In questo articolo, grazie ai commenti degli avvocati Stefano Mele e Guido Foglia, vediamo come si attivano, cosa coprono e cosa non coprono le polizze cyber, i possibili costi in base alla dimensione delle aziende, come evitare sorprese con un occhio particolare alle esclusioni e il confronto con l’estero.

Il rischio zero non esiste. Per nessuno. Né per grandi né per piccole e medie aziende né tantomeno per le Pubbliche Amministrazioni. Sono tutti vulnerabili dal punto di vista della cybersicurezza. Ecco perché una polizza Cyber Risk può essere un utile “paracadute” per i rischi connessi ad un evento avverso.

In questo articolo vediamo come si attivano, cosa coprono e cosa non coprono le polizze cyber e i possibili costi in base alla dimensione dell’assicurato.

Poiché il rischio non può essere eliminato completamente, la logica è quella della mitigazione. La polizza Cyber Risk consente di trasferire parte del rischio a un soggetto assicurativo, coprendo le conseguenze economiche degli attacchi informatici.

L’attivazione avviene generalmente attraverso una fase preliminare di valutazione del livello di sicurezza aziendale e del rischio cyber. 

Molte polizze includono anche servizi accessori, come assistenza immediata in caso di incidente, accesso a team di risposta specializzati e supporto legale e tecnico.

“Quando si parla di assicurazioni per la copertura del rischio cyber”, ha raccontato a Cybersecurity Italia l’avv. Stefano Mele, Partner, Head of Cybersecurity & Space Economy Law Department dello studio legale internazionale Gianni & Origoni, “il punto di partenza è quello di evitare un equivoco abbastanza diffuso, ovvero che basti una copertura generica e standard. Si tratta, invece, di uno strumento complesso, che supporta davvero l’assicurato solo se è coerente con il livello di maturità cyber dell’organizzazione. Se questo allineamento manca, il rischio concreto è quello di pagare per una protezione che, al momento dell’utilizzo, non risponde come ci si sarebbe aspettati”.

“Per questo”, ha continuato l’avv. Mele, “quando si valuta una polizza cyber, non bisogna fermarsi a cosa copre sulla carta, ma capire bene quando e a quali condizioni quella copertura si attiva. Le esclusioni, gli obblighi contrattuali e i requisiti minimi di sicurezza richiesti all’azienda sono spesso la parte più rilevante e, in molti casi, se questi elementi non sono rispettati, la copertura si riduce o non si attiva affatto”.

Le attività coperte dall’assicurazione cyber

Data Breach Response. Infatti, il primo “intervento” della assicurazione cyber è un aiuto concreto e pratico nelle primissime fasi in cui si accerta di essere stati vittima di un attacco cibernetico. 

È un’attività in cui l’assicuratore mette a disposizione dell’assicurato un panel di professionisti specializzati. Si tratta di esperti in materia di data breach che affiancano l’azienda nella gestione dell’incidente, dialogando direttamente con essa per predisporre le comunicazioni da inviare al Garante Privacy (la notifica dell’incidente all’Autorità deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e per spiegare in modo puntuale quanto accaduto. Questo lavoro viene svolto in collaborazione anche con gli esperti di informatica forense, che contribuiscono all’analisi tecnica dell’incidente, e – se necessario – di società specializzate in crisis communication.

Gestione della crisi a livello di comunicazione ai clienti e ai media

Come detto, l’assicurazione può mettere a disposizione della società assicurata un team o un’agenzia di comunicazione. Si tratta di realtà altamente specializzate nella gestione della comunicazione di crisi, che supportano la preparazione dei messaggi da indirizzare a tutti i soggetti potenzialmente impattati dal data breach, tipicamente i clienti della società.

Qualora dovesse essere avviato anche un procedimento, il cliente viene seguito anche nella fase procedimentale davanti all’Autorità.

Il Garante Privacy può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del GDPR, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

L’indennizzo dei potenziali danni

La seconda fase di “intervento” dell’assicurazione cyber riguarda invece l’indennizzo dei potenziali danni.
I danni possono essere di due tipologie. Da un lato ci sono i danni materiali: un attacco a un’infrastruttura tecnologica può comportare la necessità di sostituire sistemi o componenti, con costi legati all’intervento di tecnici, alla riparazione e alla sostituzione delle parti danneggiate.

Quindi, in sostanza, si tratta proprio di danni concreti e diretti, legati al ripristino dell’infrastruttura.

“A seconda delle coperture assicurative – che non sempre includono questa componente, ma in alcuni casi sì – può essere prevista anche un’ulteriore tutela, rappresentata dalla cosiddetta business interruption, un ambito particolarmente critico”, ha spiegato a Cybersecurity Italia l’avv. Guido Foglia, Partner dello studio legale internazionale Dac Beachcroft, specializzato principalmente in diritto assicurativo e riassicurativo.

Quando si verifica un data breach, soprattutto in presenza di attacchi ransomware, può accadere che l’attività del soggetto colpito venga completamente bloccata. Non è raro osservare casi in cui aziende restano ferme per giorni, senza accesso ai sistemi o alle email.

“Questo blocco operativo”, ha aggiunto l’avv. Foglia, “genera danni rilevanti, spesso tra i più significativi, perché comporta l’interruzione dell’attività e dei servizi erogati ai clienti. In questi casi, alcune polizze prevedono la copertura di tali perdite”.

La quantificazione del danno può includere, ad esempio, i costi di ripristino della infrastruttura, la riduzione del fatturato o le mancate commesse non evase nei tempi previsti così come, per quanto detto, i danni correlati alla cosiddetta business interruption.

Copertura anche ai danni subìti dai clienti dell’azienda assicurata, vittima dell’attacco cyber

Inoltre, queste polizze tipicamente estendono la copertura anche alla responsabilità civile dell’assicurato per i danni subìti dai terzi.

Si tratta di un’area delle coperture correlata alla responsabilità civile verso terzi. Le polizze cyber, infatti, non operano solo a beneficio diretto dell’assicurato, ma sono strutturate anche per coprire i danni che coinvolgono soggetti terzi.

In termini generali, la polizza cyber, nella sua configurazione ideale, è finalizzata a indennizzare l’assicurato sia per i danni subiti, sia per quelli eventualmente causati a terzi

“In questa fase entra in gioco la responsabilità civile”, ha spiegato l’avv. Guido Foglia, “è frequente che i clienti dell’assicurato – ad esempio coloro i cui dati sono stati coinvolti in un data breach – possano avanzare richieste risarcitorie. In tali circostanze, la polizza interviene coprendo la responsabilità civile dell’assicurato nei confronti dei terzi che abbiano presentato contestazioni o domande di risarcimento, ma solo se la polizza prevede questa copertura”.

Pagamento del riscatto da parte dell’assicurazione

C’è poi un’ulteriore area, piuttosto complessa da gestire. Si tratta della copertura dei cosiddetti riscatti. Sul mercato queste coperture sono abbastanza diffuse, ma la loro legittimità non è ancora del tutto chiara.

“Un esempio tipico”, ha osservato l’avv. Mele, “riguarda gli attacchi ransomware. Molte polizze prevedono coperture per questo tipo di attacchi, ma le subordinano al rispetto di misure minime come l’adozione di sistemi di backup efficaci, segmentazione della rete o autenticazione multifattore. Se queste misure non sono state implementate correttamente, l’assicuratore può contestare il sinistro o ridurre significativamente l’indennizzo”.

Nel caso di attacchi ransomware, infatti, accade che gruppi criminali – spesso di matrice internazionale – blocchino completamente i sistemi informatici dell’organizzazione colpita. Dopo poco tempo viene inviata una richiesta: per riottenere accesso ai dati o ai server, è necessario pagare un riscatto, generalmente in criptovalute.

In ambito europeo, queste richieste di riscatto risultano spesso coperte dalle polizze, perché rappresentano, di fatto, il danno principale. Se il soggetto colpito riesce a ripristinare rapidamente l’accesso ai propri sistemi, il rischio legato all’interruzione del business si riduce sensibilmente.

Tuttavia, dal punto di vista tecnico, non vi è alcuna garanzia che il pagamento del riscatto consenta effettivamente di recuperare la gestione dei sistemi o i dati compromessi nella loro integralità. I professionisti del settore evidenziano come, anche a fronte del pagamento, il ripristino completo non sia certo e possa comunque presentare criticità.

In materia di ripristino dell’infrastruttura, quasi tutti gli esperti suggeriscono comunque di non pagare il riscatto.

“L’esperienza osservata”, ha fatto notare l’avv. Foglia, “soprattutto a livello internazionale, ma sempre più anche in Italia – mostra però la presenza di società specializzate nella gestione del pagamento del riscatto”.

Si tratta di soggetti che negoziano direttamente con gli attaccanti, cercando di ridurre le richieste iniziali a valori più contenuti e in linea con una sorta di “standard di mercato”. In alcuni casi, a fronte di richieste molto elevate, si arriva a chiudere con importi significativamente inferiori, grazie a queste attività di negoziazione.

La tipologia di assicurazioni cyber

Gli assicuratori si differenziano tra loro anche in funzione della tipologia di assicurato: grandi imprese, PMI o singoli individui. In base a questo, le polizze possono includere coperture accessorie, che nella maggior parte dei casi consistono in servizi aggiuntivi.

Si tratta di servizi utili sia in ottica preventiva sia per supportare l’assicurato nel momento in cui si verifica un attacco, ampliando quindi il perimetro di assistenza oltre la sola componente indennitaria.

L’assicurazione effettua un rating, cioè una valutazione del rischio del soggetto assicurato. Più il rischio è basso, minore sarà il premio; al contrario, a un rischio più elevato corrisponde un costo maggiore.

Un elemento determinante è anche il massimale: se, ad esempio, sull’interruzione del business o dell’operatività viene previsto un massimale molto elevato, questo si riflette inevitabilmente in un aumento del premio.

Esistono poi diversi strumenti tecnici che possono contribuire a ridurre il costo, come l’introduzione di franchigie o sottolimiti. La tecnica assicurativa, infatti, è diventata particolarmente articolata, ma i principali driver che incidono sul premio restano sostanzialmente questi.

Il valore del premio

In sintesi, il valore del premio dipende da:

– la valutazione del rischio;
– i massimali previsti in polizza e le diverse tipologie di copertura offerte
– la presenza di massimali aggregati e sottolimiti specifici per singola garanzia;
– le franchigie applicate alle diverse coperture.

Come detto, il tema del pagamento del riscatto è trattato in modo diverso dagli operatori: alcuni lo includono nelle coperture, altri no. Dal punto di vista strettamente legale, esistono ancora dubbi sulla legittimità di queste previsioni.

Il punto è che, nel nostro ordinamento, il pagamento di un riscatto è sempre stato considerato con cautela, anche per ragioni storiche. Non esiste una normativa specifica che lo vieti esplicitamente nel privato in ambito cyber, ma resta un tema sensibile sotto il profilo giuridico.

Questo perché il pagamento di riscatti può avere un effetto indiretto di incentivo alla criminalità, alimentando il fenomeno stesso. Per questo motivo, dal punto di vista sistemico, non è visto con favore.

Detto ciò, nella pratica di mercato molte polizze includono comunque questa copertura, perché rappresenta una richiesta concreta degli assicurati. In particolare, le aziende vogliono evitare di dover sostenere direttamente un costo potenzialmente molto elevato in caso di attacco ransomware.

“In definitiva, ha concluso l’avv. Stefano Mele, “l’assicurazione cyber va letta per ciò che è realmente: non una soluzione da implementare al posto delle attività di sicurezza, ma uno strumento di gestione del rischio. Può mitigare l’impatto economico di un incidente, ma non può (e non deve) sostituire né la prevenzione, né tantomeno la capacità di risposta. Pensare il contrario significa affrontare il problema con un’impostazione totalmente sbagliata”.

Il confronto tra Italia e estero

Infine, qual è il trend delle assicurazioni cyber tra l’Italia e l’estero? “Da diversi anni i rischi cyber sono indicati sia in Italia sia nel mondo come top trend, ma all’estero si vedono più incidenti denunciati rispetto all’Italia. Nel nostro Paese”, ha concluso l’avv. Guido Foglia, “il rapporto tra il numero di polizze cyber sottoscritte e il numero di incidenti denunciati non è ancora così elevato come in altri paesi europei”.

Vai al sito di Cybersecurity Italia.

L'articolo Assicurazioni cyber, dai danni ai sistemi fino al pagamento del riscatto: cosa coprono e non coprono (la guida) sembra essere il primo su CyberSecurity Italia.