Ogni giorno per gestire la nostra attività e raggiungere potenziali clienti utilizziamo la tecnologia, i social media e le transazioni su Internet. Migliaia e migliaia di dati circolano sul web e le violazioni informatiche sono sempre dietro l’angolo. Responsabilità civile, incendio, furto, rapina sono tutte casistiche ben conosciute dagli imprenditori e professionisti, ma oggi si dovrebbe già guardare oltre: se la nostra attività si sposta online non possiamo non considerare il rischio cyber e la polizza cyber risk.
Dopo aver costruito un sistema robusto e sicuro, dopo essersi accertati che la nostra organizzazione rispetti la normativa sulla protezione dei dati [qui un approfondimento dedicato – “Come si svolge un giusto adeguamento privacy-GDPR“] si potrebbe volere una ulteriore garanzia: una polizza cyber risk.
Una polizza Cyber Risk, non ci può proteggere certamente dai crimini informatici, ma trasferisce all’assicuratore il rischio di perdite economiche che derivano dagli attacchi informatici.
Infatti, la maggior parte delle aziende e professionisti, proprio perché inizia ad operare online, invia e/o archivia dati, raccoglie informazioni sensibili dei clienti ed effettua pagamenti online. Tutte attività ad alto rischio! L’assicurazione è progettata per aiutare un’organizzazione a mitigare l’esposizione al rischio compensando i costi relativi al recupero dopo una violazione della sicurezza informatica o eventi simili.
I rischi informatici
Esistono varie tipologie di rischi che una azienda o un professionista può trovarsi a fronteggiare e tutti riassumibili in tre ordini di problemi: disponibilità, integrità e riservatezza del dato.
Tra i problemi più gravi oggi si riscontrano:
Malware: una forma di software dannoso che può installarsi con il click, magari da una normale email. Una volta installato, il cybercriminale può spiare le attività dell’utente e rubare dati;
Ransomware: una forma di malware che attacca il sistema informatico e rende i dati illegibili e non disponibili, chiedendo un riscatto per la restituzione;
Phishing: è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale;
Defacement: la illecita modifica di una pagina web (es. sito web o pagine social). La ragione che spinge gli hacker ad agire in questo modo può essere politica, sociale o ludica. Il risultato di un defacement può consistere nella modifica di una o più pagine web con altre completamente diverse contenenti testi, slogan, immagini, animazioni.
….
Cosa sapere prima di assicurarsi
Va chiarito fin da subito che la polizza cyber risk è una garanzia ulteriore che si può chiedere per la propria attività ma che in nessun modo può sostituirsi ad un percorso di messa in sicurezza e di compliance legale. Prima di assicurarvi quindi accertatevi di stare rispettando tutte le normative e best practice di settore, come la normativa sulla protezione dei dati (GDPR). Questo per varie ragioni, oltre che di opportunità di investimento.
Immaginate di aver sottoscritto una polizza di furto ed incendio per la vostra auto. Tutti sanno che se si lasciano le chiavi inserite nel quadro e l’auto viene rubata, l’assicuratore farà non pochi problemi quando dovrà pagare il veicolo.
Oppure nel caso in cui abbiate provocato un sinistro alla guida della vostra auto, l’assicuratore certamente pagherà la controparte, ma non vi terrà indenni anche per la vostra auto.
E lo stesso accade per la polizza cyber risk. Se non dimostrate di aver rispettato tutte le norme (sia quelle imperative sia quelle di buon senso) difficilmente una polizza sarà utile in caso di “sinistro cyber”. La conseguenza? Vi ritroverete a pagare una polizza che poi quando dovrete azionare non vi sarà utile. Quindi avrete una doppia perdita.
Pertanto:
PRIMA investire per aumentare gli standard di sicurezza e di compliace legale della nostra attività.
DOPO porsi il problema di assicuare il rischio con una polizza cyber risk.
A quali clausole stare attenti
Come qualsiasi assicurazione la copertura assicurativa varia a seconda dell’assicuratore e della polizza.
Anzitutto la prima valutazione da effettuare è verificare se la compagnia assicurativa offre uno o più tipi di polizze cyber o se la copertura è semplicemente un’estensione di una polizza esistente. Nella maggior parte dei casi, una polizza dedicata solo al rischio cyber dovrebbe essere preferibile e più completa rispetto ad una generale.
Un altro aspetto importante sono sicuramente le franchigie. Per franchigia (o scoperto) si intende quella parte di danno che resta a carico dell’assicurato. Ad esempio: se la polizza presenta una franchigia di 2.000 euro, vuol dire che l’assicuratore risponde solo per danni superiori a quella somma, mentre nel caso questi fossero più bassi, nonostante la polizza, sarete voi a dover pagare!
Altresì le coperture possono attenere non solo ai danni diretti (alla infrastruttura) ma anche ai danni perpetrati a terzi (responsabilità civile).
Attenzione, nei contratti assicurativi spesso sono esclusi i rischi derivanti da sanzioni amministrative (come quelle derivanti dalla violazione sulla normativa sulla protezione dei dati).
Occhio poi alle clausole territoriali: è facile che abbiate dati in giro fuori dall’Italia anche senza esserne pienamente consapevoli, o perché avete noleggiato dei server all’estero (che di norma sono prescelti dalle aziende ICT perché ritenuti più affidabili e più economici). Fate una analisi dei flussi dei dati e regolatevi di conseguenza.
Altre clausole a cui prestare attenzione
Ci sono anche molte altre clausole da valutare in base alla natura della propria attività, ad esempio:
Per quali tipologie di reati informatici l’assicurazione offre sostegno. Come abbiamo visto l’estorsione tramite ransomware è molto frequente e potrebbe non essere inclusa;
Se vengono considerate anche le azioni dannose non dolose intraprese da un dipendente come ad esempio gli errori derivanti da negligenza;
Se sono previsti rimborsi per perdite monetarie causate da tempi di inattività della rete, interruzione dell’attività, gestire di una crisi;
Se sono incluse le spese legali associate al rilascio di informazioni riservate e riguardanti la proprietà intellettuale e le contromisure per i danni alla reputazione.
consigli per la scelta della polizza cyber risk
Quando si confrontano le polizze offerte dagli assicuratori è necessario premettere che è importante effettuare una prima analisi sui rischi più frequenti in cui possiamo incorrere e svolgere delle attività preventive prima di procedere alla stipula del contratto.
Ogni azienda, infatti, è responsabile della propria sicurezza informatica e dei propri trattamenti di dati e una compagnia di assicurazioni non sempre valuta bene come questa gestisce il rischio. Poiché siamo agli inizi, potreste incontrare sulla strada degli assicuratori poco formati su tale tematica. Magari all’inizio, meglio farsi seguire da un consulente di parte che possa, inquadrate le vostre esigenze, interloquire con le compagnie ed orientarvi verso la proposta più adeguata alla vostra realtà. Ciò sia in ottica pre-contrattuale per avere le garanzie che realmente occorrono alla vostra attività, sia in caso di attivazione per sinistro cyber.
I costi di un’assicurazione cyber
Oltre ai fattori precedentemente analizzati il costo dell’assicurazione dipende anche dalle entrate annuali dell’azienda, il settore in cui opera e il tipo di dati lavorati. Alcuni settori sono più vulnerabili al crimine informatico e richiedono pertanto un livello più elevato di copertura e quindi dei premi più alti.
CONCLUSIONI
L’esposizione al rischio di attacchi informatici è sempre più frequente in special modo a seguito dell’accelerazione nella digitalizzazione dei processi aziendali. Comprendere ed accettare il rischio è la prima misura da prendere per la gestione della propria attività per essere in grado di scegliere la polizza più pertinente. Le polizze cyber risk stanno diventando sempre più necessarie al pari di quelle contro gli infortuni dei dipendenti e sui veicoli.
L’importanza di affidarsi ad esperti aiuta a prevenire l’ulteriore rischio collegato di stipulare una polizza non pertinente o eccessivamente onerosa.