Nel primo rapporto pubblicato dal neonato Swiss Re Institute, la divisione di ricerca del colosso riassicurativo elvetico registra il rapido aumento dei potenziali costi per le aziende collegati agli attacchi informatici; sicurezza e resilienza informatica rivestono quindi un interesse in continua crescita. Anche il mercato assicurativo dedicato a questi rischi si sta sviluppando velocemente, ma il tasso di copertura è ancora relativamente modesto. Secondo Swiss Re, l’innovazione di processo e di prodotto, unitamente a Big Data ed analisi intelligente, favorirà la crescita di questo comparto assicurativo. Senza dimenticare l’importanza che i governi nazionali possono ricoprire nel promuovere la “cyber resilienza”
Il rischio cyber rappresenta una crescente preoccupazione per le aziende mondiali e gli attacchi informatici saliti anche recentemente agli onori della cronaca hanno dimostrato come i costi di una violazione cyber possano degenerare ben oltre la gestione del furto, della perdita o della corruzione di dati. “Cyber: getting to grips with a complex risk”, ultimo rapporto di Sigma, divisione di ricerca del colosso riassicurativo elvetico Swiss Re, evidenzia come le aziende abbiano bisogno di fare molto di più per integrare la sicurezza informatica nei loro programmi di gestione del rischio, sebbene la “cyber resilienza” inizi a fare breccia. Si sta rapidamente sviluppando un mercato assicurativo informatico dedicato, ma la portata della copertura è attualmente modesta rispetto alla potenziale esposizione. L’innovazione di prodotto e di processo, unitamente a strumenti di analytics avanzati, porterà ad un miglioramento delle soluzioni assicurative cyber, estendendone i perimetri di assicurabilità e quindi di penetrazione sul mercato. In definitiva, solo alcuni rischi informatici, in particolare quelli relativi a eventi catastrofali estremi, possono risultare non assicurabili. Per questi rischi residuali, può quindi essere previsto un supporto a livello governativo.
Le aziende devono ora considerare sempre di più il rischio cyber quale fattore di potenziale danno alla loro reputazione, alla proprietà industriale e intellettuale ed anche all’interruzione delle attività. La crescente portata e quantità dei costi potenziali associati agli incidenti informatici riflettono la continua evoluzione del rischio cyber, a sua volta plasmato da tre dinamiche principali:
- La crescente velocità e portata della trasformazione digitale;
- Il progressivo ampliamento delle vulnerabilità collegate all’iper-connettività, derivanti, ad esempio, dalla rapida diffusione dei dispositivi connessi e del cloud computing;
- Il costante miglioramento delle operazioni degli hacker, spinti dai potenziali vantaggi economici collegati ai cyber-attacchi andati a segno.
Nonostante una maggiore consapevolezza dei pericoli, le imprese sono generalmente impreparate nei confronti dei rischi informatici. Sono ancora relativamente poche le aziende che hanno integrato la sicurezza informatica nella loro gestione convenzionale del rischio. Secondo Swiss Re, la legislazione ed i regolamenti potrebbero essere un catalizzatore in grado di cambiare questa situazione, vista l’entrata in vigore di normative che richiedono alle imprese di implementare avanzate garanzie di protezione dei dati (ad esempio, il Regolamento europeo 2016/679 in materia di protezione dei dati personali) Di conseguenza, afferma Kurt Karl, capo economista di Swiss Re, “le imprese – grandi e piccole – necessitano maggiori investimenti in sicurezza informatica per sviluppare solide competenze nella gestione del rischio specifico”.
Molte aziende stanno cercando di trasferire i rischi cyber a terze parti più attrezzate per affrontarli. “Si sta sviluppando – prosegue Karl – un peculiare mercato assicurativo cyber con un numero crescente di compagnie assicurative che sta cercando di incrementare la propria presenza in questo settore di rischi speciali”. Le coperture cyber forniscono solitamente una protezione di base contro le violazioni di reti e dati e le perdite loro collegate, con limiti di assunzione che nel mercato assicurativo odierno arrivano fino a 100 milioni di dollari. Alcuni significativi rischi informatici rimangono tuttavia in gran parte scoperti e l’attuale portata della protezione aziendale è modesta rispetto alla potenziale esposizione complessiva.
Uno dei principali limiti nello sviluppo di soluzioni assicurative dedicate è legato alla natura intrinseca dei rischi informatici, che sono complessi e difficili da quantificare, soprattutto in considerazione del contesto tecnologico in rapida evoluzione e dalla mancanza di un sufficiente archivio storico sui sinistri informatici da cui poter estrapolare le informazioni sulle possibili perdite future. Compagnie assicurative e analisti del rischio stanno sperimentando differenti approcci alla modellazione del rischio informatico, tra cui le analisi dello scenario deterministico ed i modelli probabilistici, nel tentativo di stimare le potenziali perdite collegate a sinistri cyber. Il bagaglio di esperienza maturata in altre tipologie di rischio (come le catastrofi naturali) restituisce la speranza che i modelli adottati saranno in grado di migliorare costantemente seguendo lo sviluppo nella comprensione dei fattori fondamentali di rischio e la disponibilità di una base di dati sempre più ampia.
Nel frattempo, l’innovazione di prodotto e di processo nel settore assicurativo ed in altre modalità di trasferimento del rischio giocherà un ruolo importante nel migliorare le competenze nella gestione del rischio informatico. Un elemento determinante nell’influenzare il ritrmo dell’innovazione sarà rappresentato dall’acquisizione e dall’analisi dei dati rilevanti e delle informazioni sulle minacce, necessarie per sottoscrivere i rischi informatici con la massima precisione.
L’industria assicurativa sta sviluppando diverse modalità per migliorare la raccolta di informazioni e la loro trasmissione. Ad esempio, gli analisti del rischio hanno costruito schemi di database per fornire alle imprese un approccio standardizzato che permetta loro di identificare e quantificare l’esposizione informatica per segnalarla successivamente alle compagnie assicurative. Allo stesso modo, il CRO Forum (il gruppo di discussione formato dai Chief Risk Officer delle maggiori compagnie assicurative e riassicurative) sta promuovendo un linguaggio ed un contesto operativo comune che permetta alle aziende di acquisire informazioni salienti sulle vulnerabilità cyber (e sugli incidenti connessi).
Da parte loro, gli assicuratori stanno cercando di sviluppare prodotti meno complessi e più flessibili, con coperture che possano essere adattate alle piccole e medie imprese, fino ad oggi poco protette e spesso meno attrezzate per far fronte ai rischi informatici rispetto alle grandi imprese. Alcune compagnie (ri)assicurative sono inoltre alla ricerca di partnership con aziende di sicurezza informatica e specialisti nell’analisi dei dati per colmare le proprie lacune di conoscenza e fornire servizi aggiuntivi ai propri clienti. Più in generale, i servizi di analisi avanzata (advanced analytics) sono in grado di aggiornare le tradizionali modalità di assunzione (ri)assicurative, permettendo di fronteggiare rapidamente i fattori di rischio sottostanti in rapido mutamento.
Un altro modo per aumentare la capacità di assorbimento delle perdite collegate al rischio cyber è rappresentata dallo sviluppo di veicoli di investimento che consentano agli operatori sul mercato dei capitali di assumere una parte delle esposizioni. Attualmente si assiste alle fasi iniziali dello sviluppo di titoli insurance-linked (ILS) che coprano rischi operativi come quelli cyber; è una nicchia ILS allo stadio embroniale, chiarisce Swiss Re, ma con sicure opportunità di crescita.
Alla fine, tuttavia, l’impatto delle perdite potenziali derivanti da alcuni sinistri cyber potrebbe risultare troppo elevato per essere assorbito adeguatamente dal settore (ri)assicurativo privato. Swiss Re fa riferimento, in particolare, a sinistri estremamente complessi che comportino estese interruzioni di infrastrutture o reti critiche ed a conseguenti significative perdite cumulative. Per questa tipologia di rischi, afferma il colosso del comparto riassicurativo, si potrebbe pensare ad un sostegno da parte dei singoli governi nazionali (gli Stati diventerebbero quindi ri-assicuratori di ultima istanza).
Più in generale, i governi nazionali hanno un ruolo importante nella promozione della “cyber resilienza”, comprese le misure per migliorare le modalità di acquisizione e diffusione delle informazioni in campo informatico e l’emanazione di leggi e regolamenti che intervengano sull’utilizzo e la protezione del cyberspazio. Aumentando la consapevolezza nei confronti delle minacce informatiche, i governi possono spingere ulteriormente il settore assicurativo privato a sviluppare (e a portare sul mercato) soluzioni migliorative.
Intermedia Channel
