Gli attacchi informatici e la violazione dei dati sono uno dei rischi maggiormente avvertiti dalle aziende italiane. Nonostante ciò, solamente il 20% delle società acquista le polizze Cyber Risk che tutelano le imprese dalle minacce connesse all’uso delle nuove tecnologie.
A livello mondiale sono 63 mila i casi di criminalità informatica nel 2014, il 3% dei quali hanno riguardato l’Italia. Un numero di tre volte superiore rispetto al 2011.
Furti di identità (58% degli eventi) e violazione delle reti informatiche sono all’ordine del giorno e le conseguenze possono essere molto gravi: sottrazione dei denaro (90% dei casi), danno alla reputazione e interruzione dell’attività.
Sono questi alcuni dei dati emersi nel convegno “Cyber risk: dal mondo virtuale una minaccia reale” organizzato a Padova dalla Delegazione Nord Est di AIBA (Associazione Italiana Brokers di Assicurazioni e Riassicurazioni), guidata da Giorgio Stoppato.
Particolarmente sentito per le aziende del nordest, il problema dell’interruzione dell’attività a pochi giorni dal tornado che lo scorso 8 luglio ha squarciato la Riviera del Brenta, causando danni economici per circa 100 milioni di euro.
Le prime stime parlano di oltre 500 abitazioni danneggiate (130 da abbattere), 20 ville venete colpite e oltre 150 aziende lesionate, molte delle quali hanno dovuto bloccare la produzione. L’interruzione dell’attività agisce da moltiplicatore dei danni diretti subiti da un’azienda, con pesanti ripercussioni sul conto economico: perdita di profitto, riduzione temporanea del fatturato e maggiorazione dei costi. Una serie di concause che rischiano di compromettere la sopravvivenza dell’azienda, soprattutto quelle di piccole dimensioni, se il ritorno alla piena attività non avviene in tempi brevi.
Storicamente le PMI italiane sono sotto-assicurate; in poche si tutelano da eventi naturali (terremoti, alluvioni, tornado, ecc.) o dai Cyber Risk (attacchi informatici) e ancora meno dai danni indiretti (interruzione della produzione).
Da diversi anni si discute su come incentivare le coperture per i danni catastrofali. “Sarebbe quanto mai urgente introdurre anche in Italia – afferma Carlo Marietti Andreani, Presidente di AIBA – un modello pubblico-privato per tutelare gli immobili e mettere in sicurezza le aziende dagli eventi naturali che sono in preoccupante aumento di intensità e frequenza: 189 gli eventi registrati in tutto il mondo nel 2014, il più alto numero di sempre. Il nostro Paese spende ogni anno circa 3,3 miliardi di euro, facendo leva sulla fiscalità, per risarcire i danni da eventi naturali”.
Alla luce delle crescenti difficoltà dello Stato a indennizzare in maniera adeguata e in tempi brevi i danni catastrofali, è urgente individuare un modello di collaborazione tra lo Stato e gli assicuratori che, spiega Marietti, “preveda deduzioni fiscali per le imprese che si assicurano (l’imposta è attualmente al 22,25%) all’interno di uno schema da definire (polizze obbligatorie o semi-obbligatorie). In questo modo l’erario non sarebbe chiamato a pesanti esborsi senza copertura in bilancio e la diffusione dell’assicurazione introdurrebbe importanti elementi di efficienza e pianificazione della spesa per il ristoro dei danni”.
L’espansione dell’informatica nelle realtà aziendali e la diffusione dei social network, dei dispositivi mobili, delle tecnologie wifi e dei servizi cloud hanno portato a un aumento di vulnerabilità. Le forme più diffuse di attacco risultano essere i malware (virus, trojan horses, etc.), il social engineering (compreso il cosiddetto phishing) e il furto dei dispositivi soprattutto portatili.
Giorgio Stoppato, Responsabile Delegazione Nord Est di AIBA che conta circa 100 aziende di brokeraggio iscritte nel solo Veneto, sottolinea che “oltre alla perdita di dati o di reputazione dell’impresa vittima di un attacco informatico, anche i danni a terzi possono essere rilevanti, poiché le imprese sono responsabili della violazione dei dati dei loro clienti e possono essere chiamate a far fronte ad azioni collettive di risarcimento da parte della clientela. I costi possono quindi includere anche gli onorari degli avvocati per la difesa delle aziende in tribunale o per tentare transazioni extragiudiziali, nonché per consulenze e perizie di vario genere, incluse le spese e le misure adottate per informare i clienti”.
Inoltre, gli attacchi informatici possono determinare cumuli di rischio in grado di impattare sulle società sussidiarie e consociate, nonché su fornitori e clienti che costituiscono l’intera supply chain delle aziende.
Perfino l’assicurazione della responsabilità civile di amministratori e sindaci (D&O) può essere interessata dal cyber risk, in quanto questi ultimi si trovano ad affrontare gli azionisti per non avere posto in essere adeguate misure di sicurezza informatica.
Secondo i risultati di uno studio realizzato a livello globale dal gruppo assicurativo internazionale AIG (American International Group) e resi noti nel corso del convegno di Padova, l’80% dei clienti ritiene che sia difficile fronteggiare le minacce cyber a causa della loro rapida evoluzione, mentre l’82% del campione individua negli hacker la prima fonte di minacce cyber. Se il 74% ritiene che una fonte significativa di rischi informatici sia dovuta all’errore umano, il 67% è preoccupato dalla possibile interruzione di attività conseguente a un attacco.
Lo studio afferma che l’86% dei clienti di AIG individua nel cyber risk la principale fonte di preoccupazione. Tuttavia, anche se la domanda di coperture cyber è in crescita, solo il 20% ha acquistato una polizza.
Il 20% delle imprese del campione sostiene di avere un budget insufficiente per la sicurezza informatica, mentre il 60% non pensa di assicurarsi per questa tipologia di rischio.
Per le piccole e piccolissime imprese è quindi determinante l’intervento del broker per mitigare un rischio che potrebbe rivelarsi molto grave. Solo il broker, figura professionale indipendente che agisce su specifica richiesta del cliente, può fornire alle imprese un servizio di consulenza qualificato che si traduce nella definizione programma cautelativo ad hoc, a seconda delle capacità economiche e della propensione al rischio delle imprese.