Nel nostro Paese la cultura della gestione sistemica del cyber risk è in crescita, ma non abbastanza.
I danni complessivi provocati dal cyber crime in Italia nel 2017 ammontano a circa i 10 miliardi di euro. Le grandi aziende e le organizzazioni governative sono costantemente sotto attacco; oltre il 50% delle PMI ha subito un attacco nel 2017, per un costo medio di circa 35.000 euro.
Le imprese non prestano sempre la dovuta attenzione ai benefici prospettici derivanti da una puntuale strategia di mitigazione dei rischi cyber. Su questo argomento la sensibilità delle aziende potrà aumentare sulla spinta del prossimo arrivo del Regolamento Generale sulla Protezione dei Dati (GDPR), applicabile negli Stati UE dal prossimo 25 maggio 2018. Un ruolo importante lo giocano anche i broker di assicurazioni AIBA, consulenti professionali indipendenti, come diffusori di cultura del rischio e nell’individuazione delle più idonee strategie di mitigazione del rischio che è la strada obbligata per la messa in sicurezza del patrimonio aziendale.
In estrema sintesi, sono questi i principali dati emersi dal convegno nazionale AIBA (Associazione Italiana Brokers di Assicurazioni e Riassicurazioni) dal titolo “Security Code. I nuovi scenari per la gestione e il finanziamento del cyber risk nella industria 4.0, alla luce del Regolamento GDPR”.
Prevenire del tutto un attacco cyber non sembra essere di fatto possibile, ma tutelarsi da questo rischio è indispensabile per salvaguardare le imprese da eventi dannosi che sfuggono a ogni previsione.
Secondo il Presidente di AIBA, Luca Franzi de Luca “le aziende sono sempre più dipendenti dalle tecnologie, operano in un mercato globale sempre più interconnesso che ha eliminato, di fatto, i confini spazio-temporali. Il numero di attacchi è in costante aumento e a preoccupare è soprattutto l’alto livello di sofisticazione. Lo sviluppo di tecnologie come l’Internet of Things, il cloud computing e il mobile aumentano costantemente il raggio delle vulnerabilità e rendono indispensabile adottare efficaci strategie di cyber security che devono coinvolgere tutte le funzioni aziendali”.
Il mercato assicurativo italiano cyber è ancora nella sua fase embrionale: poche le imprese che hanno sottoscritto una polizza nel 2017, scegliendo soluzioni che non sempre riescono a garantire la copertura completa del rischio. Il valore del mercato cyber è di circa 20 milioni di euro. Le compagnie faticano a individuare standard di riferimento per un rischio in costante e imprevedibile evoluzione, i cui costi totali sono difficili da stimare e dove mancano dati storici su un arco temporale sufficiente a consentire una compiuta valutazione del rischio in sede di assunzione.
Per chiudere il gap fra la necessità di protezione delle aziende e l’offerta assicurativa disponibile “è necessario agire velocemente”, ha spiegato la Presidente dell’Ania, Maria Bianca Farina. “L’attuale percezione del problema non è tale da far muovere l’offerta”. In questo spazio si aprono quindi grandi opportunità per i broker, poiché il cyber risk richiede “quell’altissima capacità consulenziale tipica degli intermediari, in generale, e dei broker, in particolare. Oggi c’è consapevolezza ma non c’è mobilitazione e noi assicuratori siamo chiamati a mobilitarci perché siamo gli unici ad avere competenze, strumenti e cultura per valutare il rischio”.
La polizza cyber può coprire sia i danni dell’impresa (interruzione dell’attività, proprietà intellettuale, ripristino dei sistemi), sia i danni a terzi (violazione privacy, perdita profitto, frode finanziaria), sia i costi per la difesa legale, ripristino, reputazione e altro. “Nel mercato si sta affermando la tendenza a escludere il cyber risk dalle coperture tradizionali, come ad esempio le assicurazioni property & casualty. Però, allo stesso tempo le coperture specifiche sui cyber risk, tendono a escludere le lesioni e i danni materiali”, osserva Franzi De Luca.
Il cyber risk è un tema che riguarda da vicino la stessa sopravvivenza delle aziende. Tutto ciò che è digitale raffigura un rischio e la GDPR non rappresenta solo un obbligo di compliance da assolvere, ma è l’occasione per favorire il cambiamento di mentalità delle persone e delle imprese. “Quando si parla di Industria 4.0 non si può fare a meno di considerare la sicurezza dei dati, l’asset immateriale di maggior valore delle imprese”, ha aggiunto il Presidente di AIBA. “E’ fondamentale che il tema della sicurezza diventi il pilastro delle strategie di business aziendali. Oggi molti manager sono consapevoli della vulnerabilità aziendale rispetto al cyber risk, ma non tutti sono in grado di gestire un attacco: il cyber risk management è diventato un aspetto decisivo per la sostenibilità economica delle aziende”.