Si è svolto ieri a Milano il primo seminario internazionale del programma di ricerca applicata dell’Unione Europea Horizon 2020 Hermeneut su “Insurance in Cyber-security”, che ha riunito ricercatori, professionisti, broker e assicuratori per discutere lo stato dell'arte e le sfide future del mercato della sicurezza informatica, con particolare attenzione alle nuove normative e alle best practice da attuare.
L’Italia nel 2016 ha subito danni derivanti da attività di cybercrime per quasi 10 miliardi di euro: si tratta di un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica. Eppure una percentuale ancora bassa di aziende italiane, solo il 27%, è protetta con una polizza sul rischio cyber: quasi il 40% non ha intenzione di farvi ricorso o non ne conosce l’esistenza[2] e il 35% sta tuttora valutando quali azioni intraprendere. Un livello di consapevolezza ancora molto basso, dunque, se consideriamo che negli Stati Uniti un’azienda su tre è tutelata sul rischio cyber, mentre in Italia la media è di 1,5 ogni 10 imprese[3]. Nemmeno l’attenzione portata sul tema dal GDPR sembrerebbe riuscita a migliorare sensibilmente la situazione.
Alessandro De Felice, presidente ANRA (Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali) intervenendo alla tavola rotonda, ha sottolineato come la cyber-security non possa essere considerata come rischio a sé stante o come materia unicamente di competenza dell’IT, ma debba essere affrontata in un’ottica olistica di Risk Management che nasce con lo sviluppo di una cultura aziendale del rischio.
Questo significa valutare nel contempo un insieme di aspetti e di fattori diversi: “Prima di tutto il fattore umano: comportamenti e percezioni delle persone sono sempre la prima causa di debolezza di un sistema” – ha spiegato De Felice – “a questi si aggiungono oggi altri rischi che un’azienda non può ignorare, come quelli che riguardano la supply chain, lungo tutta la quale va garantita la sicurezza dei dati, legali e di compliance”. Questo anche in considerazione del fatto che i legislatori stanno inasprendo le sanzioni per le imprese che non garantiscono la tutela delle informazioni. “Vi sono poi cambiamenti sociali” – ha continuato il presidente ANRA – “che avvengono oggi in modo estremamente rapido e che modificano atteggiamenti e scelte d’acquisto, impattando sul valore di un modello di business o di un prodotto sul mercato: i consumatori chiedono di finalizzare un acquisto il più rapidamente e semplicemente possibile, con pochi clic, il che richiede all’azienda di memorizzare quanti più loro dati possibili, garantendone però al tempo stesso la tutela. È un equilibrio difficile, una vera e propria scelta strategica. Infine ci sono i rischi reputazionali: amplificati da internet e social media, indiscrezioni e fake news possono creare gravi danni alla reputazione di un’azienda in pochissimo tempo”.
De Felice ha successivamente portato l’attenzione sulle criticità nell’industria delle assicurazioni sul fronte cyber: la più importante riguarda la preparazione di intermediari e sottoscrittori, che non hanno per lo più conoscenza tecnica e capacità di integrare il rischio in un sistema di governance & compliance, con la derivante difficoltà a prezzare il rischio. Con la conseguenza che l’offerta assicurativa oggi disponibile è costituita essenzialmente da soluzioni di data protection piuttosto che una vera gestione del rischio informatico.
Per colmare questo gap, ha precisato De Felice, “è necessario integrare le varie skill, ad esempio affiancando specialisti nella sicurezza informatica con business continuity manager”. Una copertura assicurativa, infatti, non può essere efficace se non è integrata in un servizio più ampio che comprenda aspetti procedurali, di assessment, di business continuity e di disaster recovery.