La frequenza e il valore dei sinistri assicurativi cyber di grandi dimensioni aumentano del 14% e del 17% rispetto all’anno precedente nella prima metà del 2024, con elementi legati alla violazione dei dati e della privacy presenti in due terzi di questi sinistri
I sinistri cyber hanno continuato a crescere nell’ultimo anno, in gran parte a causa dell’aumento degli incidenti di violazione dei dati e della privacy, avverte Allianz Commercial nel suo outlook annuale sul rischio informatico.
La frequenza dei sinistri informatici di grandi dimensioni (>1 milione di euro) nei primi sei mesi del 2024 è aumentata del 14%, mentre la gravità è cresciuta del 17%, secondo l’analisi dei sinistri dell’assicuratore, dopo un aumento dell’1% della gravità nel 2023. Gli elementi legati alla violazione dei dati e della privacy sono presenti in due terzi di questi ingenti danni. Nel complesso, il numero totale di sinistri cyber nel 2024 dovrebbe stabilizzarsi, dopo un aumento del 30% della frequenza nel 2023, che ha portato a oltre 700 sinistri.
“La crescente importanza delle perdite da violazione di dati tra i sinistri assicurativi informatici è determinata da una serie di tendenze degne di nota”, spiega Michael Daum, Global Head of Cyber Claims di Allianz Commercial. “L’aumento degli attacchi ransomware, compresa l’esfiltrazione dei dati, è una conseguenza dell’evoluzione delle tattiche degli aggressori e della crescente interdipendenza tra le organizzazioni che condividono volumi sempre maggiori di dati personali. Allo stesso tempo, l’evoluzione dell’ambiente normativo e legale ha portato a un’impennata delle cosiddette class action ‘non attack’ legate alla privacy dei dati, derivanti da incidenti come la raccolta e l’elaborazione illecita di dati personali – la quota di queste richieste di risarcimento è triplicata in valore solo in due anni”.
Aumentano le richieste di risarcimento non legate ad attacchi, si intensificano le controversie in materia di privacy
L’aumento delle richieste di risarcimento per “non attacchi” è la conseguenza degli sviluppi tecnologici, del crescente valore commerciale dei dati personali e dell’evoluzione del panorama normativo e legale. Ad esempio, a differenza del Regolamento generale sulla protezione dei dati (GDPR) dell’UE, negli Stati Uniti le norme sulla privacy sono meno prescrittive e aperte all’interpretazione, mentre molti legali sono alla ricerca di potenziali fonti di guadagno. Questo crea un’area grigia che è matura per le azioni legali collettive, osserva il rapporto.
“Stiamo assistendo a un aumento delle richieste di risarcimento per violazione della privacy negli Stati Uniti, dove si registra una tendenza crescente a intentare cause collettive contro grandi aziende statunitensi e internazionali in relazione a violazioni della privacy, ad esempio in materia di consenso e utilizzo dei dati”, afferma Daum. Il costo di alcune di queste cause può essere addirittura superiore a quello di un incidente ransomware, nell’ordine delle centinaia di milioni di dollari”.
Nell’ultimo anno, in particolare, le violazioni di dati sono emerse come una delle aree in più rapida crescita delle class action statunitensi. Secondo lo studio legale Duane Morris, nel 2023 ne sono state intentate oltre 1.300 per un’ampia gamma di normative sulla privacy dei dati, più del doppio rispetto al 2022 e il quadruplo rispetto al 2021.
Sono state avviate numerose azioni legali collettive contro organizzazioni di diversi settori, tra cui sanità, social media e giochi, per l’utilizzo di strumenti di tracciamento Meta Pixel per monitorare il comportamento dei consumatori, mentre anche le piattaforme di streaming di intrattenimento sono state prese di mira, con l’accusa di aver violato i diritti di protezione della privacy. I grandi eventi di violazione dei dati possono anche evolvere in un’iper-causa, con un evento che scatena una serie di azioni collettive. Nell’ottobre 2023, più di 240 cause legali relative alla violazione dei dati di MOVEit sono state consolidate in un’unica Multidistrict Litigation. Con un gran numero di ricorrenti, le parti sono incentivate a trovare un accordo. L’anno scorso i 10 principali accordi di class action per violazione di dati hanno totalizzato 516 milioni di dollari, un aumento significativo rispetto ai 350 milioni di dollari registrati nel 2022.
Il rischio di controversie per violazione di dati è in aumento anche in Europa. La maggiore consapevolezza dei diritti di protezione dei dati, l’aumento della disponibilità di finanziamenti di terzi per le controversie e un ambiente più favorevole ai consumatori potrebbero far diventare realtà le richieste di risarcimento di massa per violazione dei dati personali, anche se non sulla stessa scala degli Stati Uniti, osserva il rapporto.
L’intelligenza artificiale può alimentare e prevenire le future violazioni della privacy dei dati
Il fatto che quasi tutti i settori stiano utilizzando l’intelligenza artificiale (AI) avrà un impatto significativo sul panorama dei rischi informatici e di privacy in futuro. L’AI si basa sulla raccolta e sull’elaborazione di grandi quantità di dati, comprese le informazioni personali, sanitarie e biometriche, per addestrare i modelli di AI e fare previsioni o raccomandazioni. Ma gli strumenti di AI come i chatbot possono creare potenziali rischi per la privacy, la disinformazione e la sicurezza se non vengono gestiti correttamente. Con la raccolta e l’elaborazione di una tale quantità di dati, c’è il rischio che questi finiscano nelle mani sbagliate, attraverso hacking o altre violazioni della sicurezza. Ci sono anche preoccupazioni riguardo a potenziali violazioni delle leggi sulla privacy, come ad esempio il fatto che le organizzazioni abbiano il consenso adeguato per elaborare i dati attraverso l’IA.
Dall’esfiltrazione dei dati alla protezione dei dati
Nonostante la tendenza generale ad aumentare gli investimenti nella sicurezza informatica negli ultimi anni, molte violazioni dei dati, tra cui alcuni dei più grandi attacchi informatici con esfiltrazione di massa di dati negli ultimi 18 mesi, sono il risultato di una debole sicurezza informatica all’interno delle organizzazioni e/o delle loro catene di fornitura.
Tali incidenti possono portare a un’ingente richiesta di risarcimento che comporta sanzioni normative, costi di notifica e controversie legali con terzi, oltre a richieste di estorsione, costi di prima parte e interruzione dell’attività.
“Il settore assicurativo deve concentrarsi maggiormente sull’aspetto del rischio informatico legato alla privacy dei dati e ha un ruolo chiave da svolgere nell’offrire alle aziende consulenza per la prevenzione e la riduzione delle perdite in questa area di esposizione sempre più importante”, afferma Vanessa Maxwell, Global Head of Cyber and Financial Lines di Allianz Commercial. “Il valore dell’assicurazione cyber va ben oltre il pagamento dei sinistri. L’assicurazione aiuta le aziende a trovare le motivazioni commerciali per gli investimenti nella sicurezza informatica e a indirizzare le risorse verso le misure più efficaci”.
Il rischio di violazione dei dati è meglio mitigato da una buona igiene informatica, che comprende forti controlli degli accessi, segregazione dei database, backup, patch e formazione. Un’area in cui molte aziende devono migliorare è quella di una migliore supervisione di eventuali debolezze informatiche nelle loro catene di fornitura.
“Anche le capacità di rilevamento e risposta tempestivi sono fondamentali. Circa due terzi delle violazioni sono in genere segnalate da terzi o dagli stessi attaccanti”, afferma Rishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial. “Le violazioni informatiche che non vengono individuate e contenute tempestivamente possono finire per essere 1.000 volte più costose di quelle che lo sono, la differenza tra una perdita di 20.000 euro che si trasforma in una di 20 milioni di euro”.
“L’intelligenza artificiale sta diventando uno strumento essenziale nella lotta contro gli attacchi informatici, in quanto è in grado di identificare rapidamente una violazione della sicurezza e di isolare automaticamente sistemi e database, oltre ad avere il potenziale per ridurre significativamente i costi e il ciclo di vita di una richiesta di risarcimento per violazione dei dati, automatizzando attività come le analisi forensi e le notifiche, facendo potenzialmente risparmiare alle aziende milioni di dollari.”