Di recente EIOPA ha condotto un’indagine conoscitiva su base europea somministrando a un campione di 13 grandi gruppi assicurativi un questionario sull’offerta di prodotti contro i rischi Cyber disponibile a livello continentale.
Ne è derivato un rapporto, “Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies”, che fornisce una panoramica sulle caratteristiche dei prodotti, le tipologie di rischi coperti, le pratiche di pricing, nonché il posizionamento del settore rispetto ad alcune criticità proprie di questo tipo di rischi, come l’influenza dei rischi non affermativi (silence risks) e l’impatto del regolamento GDPR sulla domanda futura.
Pur essendo incluse nel questionario domande riguardo il mercato retail, nessuna delle imprese intervistate vi ha fatto riferimento, limitando le proprie risposte alla clientela corporate. Ben oltre la metà dei gruppi assicurativi ha indicato che fornisce garanzie a tutte le tipologie di imprese, indipendentemente dalla loro dimensione, mentre circa il 20% del campione ha indicato che concentra la propria offerta commerciale alle sole piccole e medie imprese.
Gli assicuratori hanno poi riferito che il grado di personalizzazione dei prodotti Cyber cresce con la dimensione del cliente, passando da coperture molto standardizzate per le piccole imprese a soluzioni su misura per le realtà più grandi. Le imprese hanno riferito che la copertura Cyber è commercializzata sia nella forma stand alone sia all’interno di polizze multirischio. Relativamente alle garanzie incluse, si osserva una certa variabilità nel campione. Se è vero che le garanzie più importanti – la compensazione per l’interruzione dell’attività e il risarcimento di danni procurati a terzi – sono disponibili nell’offerta commerciale di tutte le compagnie intervistate, altri tipi di coperture sono offerte con frequenza diversa.
Circa l’80% delle imprese offre una qualche forma di servizio postevento: prima risposta, gestione evento (ristabilimento dell’operatività, gestione reputazione) e copertura costo di comunicazione. Pochi assicuratori coprono i danni derivanti dal ricatto informatico (ransomware) e dalla frode informatica.
Nell’ambito delle tecniche di pricing impiegate gli assicuratori europei si sono espressi in modo abbastanza uniforme. Gli approcci generalmente adottati possono suddividersi in qualitativi e quantitativi. I primi fanno affidamento a stime legate all’entità dell’esposizione a rischio, a questionari preassuntivi e a valutazioni di esperti in campo informatico. Questo è l’approccio più frequentemente adottato. I criteri quantitativi includono i modelli attuariali corretti da un sistema di rating esperienziale e modelli di rischio ad hoc. Gli assicuratori, infine, identificano nel rischio di sotto-tariffazione, derivante dall’insufficiente disponibilità di dati storici, dalla complessità del fenomeno e dalla sua velocità di cambiamento, la maggiore criticità.
Fonte: ANIA Trends