L’Avvocato Giorgio Grasso illustra gli impatti dell’emergenza Covid-19 sul risk management, privacy e cyber security

 Intervista a Giorgio Grasso, Senior Partner dello Studio Batini Traverso Grasso & Associati e Global Leader del Cyber Team del Network Global Insurance Law Connect

Avv. Grasso come impatterà la pandemia Covid-19 sul mercato assicurativo?

L’impatto diffuso del Covid-19 comporterà indubbiamente un numero consistente di sinistri in molti rami tradizionali. Viene immediatamente logico da pensare che il virus avrà un impatto maggiore sulle assicurazioni viaggi, nonché sulle polizze vita e salute, senza dimenticare le business interruption. Ma non solo. Come si vedrà, ci potrebbe essere un aumento dei sinistri per i casi di responsabilità civile; responsabilità da prodotto; responsabilità datoriale; rc amministratori e sindaci; responsabilità professionale sanitaria.

Ma non si può omettere l’enorme impatto per il settore cyber (e per la privacy dei cittadini vista l’intenzione di alcuni governi di utilizzare delle applicazioni che permettano il monitoraggio dell’infezione).

L’aumento da parte di imprese e professionisti al ricorso dello smart working può comportare un maggiore rischio cyber?

Certamente.

Molte organizzazioni hanno consentito ai propri dipendenti di lavorare in modalità smart, da remoto, senza, tuttavia, un sufficiente grado di consapevolezza dei rischi legati alla sicurezza IT e delle reti, anche in termini di GDPR.

Non a caso, l’Interpol ha lanciato un allarme globale alle organizzazioni sanitarie in merito agli attacchi informatici di tipo “ransomware” attraverso i quali i cyber criminali bloccano i sistemi informatici di strutture ospedaliere e servizi medici impedendo l’accesso a file e meccanismi vitali finché non viene pagato un riscatto. Ed è quanto avvenuto recentemente per lo sventato attacco hacker allo Spallanzani di Roma (o purtroppo quello messo a segno ai danni dell’ospedale universitario di Brno nella Repubblica Ceca nello scorso marzo).

In questo frangente, molte imprese hanno adottato lo smart working senza aver prima organizzato un adeguato piano di sicurezza informatica. Quanti di noi hanno mai cambiato la password del Wi-Fi di casa da quando è stato installato? Il lavoro in smart working diventerà parte della vita lavorativa di molti, ma necessita di una specifica organizzazione e richiede un certo periodo di apprendimento.

In questi giorni la Polizia Postale sta registrando un incremento importante di tentativi di cyber attack, di phishing e di truffe. Oltre a sfruttare queste situazioni ancora improvvisate di lavoro da remoto gli hacker cavalcano il panico che l’epidemia sta generando nelle persone.

In un momento critico come questo, l’effetto di un attacco cyber o di un furto di denaro è potenzialmente devastante: in un’organizzazione distribuita in smart working diventa ancora più difficile capire prontamente la situazione e reagire di conseguenza.

Quali sono i consigli per limitare questi rischi?

Come dico sempre: prevenire è meglio che curare. La polizza cyber è sicuramente un’ottima soluzione, ma come tassello finale di un adeguato percorso di risk management.

Innanzitutto, è necessario che ciascuna azienda svolga un assessment preventivo dei rischi connessi all’uso della rete e predisponga in via preventiva un programma di gestione della crisi cyber per governare le azioni volte a ridurre gli impatti, mediante contromisure concrete a breve e lungo termine.

Per fare ciò, occorre predisporre ex ante una valutazione dei potenziali rischi riconducibili ad un attacco cyber e, in particolare:

• l’interruzione del business e di tutte le attività produttive;
• un uso improprio dei dispositivi aziendali da parte dei dipendenti e/o collaboratori che lavorano da remoto;
• la diffusione illecita dei dati personali di cui l’azienda è Titolare o, in subordine, Responsabile del trattamento ai sensi del Codice della Privacy (così come modificato alla luce del Regolamento (UE) 2016/679, meglio noto come G.D.P.R.);
• la violazione dei sistemi informatici ed il conseguente furto di informazioni societarie confidenziali;
• il danno reputazionale cagionato dall’impatto mediatico negativo astrattamente derivante dalla diffusione della notizia sui media.

Considerando, poi, il cambio repentino verso lo spostamento di gran parte delle attività in modalità smart working, si offre un elenco delle principali raccomandazioni da indirizzare ai propri dipendenti/collaboratori per un corretto svolgimento del lavoro da remoto: 

1. rispettare pedissequamente le policies e le raccomandazioni dettate dall’azienda;
2. effettuare costantemente gli aggiornamenti di sicurezza del sistema operativo dei dispositivi utilizzati per il lavoro;
3. assicurarsi che i software di protezione del proprio sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati;
4. assicurarsi che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dall’azienda;
5. non installare sui dispositivi aziendali (o su quelli personali utilizzati per il lavoro) software proveniente da fonti non ufficiali;
6. bloccare l’accesso al sistema a soggetti non autorizzati e/o configurare modalità di blocco automatico in caso di sospensione temporanea dell’attività;
7. non cliccare su link o allegati contenuti in email sospette dai dispositivi aziendali;
8. utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
9. utilizzare dispositivi mobili (ex multis, pen-drive o hdd-esterno) forniti in via esclusiva dall’azienda o di cui l’azienda ne sia a conoscenza;
10. effettuare sempre il log-out dai servizi/portali aziendali utilizzati al termine della sessione lavorativa.

Infine, è essenziale che le aziende si affidino a VPN sicure e a service providers affidabili e dotati di certificazione.

Ma tutto questo perde valore se non è accompagnato da un serio adeguamento privacy.

E cioè?

In materia di privacy, la remotizzazione dell’attività lavorativa dei propri dipendenti e/o collaboratori impone alle aziende di incrementare e rafforzare i sistemi aziendali previsti per garantire la protezione dei dati personali trattati, al fine di evitare che un uso scorretto degli strumenti digitali utilizzati determini la violazione dei diritti degli interessati e, conseguentemente, l’applicazione delle gravose sanzioni previste dal G.D.P.R. 

Le aziende devono quindi implementare la struttura predisposta per la tutela e la protezione dei dati personali trattati in funzione dell’attività produttiva e, in particolare:

• aggiornare e monitorare la Privacy Policy aziendale;
• verificare la rispondenza del proprio apparato privacy alle nuove esigenze di tutela derivanti dall’incremento del lavoro da remoto; 
• incrementare le misure di prevenzione e di gestione della crisi, assicurandosi di aggiornare – o predisporre – la Valutazione di Impatto sulla protezione dei dati (o D.P.I.A., Data Protection Impact Assessment);
• curare la formazione del personale sulle questioni inerenti la privacy e le misure adottate per garantire la sicurezza dei dati personali trattati;
• valutare, ove ne siano sprovviste, la nomina di un Responsabile della Protezione dei Dati (meglio noto come D.P.O.), cui affidare la valutazione e la gestione delle questioni legate al rispetto della normativa privacy;
• provvedere ad una revisione dei contratti e degli accordi sul trattamento dei dati già predisposti con i service providers.

Da valutarsi, ancora, la predisposizione di un Data Breach Response Plan al fine di gestire con fermezza una crisi connessa ad una violazione dei dati.

Il consiglio è dunque quello di controllare il corretto aggiornamento della propria privacy policy, magari rivolgendosi ad un consulente esperto. Ricordiamo come i “dati” siano il petrolio del domani. Molti gruppi agenziali lo hanno capito e hanno già concluso (o hanno in corso) nuovi Accordi Dati con le Compagnie. Ricordo agli agenti quanto sia importante rimanere Titolari del trattamento per tutti quei dati “non essenziali” alla conclusione del contratto assicurativo. Ma per farlo in sicurezza è vivamente consigliato mantenere la propria privacy policy correttamente aggiornata.

Sappiamo che lavora con le maggiori compagnie internazionali sul drafting dei testi di polizza cyber e come consulente in caso di attacchi. Qual è l’impatto della pandemia Covid per tale linea di rischio?

Come ho già detto, il massivo riparto delle attività in modalità da remoto, può comportare maggiori rischi per le aziende: un’organizzazione distribuita in smart working diventa, da un lato, più vulnerabile, e, dall’altro, meno proattiva a reagire ai pericoli della rete.

Per chi ha già una polizza in corso, sarà bene confrontarsi con il proprio intermediario di fiducia per chiedere conferma che la modifica organizzativa in smart working non sia considerabile quale “aggravamento del rischio” e che quindi non si debba notificare alcunché all’Assicuratore. Rimango dell’opinione che sia difficile considerare tale modifica quale un “aggravamento” (qualora la riorganizzazione dovesse rimanere transitoria e circoscritta ad un periodo temporale breve).

Ciò precisato, sarà comunque consigliabile chiedere conferma al proprio intermediario che la polizza in corso copra i rischi connessi alla policy del Bring your own device (cd. BYOD).

Lo stesso dicasi qualora l’azienda avesse aumentato la commercializzazione dei prodotti on-line.

È tuttavia lecito aspettarsi che, in sede di rinnovo, l’intermediario richieda al proprio cliente notizie circa eventuali modifiche del rischio (d’altro canto le Compagnie stanno modificando i propri questionari assuntivi in conseguenza del cambiato panorama organizzativo).

Foto in copertina: Giorgio Grasso