Le richieste di risarcimento a seguito di cyber attack sono continuate a crescere nell'ultimo anno, principalmente a causa dell'aumento degli incidenti legati alla violazione dei dati e della privacy, avverte Allianz Commercial nel suo outlook annuale sulle prospettive del rischio cyber. La frequenza dei sinistri informatici di grandi dimensioni (>1 milione di euro) nei primi sei mesi del 2024 è aumentata del 14%, mentre la gravità è cresciuta del 17%, questo quanto emerge dall'analisi fatta da Allianz Commercial, dopo un aumento dell'1% della gravità nel 2023.
Gli elementi legati alla violazione dei dati e della privacy sono presenti in due terzi di queste grandi perdite. Complessivamente, il numero totale di richieste di risarcimento per cyber attacchi nel 2024 dovrebbe stabilizzarsi, dopo un aumento del 30% della frequenza nel 2023 che ha portato a oltre 700 richieste.
“Il crescente valore dei danni dovuti a violazioni dei dati è guidato da una serie di tendenze diverse e rilevanti” spiega Michael Daum, global head of cyber claims di Allianz Commercial. “Un aumento degli attacchi ransomware, inclusa l'esfiltrazione dei dati, è una conseguenza dell'evoluzione delle tattiche degli aggressori e della crescente interdipendenza tra le organizzazioni che condividono volumi sempre maggiori di dati personali. Allo stesso tempo, lo sviluppo dell'ambiente normativo e legale ha portato a un aumento delle cosiddette azioni legali collettive relative alla privacy dei dati 'non attaccati', derivanti da eventi come la raccolta e l'elaborazione errata dei dati personali – il numero di queste richieste è triplicata in valore in soli due anni”.
L'incremento delle richieste di risarcimento per violazione dei dati 'non attaccati' è una conseguenza degli sviluppi tecnologici, del crescente valore commerciale dei dati personali e di un panorama normativo e legale in evoluzione. Ad esempio, a differenza del Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, le normative sulla privacy negli Stati Uniti sono meno dettagliate e più aperte all'interpretazione, con gli avvocati dei querelanti alla ricerca di potenziali fonti di reddito. Questo sta creando una zona grigia che è terreno fertile per le class action, osserva lo studio.
“Stiamo assistendo ad un aumento delle richieste di risarcimento negli Stati Uniti, dove si registra una tendenza crescente a intentare cause collettive contro grandi aziende statunitensi e internazionali in relazione a violazioni della privacy, ad esempio in materia di consenso e utilizzo dei dati”, afferma Daum. “Il costo di alcune di queste cause può essere persino superiore a quello di un incidente di ransomware, nell'ordine delle centinaia di milioni di dollari”. Negli ultimi anni, in particolare, le violazioni dei dati sono tra le ragioni che favoriscono l'aumento delle class action negli Stati Uniti. Secondo lo studio legale Duane Morris, nel 2023 sono state depositate oltre 1.300 cause in relazione a vari regolamenti sulla privacy dei dati, più del doppio rispetto al 2022 e quattro volte di più rispetto al 2021.
Numerose class action sono state avviate contro organizzazioni in settori molto diversi tra cui sanità, social media e gaming, per l'uso di strumenti di tracciamento come Meta Pixel per monitorare il comportamento dei consumatori. Anche le piattaforme di streaming di intrattenimento sono state prese di mira, con l'accusa di aver potenzialmente violato i diritti di protezione della privacy. Grandi eventi di violazione dei dati possono anche evolversi in "contenziosi molteplici", con un singolo evento che innesca una serie di azioni collettive. Più di 240 cause legali relative alla violazione dei dati MOVEit del 2023 sono state consolidate in un'unica Multidistrict Litigation nell'ottobre 2023. E con un gran numero di ricorrenti, le parti sono incentivate a trovare un accordo. L'anno scorso i 10 principali accordi di class action per violazione di dati hanno totalizzato 516 milioni di dollari, un aumento significativo rispetto ai 350 milioni registrati nel 2022.