Dal GDPR atteso il decollo delle polizze sul cyber risk
14.5.2018
Tempo di lettura: '
In Europa, il mercato delle assicurazioni cyber è ancora acerbo rispetto a quello americano. Negli Usa considerabili differenze normative, come l'obbligo di notifica pubblica delle intrusioni sulla privacy, hanno spinto le aziende ad adottare adeguate misure di cyber security
L'entrata in vigore del Gdpr in Europa le aziende potrebbe favorire lo sviluppo del mercato delle assicurazioni cyber
Tra le novità del regolamento, la comunicazione obbligatoria delle violazioni sui dati personali per effetto di attacchi informatici
Accadrà come negli Usa? Il mercato statunitense delle polizze Cyber è decollato agli inizi del nuovo secolo quando i singoli stati della confederazione hanno iniziato ad approvare regolamentazioni che imponevano alle aziende di dare pubblicità agli attacchi informatici di cui erano vittime. E le imprese preoccupate per la loro reputazione e possibile cause per danni, hanno preso ad assicurarsi. Nel 2016 i premi affluiti al mercato assicurativo Usa per coprire simili rischi – attesta un recente report dell'Insurance Information Institute - sono ammontati a 1,34 miliardi di dollari. Accadrà lo stesso anche in Europa dove un‘analoga regola di pubblicità entrerà in vigore a partire dal 25 maggio prossimo con il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR, General Data Protection Regulation)?
La logica “occhio non vede, cuore non duole” non può durare a lungo, neppure nel vecchio continente. In un mondo sempre più interconnesso e digitalizzato, e per questo sempre più vulnerabile a furti di dati, con potenziali conseguenze catastrofiche, le aziende devono prendere le giuste precauzioni. La sicurezza informatica dovrà assumere un ruolo centrale così come sarà di fondamentale importanza il ruolo degli assicuratori.
Il Global Risks Report 2018, rapporto annuale sui rischi globali del World Economic Forum (WEF), identifica gli attacchi informatici come il rischio globale percepito con maggiore preoccu- pazione per i dirigenti d'azienda nelle economie avanzate. Il pericolo informatico, se paragonato alle catastrofi naturali in termini di potenziale entità dei danni, ha una magnitudo ancora maggiore. I dati del report suggeriscono infatti che l'arresto di un solo cloud provider potrebbe causare danni economici compresi tra 50 e 120 miliardi di dollari: una perdita a metà tra quella causata dall'uragano Sandy e dell'Uragano Katrina. Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali, conosciuto sotto il nome di Gdpr, cambierà le regole del gioco in termini di privacy e sicurezza dei dati. Una rivoluzione che sostituirà l'attuale Codice Privacy in vigore in Italia. C'è da dire che in Europa, il mercato delle assicurazioni cyber è ancora acerbo rispetto a quello americano. Negli Stati Uniti considerabili differenze normative, come l'obbligo di notifica pubblica delle intrusioni sulla privacy (messo in atto in un numero crescente di stati USA a partire dal 2002) hanno spinto le aziende ad adottare adeguate misure di cyber security ed una altrettanto adeguata copertura assicurativa.
Sull'esempio americano una delle importanti novità introdotte dal Gdpr, riguarda infatti la comunicazione obbligatoria delle violazioni sui dati personali per effetto di attacchi informatici: il cosiddetto “data breach”. Per violazione dei dati si intende “qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.”
La normativa prevede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.”. Qualora la violazione presentasse un “rischio elevato per i diritti e le libertà della persona fisica”, è dovere del titolare del trattamento informare l'interessato senza indebito ritardo al fine di consentirgli di prendere le precauzioni necessarie. In alcuni casi invece si rende necessaria una comunicazione pubblica.
Il timore della “pubblicità” dei dati potrebbe spingere le azien- de, come è accaduto in America, a correre ai ripari rivolgendosi agli assicuratori. Da un'indagine conoscitiva lanciata a ottobre 2017 da Ania (Associazione nazionale fra le imprese assicuratrici) per approfondire la conoscenza sulla percezione del rischio Cyber dal punto di vista degli assicuratori, emergono alcuni dati interessanti. Al campione intervistato (18 imprese del ramo danni, rappresentative di circa il 34% dei premi del settore, e due imprese di riassicurazione) è stato chiesto di esprimere un'opinione sull'impatto del Gdpr. La ricerca mostra come per quasi la totalità degli assicuratori intervistati l'introduzione della nuova normativa porterà ad un'ulteriore crescita nel mercato delle polizze Cyber sia dal lato della domanda che dell'offerta.
La cruciale importanza della normativa per lo sviluppo del mercato assicurativo cibernetico è condivisa da Michaela Koller, direttore generale di Insurance Europe, la federazione europea degli assicuratori e riassicuratori, secondo cui le due normative UE recentemente adottate , Gdpr e Nis (Directive on security of network and information systems ) genereranno una grande quantità di nuovi dati relativi agli incidenti informatici. Per la Koller, se queste informazioni fossero rese accessibili agli assicuratori in forma anonima potrebbero “migliorare significativamente la loro capacità di contribuire alla lotta contro i cyber-rischi”. In aggiunta alla mancata disponibilità di dati sugli incidenti informatici per le assicurazioni Insurance Europe indentifica alla base del limitato sviluppo di un mercato assicurativo cibernetico in Europa la scarsa consapevolezza (delle aziende e dei singoli) dell'importanza della sicurezza informatica. Per ovviare al bisogno di sensibilizzare l'opinione pubblica su questo tipo di rischi, le assicurazioni si stanno già mobilitando attraverso la divulgazione di materiale informa- tivo come ad esempio brochure con suggerimenti e informazioni su come poter anticipare e minimizzare l'impatto dei rischi informatici.
Anche per l'Aiba (Associazione italiana dei broker) il punto di svolta in merito alla sensibilità sul tema della sicurezza dei dati si avrà con l'applicazione del GDPR. Una ricerca dell'associazione mostra una fotografia del mercato assicurativo cyber italiano ancora in fase embrionale. Due dati in particolare saltano all'occhio. Di fronte ai danni subiti per attacchi cibernetici (stimati dall'Aiba in ben 10 miliardi di euro) l'ammontare dei premi pagati dalle aziende per le polizze cyber è stato nel 2017 di appena 20 milioni di euro.
Di fronte ad una simile discrepanza sorge spontaneo chiedersi perché siano ancora poche le imprese che sottoscrivono una polizza. Forse risulta difficile, da parte delle aziende, stimare i costi di un rischio imprevedibile e in costante evoluzione; forse invece dal lato dell'offerta vi sono, a causa di una medesima scarsa conoscenza del problema, frequenti esclusioni di garanzia e limiti ai massimali che rendono poco attraenti le coperture Una cosa è certa, il Gdpr sarà il campanello d'allarme che spingerà le aziende non ancora in grado di operare una corretta valutazione del rischio, ad adottare concrete strategie di cyber security.
La logica “occhio non vede, cuore non duole” non può durare a lungo, neppure nel vecchio continente. In un mondo sempre più interconnesso e digitalizzato, e per questo sempre più vulnerabile a furti di dati, con potenziali conseguenze catastrofiche, le aziende devono prendere le giuste precauzioni. La sicurezza informatica dovrà assumere un ruolo centrale così come sarà di fondamentale importanza il ruolo degli assicuratori.
Il Global Risks Report 2018, rapporto annuale sui rischi globali del World Economic Forum (WEF), identifica gli attacchi informatici come il rischio globale percepito con maggiore preoccu- pazione per i dirigenti d'azienda nelle economie avanzate. Il pericolo informatico, se paragonato alle catastrofi naturali in termini di potenziale entità dei danni, ha una magnitudo ancora maggiore. I dati del report suggeriscono infatti che l'arresto di un solo cloud provider potrebbe causare danni economici compresi tra 50 e 120 miliardi di dollari: una perdita a metà tra quella causata dall'uragano Sandy e dell'Uragano Katrina. Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali, conosciuto sotto il nome di Gdpr, cambierà le regole del gioco in termini di privacy e sicurezza dei dati. Una rivoluzione che sostituirà l'attuale Codice Privacy in vigore in Italia. C'è da dire che in Europa, il mercato delle assicurazioni cyber è ancora acerbo rispetto a quello americano. Negli Stati Uniti considerabili differenze normative, come l'obbligo di notifica pubblica delle intrusioni sulla privacy (messo in atto in un numero crescente di stati USA a partire dal 2002) hanno spinto le aziende ad adottare adeguate misure di cyber security ed una altrettanto adeguata copertura assicurativa.
Sull'esempio americano una delle importanti novità introdotte dal Gdpr, riguarda infatti la comunicazione obbligatoria delle violazioni sui dati personali per effetto di attacchi informatici: il cosiddetto “data breach”. Per violazione dei dati si intende “qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.”
La normativa prevede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.”. Qualora la violazione presentasse un “rischio elevato per i diritti e le libertà della persona fisica”, è dovere del titolare del trattamento informare l'interessato senza indebito ritardo al fine di consentirgli di prendere le precauzioni necessarie. In alcuni casi invece si rende necessaria una comunicazione pubblica.
Il timore della “pubblicità” dei dati potrebbe spingere le azien- de, come è accaduto in America, a correre ai ripari rivolgendosi agli assicuratori. Da un'indagine conoscitiva lanciata a ottobre 2017 da Ania (Associazione nazionale fra le imprese assicuratrici) per approfondire la conoscenza sulla percezione del rischio Cyber dal punto di vista degli assicuratori, emergono alcuni dati interessanti. Al campione intervistato (18 imprese del ramo danni, rappresentative di circa il 34% dei premi del settore, e due imprese di riassicurazione) è stato chiesto di esprimere un'opinione sull'impatto del Gdpr. La ricerca mostra come per quasi la totalità degli assicuratori intervistati l'introduzione della nuova normativa porterà ad un'ulteriore crescita nel mercato delle polizze Cyber sia dal lato della domanda che dell'offerta.
La cruciale importanza della normativa per lo sviluppo del mercato assicurativo cibernetico è condivisa da Michaela Koller, direttore generale di Insurance Europe, la federazione europea degli assicuratori e riassicuratori, secondo cui le due normative UE recentemente adottate , Gdpr e Nis (Directive on security of network and information systems ) genereranno una grande quantità di nuovi dati relativi agli incidenti informatici. Per la Koller, se queste informazioni fossero rese accessibili agli assicuratori in forma anonima potrebbero “migliorare significativamente la loro capacità di contribuire alla lotta contro i cyber-rischi”. In aggiunta alla mancata disponibilità di dati sugli incidenti informatici per le assicurazioni Insurance Europe indentifica alla base del limitato sviluppo di un mercato assicurativo cibernetico in Europa la scarsa consapevolezza (delle aziende e dei singoli) dell'importanza della sicurezza informatica. Per ovviare al bisogno di sensibilizzare l'opinione pubblica su questo tipo di rischi, le assicurazioni si stanno già mobilitando attraverso la divulgazione di materiale informa- tivo come ad esempio brochure con suggerimenti e informazioni su come poter anticipare e minimizzare l'impatto dei rischi informatici.
Anche per l'Aiba (Associazione italiana dei broker) il punto di svolta in merito alla sensibilità sul tema della sicurezza dei dati si avrà con l'applicazione del GDPR. Una ricerca dell'associazione mostra una fotografia del mercato assicurativo cyber italiano ancora in fase embrionale. Due dati in particolare saltano all'occhio. Di fronte ai danni subiti per attacchi cibernetici (stimati dall'Aiba in ben 10 miliardi di euro) l'ammontare dei premi pagati dalle aziende per le polizze cyber è stato nel 2017 di appena 20 milioni di euro.
Di fronte ad una simile discrepanza sorge spontaneo chiedersi perché siano ancora poche le imprese che sottoscrivono una polizza. Forse risulta difficile, da parte delle aziende, stimare i costi di un rischio imprevedibile e in costante evoluzione; forse invece dal lato dell'offerta vi sono, a causa di una medesima scarsa conoscenza del problema, frequenti esclusioni di garanzia e limiti ai massimali che rendono poco attraenti le coperture Una cosa è certa, il Gdpr sarà il campanello d'allarme che spingerà le aziende non ancora in grado di operare una corretta valutazione del rischio, ad adottare concrete strategie di cyber security.
Sei sicuro di gestire al meglio il tuo patrimonio?
300 esperti per una prima consulenza gratuita
