di Anna Messia
Le prime lettere di risposta stanno arrivando in questi giorni dopo che l’Ivass ha deciso di alzare l’attenzione sulla possibile minaccia di attacchi informatici a danno delle compagnie di assicurazione. Solo qualche giorno fa nel mirino dei pirati della rete è finito come Gse, la società del Mef di promozione delle fonti rinnovabili e dell’efficienza energetica, provocando tra l’altro l’oscuramento del sito. Subito dopo è toccato all’Eni, dove i danni sono stati limitati grazie all’intervento dei tecnici dell’Agenzia nazionale per la cybersecurity. Mentre il Nucleo per la cybersicurezza nazionale riunito dopo gli ultimi episodi, ha preso atto che in Europa c’è un incremento generalizzato degli attacchi informatici e l’Italia appare un target particolarmente sensibile. Azioni di cyber crime che sempre più spesso hanno visto al centro le principali aziende del settore energetico e tutta la catena di approvvigionamento e di distribuzione dei prodotti o servizi ad esse connesse.
In questo scenario dove il rischio è aumentato anche le assicurazioni, che gestiscono dati altamente sensibili dei propri clienti, dal risparmio ai fascicoli sanitari, sono evidentemente un settore strategico da monitorare attentamente.
Per quanto motivo l’Ivass, l’istituto di controllo del settore guidato dal direttore generale della Banca d’Italia, Luigi Federico Signorini ha deciso di muoversi con un nuovo monitoraggio del mercato lanciato che è stato lanciato subito prima della pausa estiva con le risposte che stanno iniziando ad arrivare appunto in questi giorni. L’ultima indagine dall’istituto per testare la resilienza delle funzioni aziendali delle assicurazioni ai rischi tecnologici risaliva al 2019. Nel frattempo sono arrivate le nuove disposizioni sul tema cyber risk e governance della tecnologia dell’Eiopa (che raccoglie le Ivass europee) che in Italia sono state recepite con una lettera al mercato diffusa da Ivass a giugno dello scorso anno. La richiesta alle compagnie di assicurazione è stata, tra le altre, di integrare il sistema di gestione dei rischi tenuto anche conto delle esposizioni ai rischi in ambito Ict e cyber security, con la definizione di «limiti di tolleranza» e la predisposizione di report periodici all’organo amministrativo che è stato indicato come responsabile dell’istituzione e dell’esito del processo di gestione dei rischi.
Non solo. Le norme introdotte lo scorso anno hanno previsto l’istituzione di una nuova funzione aziendale, dedicata appunto alla sicurezza informatica il cui responsabile deve poi a sua volta riferire all’organo amministrativo della compagnia. Una funzione che deve essere caratterizzata da indipendenza e obiettività, hanno specificato da Ivass, garantita con la separazione dei processi operativi e di sviluppo dell’Ict, e che deve avere compiti di assistenza e di reporting all’organo amministrativo, oltre che di monitoraggio e di coordinamento delle attività in materia di sicurezza informativa. Ora, a più di un anno di distanza dall’emanazione di quelle indicazioni l’Ivass vuole verificare sul campo come le compagnie che operano in Italia si siano adeguate alle disposizioni nazionali e alle raccomandazioni dell’Eiopa in un momento in cui la minaccia di attacchi informatici si è fatta evidentemente più concreta. (riproduzione riservata)
Fonte: