Le aziende devono prepararsi ad una nuova generazione di rischi informatici in rapida evoluzione; il pericolo è che ai già noti rischi rappresentati da violazione dei dati, della privacy e danni reputazionali potrebbero aggiungersi danni operativi e interruzione delle attività, fino al rischio di perdite catastrofiche.
Nel nuovo rapporto di ricerca – A Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity – Allianz Global Corporate & Specialty (AGCS) esamina le ultime tendenze del rischio cyber e dei pericoli emergenti nel mondo. Il rischio cyber è una minaccia importante e in rapido aumento per le aziende: i crimini informatici costano all’economia globale circa 445 miliardi di dollari all’anno e le 10 principali economie mondiali devono sostenere la metà di questo importo.
“Appena 15 anni fa, gli attacchi informatici erano piuttosto rudimentali e opera di ‘hacktivist’, ma l’aumento dell’interconnessione, la globalizzazione e la commercializzazione dei cyber crimini hanno provocato l’esplosione di frequenza e gravità di questi attacchi” afferma il CEO di AGCS Chris Fischer Hirs. “La cyberassicurazione non sostituisce una solida sicurezza IT, ma crea una seconda linea difensiva per mitigare gli incidenti informatici. AGCS assiste ad un aumento nella richiesta di questi servizi, e ci impegniamo a collaborare con i clienti per comprendere meglio e rispondere ad una crescente gamma di esposizione ai rischi cyber”.
La maggiore consapevolezza delle esposizioni informatiche e le modifiche normative provocheranno un aumento rapido della diffusione delle assicurazioni cyber. Meno del 10% delle aziende attualmente acquista polizze informatiche, e AGCS prevede che i premi delle cyberassicurazioni aumenteranno globalmente dagli attuali 2 miliardi di dollari all’anno a più di 20 miliardi nel prossimo decennio, con un tasso di crescita annuale composto di oltre il 20%.
“La crescita negli USA è già in atto poiché le leggi sulla protezione dei dati spingono all’attenzione in questo senso, mentre gli sviluppi legislativi e l’aumento delle responsabilità provocherà una crescita nel resto del mondo”, afferma Nigel Pearson, responsabile a livello globale delle assicurazioni per il rischio cyber in AGCS. “Esiste una tendenza generale verso regole più rigide di protezione dei dati, sostenute dalle minacce di sanzioni importanti in caso di violazione”. Hong Kong, Singapore e Australia sono tra i Paesi che stanno rivedendo e rafforzando le leggi. Anche se l’Unione Europea non accetta regole europee di protezione dei dati, si prevede che i vari Paesi intraprenderanno linee guida più dure.
In passato, l’attenzione si è concentrata sulla minaccia di violazioni ai dati aziendali e alla privacy, ma la nuova generazione di rischi è più complessa: in futuro i pericoli giungeranno dal furto di proprietà intellettuale, dall’estorsione e interruzione di attività (Business Interruption) a seguito di un cyber attacco oppure per guasti operativi o tecnici; un rischio spesso sottovalutato. “Sta aumentando la consapevolezza di rischi di BI relativi alla cyber tecnologia. Entro i prossimi 5-10 anni, la BI sarà vista come un pericolo principale nel panorama delle cyberassicurazioni”, ha dichiarato Georgi Pachov, esperto di cyber risk del team Global Property Underwriting di AGCS. Nell’ambito di rischi cyber e IT, la copertura per le BI può essere molto varia e comprendere i sistemi dei computer aziendali, ma anche estendersi ai sistemi di controllo industriali (ICS) usati dalle compagnie energetiche o ai robot impiegati nella produzione.
La connettività crea rischi
La crescente interconnessione dei dispositivi e la maggiore fiducia nella tecnologia e nei dati in tempo reale sia a livello di persone che di aziende, noto come “Internet delle cose”, provoca ulteriori vulnerabilità. Alcune stime suggeriscono che entro il 2020 potrebbero esservi un trilione di dispositivi connessi, e che 50 miliardi di macchine si scambieranno i dati quotidianamente. Gli ICS sono un’altra area interessata, poiché un grande numero di sistemi di controllo industriali ancora oggi in uso, sono stati progettati prima che la sicurezza informatica divenisse un problema importante. Un attacco contro un ICS potrebbe dar luogo a danni gravi come incendi o esplosioni, ma anche a BI.
Eventi catastrofici
Mentre si è già assistito ad importanti episodi di violazione di dati, aumentano le possibilità di perdite catastrofiche, ma è difficile prevederne i dettagli. Gli scenari possibili includono un attacco alla base dell’infrastruttura di Internet, una massiva violazione di dati o l’interruzione di rete di un provider di servizi cloud, mentre un importante attacco cyber a compagnie elettriche o di erogazione di servizi di pubblica utilità, potrebbe provocare un’interruzione nei servizi, danni fisici o perfino perdite di vite.
Copertura stand alone
Allianz ritiene inoltre che il focus di un’assicurazione cyber debba evolvere per fornire una copertura più ampia che sia focalizzata sull’interruzione delle attività aziendali e che colmi le lacune esistenti tra la copertura tradizionale e le polizze informatiche. Mentre nelle polizze Property ed RC sta diventando comune l’esclusione informatica, le assicurazioni cyber in forma stand alone, continueranno ad evolversi come offerta principale di una copertura completa. Esiste un interesse crescente per questo tipo di copertura da parte dei settori delle telecomunicazioni, vendite, energia, servizi e trasporti, ma anche dalle istituzioni finanziarie.
La conoscenza – sia per quanto riguarda la comprensione da parte delle aziende che in relazione alla preparazione degli assicuratori – deve migliorare in caso di domanda crescente. Inoltre, come avviene per qualsiasi altro rischio emergente, gli assicuratori si trovano davanti a nuove sfide riguardo a tassi, testi di polizza da collaudare, profilazioni e cumuli di rischio.
Reazione ai rischi informatici
Il rapporto AGCS evidenzia le tappe che le aziende devono compiere per affrontare i rischi informatici. L’assicurazione può essere solo parte della soluzione, ma la base della difesa dai cyber attacchi deve essere un approccio completo di risk management. “Anche se hai acquistato una cyberassicurazione, non significa che puoi ignorare la sicurezza IT. Gli aspetti tecnologici, operativi e assicurativi della gestione dei rischi vanno di pari passo”, spiega Jens Krickhahn, esperto di cyber & fidelity di AGCS in Europa Centrale e dell’Est.
La gestione del rischio informatico è troppo complessa per essere affrontata da un singolo o da un dipartimento; quindi AGCS consiglia un approccio “think-tank” per affrontare il rischi, così che i vari soggetti coinvolti possano collaborare per condividere le esperienze.
In questo modo possono essere prese in esame varie prospettive e scenari: ad esempio è possibile considerare i rischi posti da sviluppi aziendali come fusioni e acquisizioni, o dall’uso di servizi esterni o basati sul cloud. Inoltre, il coinvolgimento tra aziende è essenziale per identificare i beni principalmente a rischio e soprattutto sviluppare e testare solidi piani di reazione alle crisi.
Secondo i giudici amministrativi la variazione del Pil sinora obbligatoriamente adottata deve ritenersi come un valore minimo per la rivalutazione dei montanti in base ai quali si calcolano gli assegni pensionistici