Il mercato delle assicurazioni informatiche è un’area in forte espansione in Europa, trainato dalle recenti novità normative come il Regolamento europeo per la protezione dei dati (Gdpr) e dall’aumento dei rischi legati al mondo cyber.
Le polizze di assicurazione cyber seguono ovviamente la crescente complessità delle minacce cibernetiche e dei sistemi informativi e presentano, come vedremo, molti vantaggi, tra i quali in primis una maggiore attenzione delle aziende agli aspetti di sicurezza informatica. Ci sono tuttavia anche una serie di problematiche che non si possono sottovalutare.
Ma prima di addentrarci in questi aspetti, diamo qualche dato di contesto sulle assicurazioni cyber.
Quando e come nasce il mercato delle assicurazioni cyber
L’assicurazione, un modo ben noto per affrontare i rischi residui, è stata applicata solo di recente al mondo cyber. Il costo potenziale del crimine informatico nei prossimi cinque anni è stimato in circa 5 trilioni di dollari ogni anno. Questo spiega perché vari analisti si aspettano che il mercato della sicurezza informatica cresca da 152,71 miliardi di dollari nel 2018 a 248,26 miliardi di dollari nel 2023 (e circa 300 miliardi nel 2024-2025), con un tasso di crescita annuale composto (CAGR) del 10-13% nei prossimi cinque anni.
Sebbene alcune polizze assicurative che coprono specifici rischi informatici potrebbero essere rintracciate nell’anni 70, le prime polizze assicurative separate per hacker sono state introdotte nel 1998. Il mercato (negli Stati Uniti) ha visto un significativo aumento dal 2003 quando è entrato in vigore il California bill (e, successivamente, leggi simili in altri Stati).
Una delle caratteristiche principali del disegno di legge era la notifica obbligatoria delle violazioni dei dati. Un altro fattore importante per l’assicurazione cyber era il numero crescente di eventi cibernetici in generale e di attacchi di grandi dimensioni che colpiscono i titoli (ad es. attacchi su eBay, Amazon.com, CNN.com, ecc., all’inizio del millennio) in particolare.
In diversi anni il numero di assicuratori che offrono politiche di sicurezza informatica è cresciuto in modo significativo e continua ad aumentare man mano mentre il mercato si espande in altri paesi. Il mercato europeo delle assicurazioni informatiche è molto meno sviluppato rispetto a quello statunitense, ma si prevede che crescerà rapidamente a causa delle recenti normative (ad es. GDPR).
I vantaggi “collaterali” delle assicurazioni cyber
Nel corso degli anni, le polizze di assicurazione cyber sono diventate sempre più sofisticate per essere in linea con la continua evoluzione degli attacchi informatici e della complessità dei sistemi informativi.
Oltre alla capacità primaria di trasferire il rischio cibernetico e facilitare l’impatto per le organizzazioni, l’assicurazione in generale e l’assicurazione cibernetica, in particolare, si presume che abbia ulteriori effetti positivi. Innanzitutto, il vantaggio principale dell’assicurazione è la possibilità di incentivare le organizzazioni ad aumentare gli investimenti nella loro protezione, al fine di ridurre il premio. Inoltre, la richiesta di assicurazione richiede ai gestori del rischio di rivolgersi alla sicurezza informatica e rivedere le politiche e le pratiche tecniche in relazione alle esigenze dell’organizzazione. Tale approccio basato sul rischio (condotto internamente, con l’aiuto di consulenti esterni o dell’assicuratore) aiuta le aziende a migliorare la propria sicurezza informatica.
Successivamente, si ritiene che l‘assicurazione cyber migliori il benessere sociale migliorando il livello generale di protezione informatica. È importante notare che, dal momento che il mondo cyber è altamente interconnesso, la sicurezza di una società dipende dalla sicurezza degli altri (ad esempio, pensiamo a un’epidemia di virus / worm). Pertanto, migliorando la sicurezza di una parte di una società, l’assicurazione cyber influisce positivamente sulla sicurezza dell’altra parte.
In terzo luogo, l’assicurazione cyber (in particolare i premi) può servire come l’indicatore della qualità della protezione. Finora, la sicurezza informatica lotta per trovare metriche adeguate per confrontare la qualità della protezione per le aziende. A causa dell’eterogeneità dei sistemi, dei diversi obiettivi strategici e degli assets digitali posseduti, degli effetti non chiari delle contromisure e delle pratiche di sicurezza e della mancanza di dati affidabili per l’analisi, è difficile confrontare la forza del sistema di sicurezza informatica di una azienda con altri e ricevere un chiaro indicatore se sono necessari ulteriori investimenti o modifiche della sicurezza informatica.
Infine, ma non meno importante, l’assicurazione cyber può portare a standard nuovi e più avanzati in materia di sicurezza informatica, dal momento che l’aderenza agli standard di sicurezza o il possesso di un certificato possono essere il modo più semplice per un assicuratore di stimare l’esposizione al rischio degli assicurati. Ci si aspetta che gli assicuratori stessi presentino un breve elenco di pratiche essenziali di sicurezza informatica per valutare i potenziali assicurati e decidere quale prodotto assicurativo offrire.
I fattori che ostacolano il mercato assicurativo cyber
Nonostante l’ampio riconoscimento degli effetti positivi che il mercato assicurativo può apportare al mondo cyber, il suo avanzamento è rallentato a causa di un gran numero di fattori di impedimento. Molti di questi fattori possono essere attribuiti alla mancanza di esperienza degli assicuratori sul campo, come ad esempio: numero elevato di esclusioni e copertura limitata, linguaggio contrattuale vago, limiti di indennizzo bassi e relazione non chiara con le politiche esistenti (ad es. “silent” cyber). Ma uno dei problemi principali legati alla mancanza di esperienza per gli assicuratori è la mancanza di dati, che impedisce di ideare polizze di assicurazione cyber affidabili e specifiche per la sicurezza.
Altri problemi dell’assicurazione cyber sono legati alla mancanza di modelli affidabili per i rischi informatici dovuti alla natura di questi rischi. Innanzitutto, la sicurezza informatica è interdipendente e molti rischi informatici sono spesso correlati. Il mondo cibernetico è molto dinamico e i sistemi cambiano rapidamente (ad esempio, vedi la rapida espansione di Cloud, IoT o servizi mobili) e gli aggressori si adattano rapidamente alla nuova realtà (e.g., ransomware e cryptomining).
Le perdite di eventi informatici variano molto e sono spesso intangibili (ad esempio, le perdite di reputazione), il che rende difficile la stima delle perdite. Infine, ma non meno importante, c’è una grande asimmetria informativa tra un assicurato e un assicuratore. L’assicurato ha una migliore conoscenza del proprio sistema, ma non sa come confrontare il suo stato con gli altri. Gli assicuratori hanno una migliore conoscenza delle cifre complessive, mentre hanno una capacità molto limitata di stimare i controlli e le pratiche reali attuate dagli assicurati.
Nonostante il numero di problemi, il mercato delle assicurazioni informatiche si espande. Ciò significa che i professionisti e i ricercatori devono cercare soluzioni migliori per soddisfare la domanda del mercato.
