Cyber risk, non un’eventualità ma un pericolo concreto

La scarsa percezione del rischio, il crescente utilizzo di dispostivi mobili e la mancata protezione delle connessioni fanno registrare un’impennata dei danni derivanti dagli attacchi di hacker: il costo legato al fenomeno, nel 2014, si è attestato a 750 miliardi di euro

In Italia, il cyber crime incide per 8,5 miliardi di dollari (0,6% del Pil) tra danni diretti, di immagine e reputazionali, costi di recovery e perdite di opportunità di business. La questione non è più se le aziende (grandi o piccole che siano), verranno attaccate, ma quando. A oggi il cyber crime è nella top 5 list dei rischi percepiti come i più pericolosi dalle imprese. L’impatto del cyber crime nel 2014, secondo le ultime stime dell’Interpol, a livello globale è stato di 14 miliardi dollari. E nei prossimi sei anni, con il trend dato in crescita esponenziale, le perdite stimate sfioreranno i 3 mila miliardi di dollari. A livello europeo il costo legato al fenomeno si è attestato, lo scorso anno, a 750 miliardi di euro. Tradotto in termini occupazionali: sono stati persi 150 mila posti di lavoro. È questa la fotografia, per sommi capi, scattata da Niccolò Gordini, professore di Economia e Gestione delle imprese presso l’Università di Milano Bicocca. Ma come si difendono le aziende da questo fenomeno e qual è la loro percezione? In generale, si rileva una insufficiente consapevolezza del rischio, che spesso è sottostimato. Tra le principali criticità: una scarsa cultura del cyber crime, la mancata protezione delle connessioni, l’utilizzo di dispositivi mobili e il ricorso ai social network in azienda.

 

Un supporto in ogni fase dell’attacco

Cosa fare quindi per difendersi da questi rischi? In primis, appare centrale un cambiamento culturale, che risulta “l’ostacolo più difficile da superare. Occorre sensibilizzare, da un lato, i piccoli e medi imprenditori (ma anche i titolari degli studi professionali) a concepire questo rischio come un pericolo concreto e non come un’eventualità remota. Dall’altro lato bisogna cercare, all’atto pratico, di oltrepassare le polizze assicurative tradizionali che sono essenzialmente basate sul risarcimento del danno, e che prevedono una visione solo ex post di tutto il processo. Ma come superarli? “Adottando polizze assicurative che supportino e tutelino il contraente da una vasta pluralità di rischi in ogni fase dell’attacco. Ad esempio – ha specificato il professore Gordini – con una polizza che copra i costi di notifica, di investigazione di recupero di dati, legati alla violazione della privacy o all’interruzione del processo produttivo. Non solo quando questi aspetti riguardano l’impresa, ma anche quando riguardano soggetti terzi o fornitori con cui l’azienda intrattiene rapporti di lavoro e che, seppure indirettamente, vanno a toccare l’azienda stessa”

 

Interventi per favorire la prevenzione

Osservando il fenomeno del cyber risk sotto il profilo giuridico, David Marino, partner dello studio legale Dla Piper, nell’evidenziare cosa sta accadendo a livello europeo, ha tratteggiato la cornice normativa e le nuove regole dell’Ue. “In particolare – ha spiegato – su iniziativa della Commissione europea è stato costituito un sorta di comitato, l’European cybercrime centre che ha lo scopo di coordinare lo scambio di informazioni per favorire la prevenzione e la reazione rispetto a fenomeni che possono interessare più giurisdizioni”. Ma quali sono gli obiettivi degli hacker? Le cause che li spingono ad agire sono molteplici, ha rilevato Gillian Anderson di Anv Syndacate 1861. Nel loro mirino, oltre alle informazioni finanziarie ci sono anche le proprietà intellettuali. Sarah Reynolds di Charles Taylor Adjusting ha illustrato il processo da attivare per la gestione del rischio connesso al cyber crime. “Le aziende devo attrezzarsi contro gli attacchi e prendere le contromisure. Perché se non oggi, domani potrebbero essere vittime degli hacker”, hanno sottolineato Mike Harris (partner di Grant Thorton Advisory) e Alessandro Leone (amministratore di Synapse Advisors).

Tradurre questo approccio nella percezione della cultura del rischio, all’atto pratico, significa creare una polizza che copra la responsabilità civile verso i terzi derivante dai rischi informatici. Si tratta, in definitiva, di un contratto che preveda una copertura completa: dalla perdita dei dati di terzi all’interruzione dell’attività aziendale.

 

Nello specifico:

  1. GESTIONE DEGLI EVENTI

A.1 Pronto Intervento

Risarcimento dei costi dei team di esperti in Cyber Incident Response messi a disposizione dalla compagnia (Consulente di Reazione, Consulente di Crisi)

A.2 Servizi Legali

Risarcimento dei costi per servizi legali dei team di cui sopra (interventi, difesa, informativa)

A.3 Servizi Informatici

Risarcimento dei costi degli esperti informatici per valutare e ridurre i difetti di sicurezza e contrastare gli attacchi

A.4 Ripristino dei Dati

Risarcimento dei costi per ricostruire, laddove possibile, i dati di terzi detenuti dall’Assicurato e ricaricare e personalizzare i software in licenza laddove non più leggibili.

A.5 Tutela della Reputazione

Risarcimento dei costi per limitare o evitare i potenziali effetti negativi o i danni reputazionali, ivi incluse la formulazione e la gestione di una strategia di comunicazione.

A.6 Costi di Comunicazione

Risarcimento dei costi, compresi i costi di call center, per l’indagine, la raccolta di informazioni, la preparazione e la comunicazione di qualsiasi violazione di dati personali o societari ai Clienti e a qualsiasi Autorità competente.

A.7 Monitoraggio del Profilo Creditizio e dell’Identità

Risarcimento dei costi di monitoraggio del profilo creditizio e del furto d’identità dei Clienti volti a rilevare possibili usi impropri di dati personali, compreso il premio per eventuali assicurazioni Furto di Identità.

 

  1. OBBLIGHI PRIVACY

B.1 Istruttoria Privacy

Risarcimento dei costi relativi a Istruttorie di un’Autorità competente.

 

  1. RESPONSABILITÀ CIVILE VERSO TERZI

C.1 Dati Personali e Societari

Risarcimento dei costi per danni a terzi e per costi di difesa per violazioni di dati personali o violazioni di dati societari.

C.2 Difetto di Sicurezza

Risarcimento dei costi per danni a terzi e per costi di difesa per difetti di sicurezza.

C.3 Omessa Comunicazione

Risarcimento dei costi per danni a terzi e per costi di difesa per omessa comunicazione ai Clienti e all’Autorità competente da parte della società assicurata di una violazione di dati personali in conformità agli obblighi della legislazione privacy.

C.4 Detentore dei Dati – Dati Personali e Societari (outsourcing)

Risarcimento dei costi per danni a terzi e per costi di difesa per violazioni di obblighi del detentore dei dati relativi al trattamento per conto della società assicurata dei dati personali e/o dei dati societari (di cui la società assicurata sia responsabile).

 

  1. GARANZIE INTEGRATIVE OPZIONALI

D1. Copertura di Responsabilità derivanti da Media Digitali

Risarcimento dei costi per danni a terzi e per costi di difesa per danni e richieste d’indennizzo relative ad attività multimediali digitali, quali

  • Diffamazione
  • Violazione non intenzionale di un diritto d’autore, marchio e simili
  • Plagio, pirateria o appropriazione indebita o furto di idee o informazioni;
  • Violazione delle norme relative ai diritti di riservatezza, di pubblicazione e sfruttamento dell’immagine altrui
  • Concorrenza sleale per confusione

D2. Estorsione

Risarcimento dei costi per danni da estorsione che un assicurato subisca come conseguenza esclusiva di una minaccia di estorsione

D3. Blocco del Sistema e Costi di Interruzione

  • Blocco del sistema: risarcimento dei costi relativi a danni al sistema informatico (danni “diretti”) dovuti ad un’interruzione significativa del sistema stesso
  • Interruzione e mitigazione: risarcimento dei danni relativi ad un’interruzione significativa del sistema informatico (danni “indiretti”) e dei costi per mitigarne gli effetti