Il MegafonoIn EvidenzaNews

Attacchi hacker: i regulator discutono se sia lecito che le compagnie paghino i costi delle estorsioni

Riccardo Sabbatini

E’ corretto che gli assicuratori intervengano per pagare i riscatti di attacchi hacker con il rischio di alimentare la spirale criminale? I ransomware – aggressione informatica associata alla richiesta di riscatto per riattivare sistemi aziendali bloccati da un virus – stanno diventando la principale modalità del cyber crime, con danni globali che hanno raggiunto $20 miliardi nel 2020, ha stimato PurpleSec (azienda Usa di cyber security). Ed i regolatori iniziano a chiedersi se non sia il caso di limitare l’operatività degli assicuratori che talvolta coprono il rischio di estorsione. Di quei pagamenti, effettuati quasi sempre in bitcoin, finiscono per beneficiare organizzazioni criminali, talvolta intrecciate al terrorismo, che successivamente vendono la stessa tecnologia ad altri soggetti in una sorta di «ransomware as a service».

Il fenomeno degli attacchi hacker è nato nel 1989 quando negli Stati Uniti un signore si presentò ad un convegno sull’Aids distribuendo floppy disk con un nuovo sistema operativo. Peccato che istallandolo il PC andava in tilt se non si pagavano $189 per un «aggiornamento». Sicché il partecipanti al convegno, lì convenuti per meglio conoscere un virus, finirono per sperimentarne un altro per fortuna meno letale. Poi venne internet, gli attacchi informatici divennero più aggressivi e tecnologici. Con essi la pratica dei ransomware si è diffusa sempre più ed è diventata più sofisticata. Oggi un hacker non si limita a bloccare l’apparato IT di un’azienda ed a chiedere un riscatto per riattivarlo. Ma entra anche in possesso dei dati personali di dipendenti e clienti di quell’impresa minacciando di diffonderli se non si mette mano al portafoglio (aziendale). Gli attacchi hacker si stanno moltiplicando, anche in Italia. Uno degli ultimi, in ordine di tempo, è quello di cui a novembre è rimasta vittima la Campari. Sono risultati potenzialmente compromessi – ha riferito un comunicato ufficiale – 2 terabyte di dati aziendali incluse informazioni riguardanti 10mila clienti e 8500 fornitori del gruppo, nonché una lista di 10mila giornalisti. Secondo fonti giornalistiche – non confermate dalla Campari – sarebbe stato richiesto un riscatto di 15 milioni. Neppure è noto se l’azienda, alla fine, ha ceduto al ricatto e se, nel caso, un assicuratore abbia contribuito ai pagamenti. 

E’ proprio su quest’ultimo aspetto che si è aperto il dibattito a livello internazionale. Nei giorni scorsi un regulator americano, il New York Department of Financial Services (NYDFS), ha inviato una Circular Letter alle compagnie in cui ha descritto il pagamento del riscatto come un potenziale incoraggiamento per futuri incidenti di ransomware e pertanto lo ha sconsigliato. L’argomento è controverso. Un divieto generale sui pagamenti del riscatto potrebbe dissuadere le aziende dall’acquistare l’assicurazione informatica. Per molti assicurati, la prospettiva di dover recuperare i dati persi tramite sistemi di backup è ardua. Alcuni assicurati potrebbero non considerare la Cyber ​​Insurance come utile se sapessero in anticipo che il rimborso del riscatto (e il rapido recupero dei dati) non è incluso nella polizza. D’altra parte nel suo report il NYDFS ha avvertito gli assicuratori che potrebbero infrangere la legge federale pagando i riscatti. Potrebbero essere considerati “intermediari” responsabili di violare i protocolli dell’OFAC, l’ufficio Usa che applica e amministra e le sanzioni economiche e commerciali dell’amministrazione verso determinati paesi, terroristi, trafficanti di droga e/o soggetti coinvolti nei commerci di armi di distruzione di massa.

Poche settimane prima, a gennaio, l’argomento era tornato d’attualità anche in Gran Bretagna. Un servizio della BBS aveva reso noto che il pagamento dei riscatti rientrava tra le coperture delle polizze cyber indicate nel sito dell’Abi, l’associazione degli assicuratori inglesi. E su The Guardian, Ciaran Martin, ex responsabile del National Cyber Security Centre, ha detto che «occorre pensare seriamente a cambiare la legge ed a vietare simili pagamenti». Allo stato attuale, comunque, diverse compagnie in GB (Lloyd’s) e in Usa (Chubb) prestano il servizio. E in Italia? Generalmente le compagnie italiane sono restie ad accordare simili coperture che tuttavia non sembrano vietate dal Codice delle assicurazioni private a differenza delle polizze che «riguardano il prezzo di riscatto in caso di sequestro di persona» (art.12) . Un‘iniziativa potrebbe forse prenderla l’Eiopa che in una survey del 2018 («Understanding Cyber Insurance – a structured dialogue with Insurance Companies») auspicava una “moderata regolamentazione” in materia. Ma non mancava di segnalare il punto di vista di una delle compagnie partecipanti al sondaggio secondo la quale “un’eccessiva e rigida regolamentazione nell’assicurare i ransomware potrebbe intralciare questo tipo di business». 

di Riccardo Sabbatini

Articoli correlati
News

L’inflazione non è un rischio importante per gli assicuratori, dice JP Morgan

L’aumento dell’inflazione non solo è gestibile, ma non rappresenta un rischio…
Leggi di più
EsteroIn EvidenzaNews

Usa: salta l’accordo da $2,7 miliardi raggiunto da Calpers sui piani long term care

Il 30% dei potenziali beneficiari no ha sottoscritto l’intesa facendo scattare la clausola di…
Leggi di più
In EvidenzaNews

Climate change: soltanto l’8% degli assicuratori preparati ad affrontarlo

Pubblicata survey di Capgemini-Efma sugli effetti del cambiamento climatico nell’industria delle…
Leggi di più
Newsletter
Iscriviti alla nostra Newsletter
Resta aggiornato sulle ultime novità, sugli eventi e sulle iniziative Intermedia Channel.