Il cyber risk sta diventando una delle massime priorità del risk management. Nonostante questi rischi oggi siano palesi e spesso sotto l’occhio dei media, essi sono ancora fra i più sottovalutati. E non basta ricordare che nel solo 2012 si sono registrati 1.200 attacchi rilevanti nel mondo, il 254% in più rispetto al 2011 (secondo il Rapporto Clusit 2013). Le perdite per aziende e famiglie hanno toccato 300 miliardi di dollari, di cui 2,5 solo in Italia. Complice la sottovalutazione e, per le aziende, la piccola dimensione e i budget ridotti, il nostro Paese è in grave ritardo nel prevenire il rischio tecnologico. È una discontinuità così forte rispetto alle categorie tradizionali del risk management che i principi storici di quest’ultimo sono del tutto inadeguati: fra il danno materiale tipico dei contratti assicurativi di ieri, e quello immateriale da assicurare oggi c’è una rivoluzione culturale. Per questo l’industria assicurativa reagisce ampliando le coperture, per prevedere anche i rischi legati alla dipendenza da sistemi connessi alla rete o virtualizzati, includendo i danni assicurabili l’attacco informatico, la cancellazione, violazione o sottrazione di dati, l’errore umano, l’uso non autorizzato di un sistema, l’interruzione del servizio (denial of service). Tuttavia, tali aperture ancora non fanno fronte a tutti i nuovi pericoli che vengono dalla rete. Coperture ad hoc sono rivolte al rischio di furto dei dati personali, cui si collegano problemi di privacy ad alto impatto emotivo. Ma preoccupa anche il rischio di furto di informazioni dell’azienda, infedeltà dei dipendenti e interruzione prolungata del funzionamento di sistemi critici, eventi che possono compromettere la sopravvivenza aziendale. Evidentemente, sia che si danneggi un server o si perdano dati essenziali, le ripercussioni possono pregiudicare l’operatività dell’azienda. A complicare il quadro ci sono poi i rapporti con i fornitori: in alcuni casi l’azienda può essere chiamata a rispondere per danni da essi causati: rischio che l’assicurato non controlla e che a maggior ragione avrebbe interesse a trasferire o al fornitore stesso o all’assicuratore. Ma non è semplice estendere una copertura agli eventuali danni causati dai fornitori. Ciò che rende un rischio assicurabile è sempre la capacità dell’assicurato di presidiarlo, gestendo tutti i fenomeni molto frequenti e a basso impatto, e trasferendo all’assicuratore solo quelli davvero aleatori. Applicare tale requisito agli attacchi informatici, tanto più se presso i fornitori, è la sfida del risk manager di domani. A questi l’assicuratore si affida per aiutarlo a capire il rischio. Molto resta da fare sul piano della formazione, sia per i risk manager che per gli stessi imprenditori, che soprattutto nelle pmi spesso interloquiscono con broker e compagnie senza presentare loro adeguate analisi. Sottovalutare i rischi It, pensando che riguardino solo le aziende hi-tech, mette a rischio la stessa esistenza dell’impresa. (riproduzione riservata)
*presidente Anra