I rischi legati alle nuove tecnologie rendono necessaria l’adozione di strumenti e misure di protezione informatiche, che tuttavia non garantiscono l’assoluta inviolabilità delle tecnologie stesse.
Come ormai molte Aziende e Professionisti hanno già avuto modo di comprendere, talvolta a proprie spese, parlando di attacchi cyber non ci si può più domandare “se” accadranno, ma “quando”.
Si prevede che entro il 2021 il costo complessivo per le violazioni della cybersecurity raggiungeranno circa 6 trilioni di Dollari, ovvero il doppio di quanto registrato nel 2015
[1].
Il World Economic Forum attualmente valuta la massiva violazione della cybersecurity tra i cinque rischi più seri che la Società si trova attualmente a fronteggiare
[2].
Il numero crescente di attacchi informatici e l’obbligo di adempiere a quanto imposto dal regolamento europeo 679/06, meglio noto come GDPR (General Data Protection Regulation), hanno aumentato la consapevolezza nelle Aziende e nei Professionisti di dover gestire il rischio cyber in modo sempre più strutturato, integrandolo nelle politiche di risk management.
Tuttavia, la cultura della gestione sistemica del rischio cyber è ancora ad un livello molto basso in Italia, dove secondo il Global Information Security Survey 2017- 2018 di Ernst&Young solo il 12% delle imprese crede di essere in grado di rilevare un attacco informatico sofisticato. Nella maggior parte dei casi, infatti, gli investimenti per la gestione di questo tipo di rischio vengono fatti solo dopo aver subito un evento dannoso.
Fino ad oggi, inoltre, numerosi attacchi informatici non venivano resi noti dalle Aziende o dai Professionisti che li avevano subiti. Con l’entrata in vigore del GDPR è invece diventato obbligatorio comunicare agli interessati l’avvenuta violazione dei sistemi informatici e la possibile diffusione di dati personali, pena la comminazione di sanzioni amministrative pecuniarie previste nella misura dal 2 al 4% del fatturato totale annuo.
I rischi informatici sono diversi e possono avverarsi attraverso il Furto o la Perdita di dati, il Furto di identità, l’Interruzione dell’attività produttiva, lo Spionaggio o Sabotaggio, la Violazione della privacy, la Violazione dei diritti intellettuali e la Frode.
Le conseguenze delle azioni criminali sopra indicate possono esporre le Aziende e i Professionisti a notevoli danni, che spesso non vengono valutati: tra questi danni alla reputazione, danni per l’interruzione dell’attività, richieste di risarcimento da parte di terzi, costi per il supporto di un legale, costi per il ripristino dei dati informatici danneggiati o sottratti, costi per il supporto di esperti informatici.
Aon, avvalendosi di professionisti specializzati, è in grado di identificare le principali aree di vulnerabilità delle Aziende e dei Professionisti, quantificando l’impatto sul business di un eventuale attacco informatico e il trasferimento di parte del rischio al mercato assicurativo.
Le polizze tradizionali non sono in grado di garantire una copertura adeguata al rischio cyber, per il quale il mercato ha introdotto contratti mirati per i rischi derivanti dall’uso sempre più diffuso della tecnologia. Le polizze cyber, infatti, sono studiate e predisposte per fornire le maggiori tutele in relazione alle responsabilità derivanti dalla custodia di dati di terzi e in relazione ai danni che gli Assicurati possono subire in conseguenza di un attacco informatico, o di attacchi cosiddetti "ransomware", attraverso i quali gli hacker compiono di fatto un atto di estorsione, causando il black-out dei sistemi se non viene corrisposto il pagamento di un “riscatto”.
Molte polizze cyber, inoltre, prevedono il supporto di personale tecnico specializzato che può seguire l’Assicurato durante l’attacco informatico, al fine di limitare l’impatto di tale azione e la divulgazione dei dati personali custoditi dalle Aziende o dai Professionisti.
[1] ”Cybercrime Report 2017 Edition,”
Cyber security Ventures, 19 October 2017.
[2] “Global Risks Report 2017,”
World Economic Forum, 11 January 2017