Intervenendo al seminario Hermeneut Horizon2020, Alessandro De Felice (presidente dell’Associazione dei risk manager) ha evidenziato i punti critici del mercato assicurativo della sicurezza informatica
Si è svolto nella giornata di ieri a Milano il primo seminario internazionale del programma di ricerca applicata dell’Unione Europea Horizon 2020 Hermeneut* su “Insurance in Cyber-security”, che ha riunito ricercatori, professionisti, broker e assicuratori per discutere lo stato dell’arte e le sfide future del mercato della sicurezza informatica, con particolare attenzione alle nuove normative e alle best practice da attuare.
Secondo stime provenienti dal Rapporto Clusit 2018, l’Italia nel 2016 ha subito danni derivanti da attività di cybercrime per quasi 10 miliardi di euro: si tratta di un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica. Eppure, come emerge dall’Osservatorio Information Security & Privacy 2017 del Politecnico di Milano, una percentuale ancora bassa di aziende italiane, solo il 27%, è protetta con una polizza sul rischio cyber: quasi il 40% non ha intenzione di farvi ricorso o non ne conosce l’esistenza e il 35% sta tuttora valutando quali azioni intraprendere. Un livello di consapevolezza ancora molto basso, dunque, se consideriamo che, secondo il Report BDO Global Network 2017, negli Stati Uniti un’azienda su tre è tutelata sul rischio cyber, mentre in Italia la media è di 1,5 ogni dieci imprese. Nemmeno l’attenzione portata sul tema dal GDPR sembrerebbe riuscita a migliorare sensibilmente la situazione.
Intervenendo alla tavola rotonda, il presidente ANRA (Associazione nazionale risk manager e responsabili assicurazioni aziendali) Alessandro De Felice ha sottolineato come la cyber-security non possa essere considerata come rischio a sé stante o come materia unicamente di competenza dell’IT, “ma debba essere affrontata in un’ottica olistica di risk management che nasce con lo sviluppo di una cultura aziendale del rischio”.
Questo significa valutare nel contempo un insieme di aspetti e di fattori diversi: “Prima di tutto il fattore umano: comportamenti e percezioni delle persone sono sempre la prima causa di debolezza di un sistema – ha spiegato De Felice –. A questi si aggiungono oggi altri rischi che un’azienda non può ignorare, come quelli che riguardano la supply chain, lungo tutta la quale va garantita la sicurezza dei dati, legali e di compliance”. Questo anche in considerazione del fatto che i legislatori stanno inasprendo le sanzioni per le imprese che non garantiscono la tutela delle informazioni.
“Vi sono poi cambiamenti sociali – ha aggiunto il presidente ANRA – che avvengono oggi in modo estremamente rapido e che modificano atteggiamenti e scelte d’acquisto, impattando sul valore di un modello di business o di un prodotto sul mercato: i consumatori chiedono di finalizzare un acquisto il più rapidamente e semplicemente possibile, con pochi clic, il che richiede all’azienda di memorizzare quanti più loro dati possibili, garantendone però al tempo stesso la tutela. È un equilibrio difficile, una vera e propria scelta strategica. Infine ci sono i rischi reputazionali: amplificati da internet e social media, indiscrezioni e fake news possono creare gravi danni alla reputazione di un’azienda in pochissimo tempo”.
De Felice ha successivamente portato l’attenzione sulle criticità nell’industria delle assicurazioni sul fronte cyber: la più importante riguarda la preparazione di intermediari e sottoscrittori, che non hanno per lo più conoscenza tecnica e capacità di integrare il rischio in un sistema di governance & compliance, con la derivante difficoltà a prezzare il rischio. Con la conseguenza che l’offerta assicurativa oggi disponibile è costituita essenzialmente da soluzioni di data protection piuttosto che una vera gestione del rischio informatico. Per colmare questo gap, ha precisato De Felice, “è necessario integrare le varie skill, ad esempio affiancando specialisti nella sicurezza informatica con business continuity manager”. Una copertura assicurativa, infatti, non può essere efficace se non è integrata in un servizio più ampio che comprenda aspetti procedurali, di assessment, di business continuity e di disaster recovery.
Intermedia Channel
* Hermeneut (Enterprises intangible Risk Management via Economic models based on simulation of modern cyber attacks) è un progetto di ricerca applicata nell’ambito del programma europeo Horizon 2020. Oggetto di ricerca di Hermeneut è in particolare l’incidenza di fattori umani, di tipo psicologico, comportamentale, sociale, organizzativo e legati agli aspetti economici, nell’identificazione dei cyber-risks, del loro impatto economico e del costo delle contromisure, con un focus particolare sugli asset intangibili, come la reputazione, i diritti di proprietà intellettuale, le competenze e il know-how. H2020 Hermeneut è dunque centrato sulla valorizzazione dei fattori umani nella cyber-security e sullo sviluppo di modelli economici per la gestione dei rischi intangibili per le imprese. Il progetto, iniziato a maggio 2017 e della durata di 24 mesi, vede la partecipazione di undici partner provenienti da cinque paesi dell’Unione Europea (Belgio, Italia, Francia, Germania e Regno Unito) e di un’industria aerospaziale israeliana.
