Registreranno un aumento a livello della raccolta premi almeno del 300% le compagnie assicurative che si occupano di sicurezza informatica, anche se il pricing e i contenuti offerti dai propri prodotti assicurativi sono in continua evoluzione. Questo è quanto riportato da specialisti in ambito assicurativo (e non solo) al Bureau of National Affairs (BNA) di Bloomberg.
L’assicurazione cyber in soli 15 anni è passata dal vendere le prime polizze in assoluto negli Stati Uniti a raggiungere un giro d’affari che ora ammonta a un miliardo di dollari in termini di premi lordi sottoscritti.
La combinazione di vari fattori, tra cui la continua sofisticazione dei crimini informatici, il conseguente controllo più rigido da parte delle autorità, che ora possono fare affidamento su maggior numero di leggi statali e federali, il tutto accompagnato dalla maggiore disponibilità di informazioni a servizio dei broker e di potenziali assicurati, ha permesso alle compagnie assicurative di registrare una raccolta dei premi pari a 2.75 miliardi di dollari nel 2015, cifra che entro il 2020 potrebbe arrivare a 7.5 miliardi di dollari.
Tracy Dolin, analista dell’unità Ratings Services di Standard’s & Poor’s ha stimato che il mercato potrebbe raggiungere un valore di 10 miliardi di dollari entro il 2025.
“La nostra organizzazione cercherà di espandere in modo significativo il proprio portafoglio nei prossimi due o tre anni. Nuove opportunità sono presenti in settori alternativi, come, ad esempio, le associazioni, gli studi legali, le società scientifiche. Molte altre organizzazioni ora stanno acquistando questo tipo di copertura,” ha affermato Toby Merrill, vice presidente senior della divisione Global Cybersecurity Risk Practice di ACE Group.
Il rapido aumento delle vendite previsto sta avvenendo in un momento in cui il mercato dell’assicurazione per la sicurezza informatica è ancora considerato da molti specialisti come un prodotto nella sua fase iniziale. Un prodotto quindi che non ha ancora un pricing, termini e condizioni, e persino un linguaggio, standard, un particolare che potrebbe far sì che gli individui in procinto di acquistare una polizza non abbiano un’adeguata chiarezza riguardo al prodotto offerto.
Wild West o stabilizzazione?
L’opinione degli specialisti riguardo all’evoluzione delle cyber assicurazioni si divide. Alcuni credono che il mercato si stia orientando verso un’uniformazione del pricing e dei prodotti mentre altri hanno fornito un punto di vista alternativo.
Adam Thomas, direttore di Deloitte & Touche LLP, ha paragonato il mercato delle cyber assicurazioni al “Wild, Wild West”. Le compagnie sperano di acquistare protezione contro le intrusioni di hacker nei sistemi di sicurezza o una copertura contro la responsabilità civile dovuta ad una violazione della privacy, però potrebbero finire per ritrovarsi con polizze che non solo non offrono una reale protezione contro questi rischi ma addirittura poco più di una sensazione illusoria di sicurezza.
Anche altri specialisti del settore si ritrovano d’accordo con l’opinione di Thomas.
“Il mercato non è ancora maturo, il pricing è del tutto sballato,” ha affermato Howard Mills, ex soprintendente del New York Insurance Department e ora Global Insurance Regulatory Leader di Deloitte LLP.
“Chiaramente c’è domanda, quindi tenetevi pronti ad assistere a numerosi tentativi da parte del settore di commercializzare questa opportunità a più non posso. Ma le compagnie assicurative devono poterlo fare ad un rischio ragionevole,” ha affermato.
Robert Hartwig, presidente dell’Insurance Information Institute, ha affermato che la cyber assicurazione “prospetta per le compagnie d’assicurazione un futuro molto luminoso, ma, cosa ancora più importante, copre una lacuna, un vuoto, che in America caratterizza ogni azienda a livello virtuale.”
“Fondamentalmente, il prodotto non ha bisogno di un’ulteriore pubblicità, dal momento in cui quasi ogni settimana si legge la notizia che una grande azienda ha subito una violazione dei propri sistemi di sicurezza informatici,” ha affermato.
Paul Bantick, leader del Focus Group di Beazley Plcs ha affermato che “nella carriera di un assicuratore è molto raro incontrare un prodotto nuovo che non solo tranquillizzi gli assicurati ma fornisca anche un beneficio e un valore reale, che sia in conclusione un prodotto irrinunciabile, un must-have. Ed è proprio questo che è diventata la cyber assicurazione.”
Le sfide di underwriting
La domanda di questo tipo di assicurazione a volte supera la capacità effettiva delle compagnie di creare polizze specifiche, il che significa che qualche azienda si ritroverebbe inevitabilmente senza una protezione adeguata. Le principali compagnie statunitensi non riescono a trovare un tipo di copertura che le protegga anche al di sopra dei 100 milioni di dollari e vengono, di conseguenza, esposte a tutti i costi di portata maggiore non assicurati. Target Corp., per esempio, ha dichiarato in un’istanza rivolta alla Securities and Exchange Commission che durante i primi 11 mesi del 2014 ha totalizzato 248 milioni di dollari di spese cumulative a causa della violazione subita a livello dei sistemi di pagamento con carta di credito e ha ricevuto un indennizzo assicurativo pari a soli 90 milioni, venendo costretta ad assumersi un danno da 158 milioni di dollari.
Nonostante il boom della domanda per le cyber assicurazioni, molti assicuratori sono molto cauti nell’offrire il prodotto, sia perché non hanno validi dati storici per poter costruire modelli di rischio adeguati sia perché non hanno una profonda conoscenza dei rischi associati con la vendita di tale copertura, ha dichiarato l’analista dell’unità Credit Services di Standard & Poor’s, Sridhar Manyem.
Le compagnie di assicurazioni e i compratori semplicemente si stanno adeguando a questa situazione instabile.
Catherine Mulligan, vice presidente senior dell’unità Specialty Products al Zurich North American Insurance Co. ha affermato che “il processo di underwriting è una delle cose in costante evoluzione. Stanno cambiando i tipi di attacchi, le tecnologie si stanno evolvendo, e noi assicuratori siamo costantemente al lavoro per comprende l’intera portata delle esposizioni e quali metodi di controllo dovrebbero essere attuati.”
“Vedremo molti sviluppi a livello dei prodotti.”
Polizze su misura
Molte polizze continuano ad essere fatte su misura, create specificatamente per ogni singolo individuo, ha affermato John Lucker, dirigente di Deloitte Consulting LLP e capo della Advanced Analytics & Modeling Practice.
“Al momento non c’è un vero e proprio standard di polizza assicurativa per quanto riguarda la sicurezza informatica. Il settore, tuttavia, sta lavorando per creane uno,” ha affermato.
“Semplicemente, molti esponenti del settore credono di non avere una conoscenza approfondita del rischio e del profitto che possono ottenere dai premi delle polizze cyber perché i danni potenziali sono enormi. Quindi, anche se ci sono coperture di sicurezza informatica disponibili, non c’è molta scelta nel mercato al momento,” ha affermato Mills.
Le compagnie che hanno anche solo effettuato una errata analisi dei rischi, o il cui pricing sia stato sbagliato, sono uscite dal mercato.
Secondo quanto rilevato da un report pubblicato da Standard & Poor’s, rispetto alle 60 compagnie assicurative che qualche anno fa offrivano assicurazione per il cyber risk, oggi quel numero si è ridotto a 50, di cui meno di una dozzina detiene una quota di mercato significativa negli Stati Uniti.
Anche se è vero che i dati storici relativi ad incidenti di sicurezza informatica non sono consistenti come, per esempio, i dati sui loss ratio del settore RC auto, i professionisti del settore assicurativo non potrebbero in ogni caso valutare correttamente i rischi corsi da una compagnia.
“Non si tratta solo della sicurezza dei sistemi informatici, ma anche di tutti gli aspetti indirettamente collegati a queste attività, come l’esperienza di risk management e i controlli sulla provenienza dei dipendenti” ha affermato Tim Francis, capo dell’unità Cybersecurity Insurance a Travelers.
Secondo il report di settembre 2015 di Allianz Global Corporate & Specialty SE, “La cyber assicurazione stand-alone continuerà ad evolversi ma questo sviluppo comporterà anche delle sfide, poiché si devono ancora testare in modo concreto tutti questi concetti e formulazioni teoriche, e potrebbero nascere delle controversie. Non è un fatto insolito per quanto riguarda i nuovi prodotti e può, tuttavia, contribuire al miglioramento della conoscenza dei rischi.”