Nel secondo trimestre del 2023, stiamo assistendo nel mercato dell’assicurazione cyber a grandi disparità tra gli assicuratori che cercano di crescere senza il beneficio di un rapido aumento dei tassi di rinnovo.
Secondo il Cyber Market Update di RPS tra le strategie attualmente impiegate vi sono:
- riduzioni delle tariffe, che sono significativamente più pronunciate per i rischi del mercato medio e di grandi dimensioni
- un ritorno ai requisiti per alcuni controlli IT nelle classi di settore più favorevoli, in particolare per le piccole e medie imprese (PMI)
- Un aumento dell’appetibilità per le classi di settore precedentemente considerate fuori limite
- Ritorno a un’offerta di limiti di 5 milioni di dollari per un maggior numero di assicurati precedentemente limitati a 2 o 3 milioni di dollari, con alcuni mercati che offrono nuovamente 10 milioni di dollari.
- Riduzione delle soglie di valutazione del rischio per ottenere l’assicurabilità e condizioni più favorevoli.
- Prezzi significativamente ridotti per l’eccesso di cyber – fattori di aumento del limite invertiti (ILF) dal 2022 fino al 65% per i rischi migliori.
I vettori non stanno impiegando queste strategie in modo coerente, rendendo questo mercato “in maturazione” ancora più imprevedibile.
Il Ransomware non è morto
Nell’ultimo aggiornamento trimestrale sul mercato cyber, è stata registrata una diminuzione della frequenza dei ransomware mentre i pagamenti fraudolenti hanno conquistato la prima posizione nella frequenza dei sinistri. Sebbene questa tendenza sia ancora presente nel secondo trimestre, non si può dire che il ransomware sia scomparso. Quello a cui stiamo assistendo è un calo significativo della disponibilità a pagare da parte delle organizzazioni. La società di analisi forense e di risposta agli incidenti di estorsione informatica Coveware riporta un calo drammatico, mostrando che l’85% delle vittime di ransomware ha pagato il riscatto nel 1° trimestre del 2019 contro il 37% nel 4° trimestre del 2020.
Anche con questo calo della propensione al pagamento, persistono costi significativi per le analisi, il ripristino dei dati, la consulenza legale e i costi di interruzione dell’attività. Questi fattori rendono ogni attacco ransomware, a prescindere dal fatto che l’attore della minaccia venga pagato, un evento estremamente oneroso, che provoca un impatto finanziario, operativo e reputazionale significativo per le persone colpite.
E’ stato notato un notevole aumento dell’attività ransomware nel mese di aprile. Dopo un febbraio molto leggero e un leggero aumento a marzo, è ancora troppo presto per dire se si tratta di una tendenza destinata a continuare. Tuttavia, una variante nota come Royal ha mostrato un aumento significativo della persistenza. Secondo la Cybersecurity Infrastructure & Security Agency (CISA), queste minacce si concentrano principalmente sui settori delle infrastrutture critiche, tra cui l’industria manifatturiera, le comunicazioni, la sanità e l’assistenza sanitaria pubblica e l’istruzione.
Aumentano le richieste di risarcimento per RCT
Mentre le leggi statali e federali sulla privacy continuano ad ampliare il loro campo di applicazione e la confluenza di tecnologia, media e pubblicità si intreccia sempre di più nelle operazioni quotidiane delle organizzazioni, stiamo assistendo a un impatto significativo sulle richieste di risarcimento da parte di terzi.
In testa alle richieste di risarcimento per responsabilità civile questo trimestre ci sono gli incidenti che riguardano la raccolta non autorizzata di dati web, in particolare utilizzando tracker, pixel e cookie dei siti web.
Gli assicuratori stanno agendo rapidamente per evitare costose controversie sulla privacy nella formulazione delle loro polizze. Molti vettori si affidano ad ampie esclusioni di “raccolta e uso non autorizzato” nelle loro polizze per evitare di pagare i costi di difesa e di indennizzo per richieste di risarcimento di questa natura. Alcuni applicano dei sottolimiti, mentre altri introducono sempre più spesso esclusioni specifiche per il tracciamento dei pixel, in particolare nel settore sanitario (ad esempio, un portale per i pazienti di un ospedale raccoglie dati e li condivide con una piattaforma di social media nel tentativo di indirizzare i pazienti verso dispositivi medici, farmaci o altri servizi che potrebbero curare direttamente la condizione del paziente).
I dati suggeriscono che non è sufficiente incorporare l’uso di questi strumenti nella politica sulla privacy online di un’organizzazione. Prevediamo che queste azioni legali continueranno ad espandersi tra le organizzazioni di vari settori, tra cui la vendita al dettaglio e l’ospitalità.
Gli assicuratori utilizzano sempre più spesso tecnologie di scansione degli URL e questionari aggiuntivi per sottoscrivere questo rischio. Agenti e broker dovrebbero familiarizzare con questa tendenza e cercare nei moduli di polizza e nelle clausole aggiuntive le esclusioni relative alla raccolta illecita o non autorizzata, al pixel tracking e a formulazioni simili. Informate i vostri assicurati della loro potenziale esposizione in quest’area: le attuali polizze Cyber probabilmente non copriranno richieste di risarcimento di questa natura. Potete indicare loro le risorse che possono aiutarli a valutare il rischio, come le tecnologie gratuite di scansione dei pixel basate sul web, come Blacklight.