È il segnale d’allarme lanciato da Assiteca durante il convegno “La tutela dei dati in azienda: tra cyber security e compliance”, quello della carenza di requisiti.
A seguito della guerra fra Ucraina e Russia sono tanti i cambiamenti in atto e già avvenuti.
Nel mondo assicurativo di certo uno dei primi settori dello stesso ad essere colpito è il ramo trasporti.
Un altro settore assicurativo che è stato fortemente attenzionato, non direi proprio, colpito in quanto non ha avuto particolari sinistri, causa la mancata sensibilità pregressa assicurativa, è il settore dei rischi cyber.
Io personalmente ho all’attivo dall’inizio della pandemia 12 richieste sul rischio in oggetto. E 12 credetemi è un numero molto alto considerato il territorio dove opero, considerato che fino a ieri quando proponevo il tema assicurativo, anche utilizzando il canale social, venivo quasi denigrato da “sicuri” programmatori e “sicuri” conoscitori del web.
Eppure evidentemente così non è
In questi giorni presso il palazzo Edison a Milano si è tenuto il convegno “La tutela dei dati in azienda: tra cyber security e compliance”, organizzato da Assiteca, il più grande Gruppo italiano nella gestione dei rischi d’impresa e nel brokeraggio assicurativo, in collaborazione con The Adam Smith Society come riportato dall’articolo https://www.insurzine.com/2022/06/22/rischi-cyber-il-40-delle-aziende-italiane-non-ha-i-requisiti-minimi-per-stipulare-una-polizza-assicurativa/, da cui riporto alcuni passi salienti articolo.
Protagonisti dell’ incontro alcuni dei più autorevoli rappresentanti del mondo delle istituzioni e dell’economia per affrontare il tema della cyber security e della compliance normativa. “Partendo dai risultati del Rapporto Clusit 2022, secondo cui nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente così come ne è aumentata la gravità, è emerso che le aziende italiane sottovalutano la necessità di adottare iniziative strutturali di prevenzione e gestione del rischio cyber. È perciò necessario un profondo cambiamento organizzativo – oltre che tecnologico – da parte delle imprese rispetto al tema della sicurezza cyber, attraverso l’attuazione di una strategia preventiva di risk management e il trasferimento del rischio cyber al mercato assicurativo.”
Questo quanto emerso nell’ incontro moderato dall’amico, “collega” di un’avventura politica entusiasmante, persona di grande sensibilità e carisma, Avvocato Alessandro De Nicola, Presidente di The Adam Smith Society, con interventi in qualità di relatori di Gabriele Faggioli, Presidente Clusit – Associazione Italiana per la Sicurezza Informatica, Francesco Pizzetti, Professore Ordinario di Diritto Costituzionale presso l’Università degli Studi di Torino e già Presidente dell’Autorità Garante per la Privacy, Eugenio Fusco, Procuratore Aggiunto del Tribunale di Milano, Stefano Mele, Partner dello studio legale Gianni & Origoni e Responsabile del Dipartimento Cybersecurity, Ottorino Capparelli, Responsabile Governance, Risk & Compliance di Assiteca e Marianna Vintiadis, Founder e CEO di 36Brains.
Cyber security, la vulnerabilità delle aziende italiane
Ottorino Capparelli, Responsabile Governance, Risk & Compliance di Assiteca, ha focalizzato il suo intervento come riportato bene dall’articolo già richiamato, sulla vulnerabilità delle imprese italiane agli attacchi cyber: “Le statistiche a nostra disposizione ci consegnano un dato allarmante sul fronte della cyber security. Le aziende sono consapevoli dei rischi legati alla sicurezza dei propri dati, ma solo il 27% è coperto da una polizza assicurativa contro questo genere di rischi. La criticità del dato diventa ancora più evidente se confrontato con un’altra statistica, derivante dalle nostre ricerche: il 40% delle aziende italiane semplicemente non è in condizione di stipulare alcuna polizza assicurativa contro i rischi cyber. Questo accade perché i sistemi informatici da proteggere sono talmente sottodimensionati o obsoleti da non rendere l’assicurazione di questo rischio appetibile per le compagnie assicurative. Tale dinamica è inoltre riflessa dall’andamento dei premi: nel 2021, a fronte di un numero stabile di aziende assicurate contro il rischio cibernetico, sono cresciuti in modo evidente i premi – sintomo del fatto che questo genere di protezione, sebbene sia oggi più che mai necessaria, rischia di non essere sostenibile dal punto di vista economico a causa della scarsa attività di prevenzione delle aziende.”
Nel 70% dei casi di richiesta assicurativa pervenutami dai potenziali assicurati, la Compagnia/le Compagnie a cui ho proposto il rischio, previo invio questionario tecnico, molto complesso, inviato alle aziende interessate e debitamente compilato, riscontrano numerose vulnerabilità, causa un comportamento frutto di una “certezza” di inviolabilità ritenuta fino ad oggi dalle aziende, le stesse aziende che oggi si preoccupano, finalmente, della loro potenziale vulnerabilità e del rischio cui sono esposte. Solo in un caso ad onor del vero fra questi una Compagnia ha consentito poter gestire la criticità fornendo le dovute ed opportune motivazioni e rendendosi disponibile a rivedere i calcoli laddove opportunatamente gestita la vulnerabilità dichiarata.
Guerra Ucraina-Russia, cyberspazio scarsamente utilizzato
Stefano Mele, Partner dello studio legale Gianni & Origoni, ove è il Responsabile del Dipartimento Cybersecurity e co-Responsabile del Dipartimento Privacy, come riferito dall’articolo suddetto, ha esplorato il rapporto tra cyber security e geopolitica, collegandolo all’attuale conflitto Russia-Ucraina: “A dispetto dei proclami giornalistici che quotidianamente leggiamo, il conflitto armato che da oltre due mesi la Russia sta conducendo contro l’Ucraina ha visto il cyberspazio come un campo di battaglia scarsamente utilizzato. Infatti, se prima dell’invasione, la Russia ha sicuramente sfruttato Internet e le tecnologie per attività di propaganda e disinformazione al fine di provare a vincere la guerra nella mente dei cittadini ucraini e questo piano – come sappiamo – non ha funzionato, durante il conflitto convenzionale attualmente in atto il cyberspazio non è stato il territorio prediletto dal governo di Mosca. Ciononostante, siamo di fronte ad un attore statale che nel corso degli ultimi anni ha sviluppato buone capacità all’interno di questo ambiente operativo e che non ha esitato più volte a dimostrarlo. Occorre, pertanto, che le PA e le aziende italiane che erogano servizi essenziali per i cittadini e per la nostra sicurezza nazionale mantengano alta l’attenzione verso gli attacchi cibernetici di matrice russa soprattutto successivamente alla conclusione del conflitto convenzionale, quando, con il perdurare delle sanzioni contro la Russia e degli aiuti nei confronti dell’Ucraina, Putin potrebbe utilizzare proprio gli attacchi cibernetici come il principale strumento ritorsivo nei confronti dell’Italia, dell’Unione europea e più in generale di tutti i Paesi appartenenti all’Alleanza Atlantica.”
Cyber crime, i risvolti penali
Eugenio Fusco, Procuratore aggiunto del Tribunale di Milano, si è concentrato sui risvolti penali del reato di cyber crime: “Purtroppo ci troviamo davanti ad una gamma di crimini caratterizzata da un elevato livello di impunità, legata principalmente alla difficoltà di attribuire i singoli reati a soggetti identificabili. Per questo motivo, è sempre più importante concentrarsi sulla prevenzione del reato. Le aziende colpite da attacchi cyber sono restie a denunciare, anche per il connesso danno reputazionale. In questo contesto, potrebbe essere l’assicurazione contro il rischio cyber a permettere alle imprese di arginare i danni.”
In tutto questo nuovo panorama di rischio, ormai noto anche ai non addetti ai lavori, oltre alla buona attenzione rivolta alla gestione delle criticità, è sempre più opportuno valutare un’adeguata copertura assicurativa a tutela dei danni arrecati ai terzi e certamente ai danni reputazionali dell’azienda che dovesse subire attacco informatico per poter trasferire almeno in parte il rischio cyber sull’assicurazione…che di certo non sarà economica, ma certamente più economica di dover fronteggiare l’avverarsi del rischio senza copertura trovandosi esposti con il proprio patrimonio e chiamata in giudizio.