasi 2 su 5 dichiarano di avere intenzione di prendere in seria considerazione il rischio informatico solo quando questo sarà obbligatorio per legge. Quel momento potrebbe arrivare prima di quanto si creda. Nell’Unione Europea stanno per essere varate leggi in base alle quali le aziende che violino le nuove normative in materia di dati potranno essere multate con somme che ammontano fino al due percento dei loro ricavi globali. Tuttavia, la maggior parte delle aziende è altresì convinta che i furti maggiori abbiano cause interne anziché esterne. Da non trascurare infatti, il fatto che il 63% delle società ritiene che comportamenti criminosi o errori dei dipendenti possano spesso rappresentare una minaccia perfino maggiore a quella esterna rappresentata dai crimini informatici.

1.2.5 D&O - Responsabilità di dirigenti e funzionari

Sebbene non sia un rischio nuovo e sconosciuto, il rischio di responsabilità di dirigenti e funzionari (D&O) registra una costante evoluzione a fronte delle crisi finanziarie, delle modifiche normative e della crescente globalizzazione. Si classifica a pari merito al terzo posto, con il 40% delle aziende convinte che possa rappresentare una minaccia finanziaria significativa nei prossimi due anni. Le responsabilità di amministratori e dirigenti sono tutt’altro che una novità, ma il fatto che si classifichi al terzo posto nel monitoraggio dei rischi emergenti enfatizza che, il rischio legato ad amministratori e dirigenti è diventato un rischio “ri-emergente”. È significativo che gli intervistati abbiano evidenziato gli errori di reportistica come loro preoccupazione principale, seguita dalle preoccupazioni in materia di esposizione a corruzione e frode.

(25)

24

Figura 3 - Le categorie di rischio a confronto tra paesi EMEA e Italia30:

1.2.6 Risultati Italia

Analizzando i dati Italia si notano alcune significative differenze rispetto al dato medio EMEA.

La differenza più macroscopica è quella relativa al Rischio Esportazioni che viene valutato tra i più rilevanti nel 46% dei casi contro il 34% del dato EMEA. Viceversa il Rischio Informatico sembra essere sottovalutato rispetto agli altri Paesi ponendosi al 28% contro il 40% medio. Su tale sensibile divergenza potrebbero impattare, a parere di chi scrive, sia una posizione di relativa arretratezza informatica sia una scarsa consapevolezza del problema data anche dalla minore esposizione globale delle aziende italiane rispetto alle multinazionali di altri Paesi.

Anche il Rischio Terrorismo/ Violenza politica al 20% viene percepito come più limitato rispetto al 28% medio. Anche in questo caso possiamo azzardare una minor percezione del rischio legata in parte a minor centralità del Paese rispetto ad altri e minor esposizione internazionale.

30

(26)

25

Più limitate le differenze su Rischio Supply Chain/ Infrastrutture (48% Italia vs. 45% medio), Rischio Ambientale (48( Italia vs. 42% medio) e Rischio Viaggi d’affari (38% vs. 33%). Differenze queste che reputiamo imputabili a caratteristiche intrinseche del sistema infrastrutturale del Paese, della cultura ambientale italiana non sviluppatissima specie in certe aree del Paese e di una minor propensione al “viaggiare” dei manager italiani.

Assolutamente in media invece la percezione del rischio D&O al 40%.

1.3 La Digitalizzazione: Opportunità O Minaccia? L’avvento Del Cyber Risk

La globalizzazione e l’evoluzione tecnologica ed informatica di tutti i settori produttivi oltre alla sempre crescente necessità di condivisione (effetto social) fa si che la rete digitale di collegamento tra tutte le entità che abitano e/o lavorano nel mondo si sia esponenzialmente infittita negli ultimi anni raggiungendo una connettività globale che ha aperto strade impensabili e risultati inimmaginabili fino a poco tempo fa quanto a velocità di riscontro (pensiamo al confronto telefono fisso vs. e-mail), fluidità dei processi e della logistica, nuovi business e mille altre opportunità di cui oggi disponiamo fra le quali il consolidamento di sistemi innovativi come il cloud storage, il telelavoro, l’assistenza in remoto, la nascita del mondo energy, di Smart City, Smart Mobility, Smart Home, Smart Meter. La globalizzazione ha infatti abbattuto i confini spazio-temporali, incentivando l’utilizzo delle tecnologie informatiche da parte delle imprese, sempre più alla ricerca di strumenti in grado di ampliare la comunicazione e rendere il trasferimento dati immediato e a basso costo con soggetti localizzati in ogni parte del mondo. La rapida e costante evoluzione delle tecnologie dell’informazione e della comunicazione (ICT) ha, inoltre, reso la capacità di saper raccogliere, interpretare, trattare, conservare e proteggere i dati di fondamentale importanza per le imprese31. Viviamo nell’era della rivoluzione digitale con l’impiego di Social Media, Cloud, Mobile ed Internet of Things, che

31

(27)

26

ha prodotto (e produrrà) rilevanti mutazioni della società, di tutti gli aspetti umani, da quello più intimo e personale della vita privata a quello lavorativo e produttivo, degli stili di vita, dei processi produttivi, dei rapporti socio-economici e della vita aziendale. Siamo sempre più digitalmente connessi e questa condizione che nasce come un’opportunità, un vantaggio, un segno caratterizzante e distintivo sta ormai diventando una necessità “indispensabile” per stare al passo coi tempi. Il fenomeno ha indotto la nascita e la crescita di nuovi modelli di business basati sulla acquisizione, studio e trattamento di dati privati e personali che più o meno consapevolmente condividiamo, linkiamo, twittiamo, permettendo così il trasferimento di informazioni personali, come gusti, interessi e abitudini, e professionali, come dati, password, ecc. Contestualmente i dati digitalizzati e le apparecchiature tecnologiche costituiscono buona parte (se non integralmente) il core business delle moderne aziende, indipendentemente dal settore: database clienti, dati di fatturazione, elenco fornitori, gestione della produzione e del magazzino, interconnessione tra più sedi e ancora siti internet sia istituzionali che di business. Pensiamo ad esempio alle piattaforme di acquisto on line, ai servizi al cittadino (istruzione, sanità ecc.), alle piattaforme finanziarie (home banking e utility). Ogni azienda, a seconda del settore di attività e della propria dimensione, possiede smartphone aziendali, uno o più server, una struttura IT e volumi di dati che necessariamente e quotidianamente incamera e gestisce. Ciascuno di questi device o infrastrutture IT rappresenta una “porta” di accesso potenziale per chiunque nel mondo sia intenzionato a danneggiare la nostra impresa32_{. La rivoluzione digitale sta dunque} portando molti benefici e molte opportunità a società e imprese ma, come spesso accade, bisogna considerare anche il rovescio della medaglia ovvero le minacce e i rischi a cui le aziende sono esposte. La crescente dipendenza dalle tecnologie informatiche e da Internet aumenta, in particolare, l’esposizione ad alcuni rischi connessi alla digitalizzazione dell’individuo e delle attività professionali ed industriali, ovvero l’esposizione al rischio cyber. Questo per il fatto che la velocità e l’intensità di questa rivoluzione, non è accompagnata da un altrettanto

(28)

27

rapida ed adeguata informazione e istruzione dei rischi della stessa e anche per il fatto che la Cyber Security non è inclusa tra le reali priorità di progetto ed esercizio di un processo produttivo o di un servizio. L’incremento quindi della superficie di attacco esposta dalla nostra società digitale, sempre più iper-connessa, aumenta i rischi di permeazione criminale. Siamo interconnessi ma sappiamo veramente con chi? La cyber security deve essere un processo culturale e non solo tecnologico, a livello personale ed aziendale. I governi dei paesi mondiali stanno gradualmente e con diversa velocità predisponendo i necessari strumenti al fine di arginare e combattere questa nuova frontiera di rischio. Il budget 2016 per il Cyber security National Action Plan (CNAP) recentemente sottoposto dal Presidente Obama al Congresso USA è di oltre 19 miliardi di dollari. In Italia il processo e l’analisi delle risposte al problema è ancora in fase di sviluppo fortemente sollecitato dall’approvazione da parte del Parlamento Europeo, il 6 luglio 2016, della Network and Information Security (NIS) Directive Europea, che imporrà ai fornitori di servizi essenziali (in settori critici come l’energia, i trasporti, la salute e la finanza) e digitali (mercati online, motori di ricerca e dei servizi cloud) degli Stati membri dell’Ue alcuni specifici obblighi di sicurezza, tra i quali la comunicazione di eventuali incidenti subiti. Le reti maggiormente esposte e soggette a gravi attacchi cyber a livello mondiale nel primo semestre 2016, hanno riguardato il settore Bancario, Finanziario e della Salute33_.

Cyber Risk è un termine generico che racchiude al suo interno innumerevoli

tipologie di rischio a cui siamo costantemente sottoposti, spesso senza conoscere realmente le potenziali criticità. Il rischio informatico (cyber) consiste dunque nella possibilità che dati sensibili possano essere gestiti ovvero rubati, criptati, diffusi o semplicemente analizzati da persone non autorizzate, da concorrenti, da hacker che potrebbero così provocare diverse e gravi tipologie di danno al proprietario dei dati. Secondo gli esperti di Kaspersky, in particolare, nel 2015 il 58% dei PC aziendali nel mondo sono stati colpiti da almeno un tentativo di

(29)

28

infezione da malware, nel 2014 il dato parlava del 55%. Un terzo dei computer aziendali sono stati esposti almeno una volta ad un attacco cyber. Norton Cyber crime indica che sono 594 milioni le vittime di attacchi informatici ogni anno che si traducono in 1.627 milioni di attacchi al giorno, ossia circa 19 attacchi al secondo. I dati raccolti da Norton Cyber crime nel nostro paese sono particolarmente rilevanti e confrontabili con quelli del resto del mondo (altri 17 paesi sul sito del colosso informatico): soldi persi dai consumatori a seguito di cyber risk: 2,4 Bilioni €; tempo impiegato per far fronte ad cyber attack: 13 ore; persone che pensano di saper far fronte a cyber attack: 13%. Cifre che evidenziano la portata del problema e che denotano la ramificazione degli attacchi cyber. Negli ultimi due anni l’insicurezza cibernetica a livello globale è aumentata in modo significativo, le tipologie di attacchi e gli hacker si sono moltiplicati e le perdite economiche sono aumentate del 400%.

Secondo il nuovo rapporto di ricerca di Allianz Global Corporate & Speciality (AGCS)34_{, che esamina le ultime tendenze del rischio cyber e dei pericoli} emergenti nel mondo, le aziende devono prepararsi ad una nuova generazione di rischi informatici in rapida evoluzione; il pericolo è che ai già noti rischi rappresentati da violazione dei dati e della privacy, furto e manipolazione illecita dei dati sensibili, divulgazione di informazioni riservate e di segreti commerciali, e danni reputazionali potrebbero aggiungersi una nuova generazione di rischi più complessi come il furto e la violazione di proprietà intellettuale, l’estorsione, la perdita di dati e la diffusione di virus nei sistemi informatici capaci di bloccare o distruggere le funzioni di una rete con i conseguenti danni operativi e interruzione delle attività (BI), guasti operativi e tecnici, fino al rischio di perdite catastrofiche.

Il rischio cyber – segnala AGCS – è una minaccia importante e in rapido aumento per le aziende: i crimini informatici costano all’economia globale circa

(30)

29

445 miliardi di dollari all’anno e le dieci principali economie mondiali devono sostenere la metà di questo importo.

“Appena 15 anni fa, gli attacchi informatici erano piuttosto rudimentali e opera di hacktivist, ma l’aumento dell’interconnessione, la globalizzazione e la commercializzazione dei cyber crimini hanno provocato l’esplosione di frequenza e gravità di questi attacchi . La cyber assicurazione non sostituisce una solida sicurezza IT, ma crea una seconda linea difensiva per mitigare gli incidenti informatici. AGCS assiste ad un aumento nella richiesta di questi servizi, e ci impegniamo a collaborare con i clienti per comprendere meglio e rispondere ad una crescente gamma di esposizione ai rischi cyber”35_. “Nell’ambito di rischi cyber e IT, la copertura per le BI può essere molto varia e

comprendere i sistemi dei computer aziendali, ma anche estendersi ai sistemi di controllo industriali (ICS) usati dalle compagnie energetiche o ai robot impiegati nella produzione”.

Per AGCS, la crescente interconnessione dei dispositivi e la maggiore fiducia nella tecnologia e nei dati in tempo reale sia a livello di persone che di aziende, noto come “Internet delle cose”, provoca ulteriori vulnerabilità. Alcune stime suggeriscono che entro il 2020 potrebbero esservi un trilione di dispositivi connessi, e che 50 miliardi di macchine si scambieranno i dati quotidianamente. Gli ICS sono un’altra area interessata, poiché un grande numero di sistemi di controllo industriali ancora oggi in uso, sono stati progettati prima che la sicurezza informatica divenisse un problema importante. Un attacco contro un ICS potrebbe dar luogo a danni gravi come incendi o esplosioni, ma anche a BI. Un attacco cyber a compagnie elettriche o di erogazione di servizi di pubblica utilità, potrebbe provocare un’interruzione nei servizi, danni fisici o perfino perdite di vite.

(31)

30

1.3.1 Il Panorama Italiano

Il panorama Italiano è ben rappresentato dallo studio dell’Osservatorio sugli Attacchi Digitali (Oad), nel quale viene evidenziato un significativo aumento della frequenza complessiva del numero di attacchi per la singola azienda/organizzazione. Dal punto di vista delle tipologie di attacco, rivela lo studio, i più diffusi si confermano i ‘malware’ (78,4%), e tra questi i ransomware che hanno dominato il panorama delle minacce in Italia nel corso dell’anno, in forte crescita, seguiti dalle tecniche di “social engineering” (71,9%), dal furto dei dispositivi Ict (34%) e dalla saturazione delle risorse (29,4%). La Polizia Postale e delle Comunicazioni nell’ambito del contrasto al “financial Cybercrime”, nel 2015 ha verificato 16.697 transazioni on line dubbie in 10 gruppi bancari, bloccando 65.870.825 milioni di euro e recuperando 2.734.269 milioni di euro36. Gran parte degli attacchi, hanno sfruttato le vulnerabilità tecniche dei software e delle architetture IT, ad esempio il mancato aggiornamento dei software continuamente implementati dagli sviluppatori al fine di far fronte alle nuove metodologie di attacco conosciute, o la mancata verifica del codice sicuro per il software messo in produzione, (effettuata solo dal 16,8%) o la sistematica gestione delle patch e delle versioni del software (effettuata da poco meno del 50% del campione) o l’archiviazione criptata delle informazioni critiche (21,8%), la raccolta e la gestione dei log degli operatori che – anche se obbligatoria per la privacy – non raggiunge livelli di diffusione sufficienti, sino alla carenza o assenza dei piani di Disaster Recovery (effettuate solo dal 21%). L’orizzonte Cyber è in continuo e rapido movimento, senza segnali di rallentamento.

1.3.2 Definizione Cyber Risk

La Circolare 263 della Banca d’Italia rappresenta la declinazione applicativa della disciplina di Basilea II. Pur abrogata in buona parte dal framework di Basilea III, ed in particolare dalla relativa Circolare 285, è ancora valida per

(32)

31

talune parti ed è importante soprattutto per il 15° Aggiornamento. Sino ad ora la componente ICT era relegata come breve appendice per esempio nei requisiti qualitativi per la validazione dei modelli interni. L’obiettivo è dare un framework di riferimento per gli assetti organizzativi, la governance e la gestione del rischio ICT. La definizione data dal regulator sul rischio ICT è la seguente:

“Rischio Informatico (o ICT) o Cyber Risk”: il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione (Information and Communication Technology – ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici37_. Come si nota, la definizione è molto ampia (e non poteva forse essere diversamente), non fa riferimento a fattispecie e tassonomie chiuse, ma si limita al richiamo sul contenuto tecnologico di tale ambito. Di nuovo, in modo esplicito, viene richiamata l’intersezione con rischi di altra natura, quali quelli

operativi, reputazionali, strategici.

In letteratura vi sono diverse definizioni di cyber risk. Secondo PricewaterhouseCoopers, una delle “big four” delle società di revisione a livello mondiale, viene definito come: “Cyber risk can be defined as the risk connected to activity online, internet trading, electronic systems and technological net

works, as well as storage of personal data”38_.

L’Institute of Risk Management lo definisce: “ Cyber risk means any risk of financial loss, disruption or damage to the reputation of an organisation from some sort of failure of its information technology systems”39_.

Ancora Phil Mayes, head of technology e PI della Zurich Global Corporate, che definisce il cyber risk, nella sua accezione generale, come il rischio collegato a

37_{https://www.finriskalert.it/wp-content/pdf/Newsletter-24-2014.pdf} 38_{http://www.pwc.dk/da/arrangementer/assets/cyber-tineolsen.pdf}

(33)

32

una perdita che non implichi danni fisici o alle proprietà tangibili; esso è relativo, infatti, alla perdita di dati, i quali non sono considerati proprietà tangibili, nonostante lo sia il mezzo su cui risiedono40

_.

La terminologia assicurativa suddivide con razionalità il cyber risk in due tipologie41:

1. First party risk: rischio dei propri asset, è quello che genera un impatto diretto sul fatturato dell’Assicurato;

2. Third party risk: rischio verso terzi, si riferisce alle passività subite da parti terze e imputabili all’Assicurato.

Delle due tipologie di rischio, il Third party risk risulta essere il più grave, in quanto si tratta di danni relativi alla perdita di dati sensibili di carattere personale causati da terze parti, come ad esempio attacchi da parte di hacker, trasmissione di malware, etc.. Nonostante alcune leggere discrepanze, le due definizioni sopra evidenziate sono sostanzialmente simili.

1.3.3 Cyber Risk: le fonti del rischio che arriva tramite la rete

Gli scenari del rischio legati al web sono otto42_:

1) Un errore nella normale attività di comunicazione tramite i social network dell’azienda: le aziende tendono ad utilizzare sempre di più il web (i social network: Facebook e Twitter) al fine di effettuare campagne pubblicitarie sempre più ampie e vistose, dato l’elevato numero di iscritti ai social, e potrebbe accadere che l’impiegato responsabile dell’account di Twitter o Facebook dell’azienda scrive per sbaglio un post imbarazzante. Il post rimbalza nella rete causando un danno alla reputazione della azienda.

40_{http://cdn.anra.procne.it/RM_News/21_2011.pdf} 41_{http://cdn.anra.procne.it/RM_News/21_2011.pdf} 42_{http://cdn.anra.procne.it/RM_News/19_2011.pdf}

(34)

33

L’azienda dovrà gestire un momento di imbarazzo e dovrà far fronte al conseguente danno reputazionale e all’eventuale calo delle vendite per effetto di una minore fidelizzazione dei clienti;

2) Gossip o pettegolezzi nei social media: il successo delle aziende dipende anche dal giudizio positivo dei consumatori sui loro prodotti e servizi. Quindi se i consumatori o i forum mettono in giro delle voci maliziose sui prodotti e sui servizi di una determinata azienda, le voci si diffondono a livello virale, raggiungono la sfera internazionale e quindi si mette a rischio la reputazione della società;

3) Sequestro degli account di social media: gli hacker criminosi, sequestrano gli account dell’azienda presso i social media (Twitter o Facebook). Per un certo numero di ore in un dato giorno (mentre l’account è nelle loro mani) pubblicano dei commenti imbarazzanti o offensivi danneggiando l’immagine e la reputazione dell’azienda. Questo è un esempio di cyber-crime;

4) Il sito Web della società è “craccato”: un gruppo di hacker attacca il sito di una società a seguito dei comportamenti o dichiarazioni che agi hacker non piacciono. Avvalendosi di attacchi di tipo DDoS (denial of service: “servizi non disponibili”) riescono a oscurare il sito per più di un giorno con una serie di conseguenze gravi;

5) Cyber-spionaggio: un’azienda concorrente utilizza i canali della rete per accedere a informazioni riguardanti nuove strategie aziendali o d’investimento oppure prodotti/servizi, sottraendo l’informazione e causando un danno all’azienda attaccata. Ne consegue che il vantaggio competitivo della società colpita è messo a rischio. L’attacco potrebbe consentire persino alla società attaccante di colmare il gap esistente e magari di sorpassare l’azienda, colpita da cyber-spionaggio, a livello competitivo;

6) Perdita di dati: a causa di uno sbaglio o di un errore procedurale, una società perde le informazioni riguardanti le carte di credito e i dati personali di un numero significativo di clienti. La stampa apprende la

(35)

34

notizia perché la società è costretta a notificare la perdita dei dati. L’incidente danneggia gravemente la reputazione aziendale;

7) Furti digitali: un’organizzazione criminale, riesce ad aggirare le protezioni online di una società e a rubare le informazioni sulle carte di credito o i dati personali dei clienti contenuti nel database e li mette in vendita online. La conseguenza è che i clienti perdono rapidamente la fiducia nel sistema di sicurezza della società e infine chiudono il rapporto commerciale. Anche in questo caso, come nel sequestro degli account di social media, si tratta di cyber-crime;

8) Casus belli per una guerra: due o più paesi entrano in guerra a seguito di un casus scatenato tramite la rete. Un paese tenta di scardinare le reti informatiche del paese vicino, al che questo paese risponde con misure di guerra convenzionali. Oltre a compromettere i collegamenti Internet in tutta la regione e a interrompere totalmente il commercio online, il conflitto può degenerare in una guerra convenzionale.

1.3.4 Perché’ il cyber risk non è un rischio da sottovalutare?

Pensiamo ad un evento atmosferico, anche sufficientemente potente da compromettere seriamente la continuità del business. Se adeguatamente coperto con uno strumento assicurativo, il danno sarà risarcito e l’attività potrà riprendere come e, potenzialmente, meglio di prima. In un evento cyber non è sufficiente

rimettere in piedi “i muri”; un danno di reputazione conseguente ad una perdita

di dati sensibili ad esempio, può già di per sé causare danni enormi. Se a ciò aggiungiamo i danni cyber, il quadro diviene insostenibile.

(36)

35

1.3.5 Danni Cyber

Possiamo distinguere tre grandi famiglie di danni43_:

1) Danni materiali diretti ed indiretti: riguardano i danni (danneggiamento, distruzione parziale o totale, furto) subiti da beni materiali (un server, la fibra ottica, i PC, un cellulare, macchinari o altro

device elettronico) e direttamente causati dall’evento che sarà

normalmente di natura “analogica” o tradizionale (incendio, terremoto, fulmine, furto, atto maldestro o doloso, etc.). Proprio per la loro natura

diretta e fisica queste tipologie di danni potrebbero già rientrare in una

polizza Incendio a Rischi Nominati, in una All Risks o naturalmente nella Polizza storicamente definita Elettronica. Quindi non necessariamente essere oggetto di una copertura specifica sul Cyber Risk.

2) Danni immateriali diretti e indiretti: Qui invece entriamo nell’ambito proprio di una copertura Cyber. I sinistri di tipo informatico sono caratterizzati dall’immaterialità. Colpiscono beni non tangibili, ma comunque funzionali ed indispensabili allo svolgimento di una qualsiasi attività. L’incendio che brucia il server con il suo contenuto informativo, l’involontaria cancellazione di un database clienti o ordini per azione erronea – anche colposa – da parte di un dipendente addetto alla gestione informatica, l’azione di un virus o malware. Sono tutti eventi che compromettono l’integrità di un software e/o l’insieme logico di informazioni – ovvero rendono indisponibili i miei dati o servizi aziendali.

Il danno immateriale diretto lo possiamo tradurre, quindi, nell’Impossibilità dell’Azienda a continuare la Sua attività. Solo che, al contrario di quanto avviene in un sinistro “tradizionale”, normalmente l’interruzione è pervasiva, totale ed immediata e può colpire anche sedi remote. Il danno immateriale indiretto, invece, lo possiamo declinare con le voci di perdita d’immagine e reputazione aziendale, nonché di perdita

di quote di mercato.