Come assicurare la Cyber Security e la Privacy

Perché è necessario per aziende e pubblica amministrazione stipulare polizze assicurative, in grado di coprire i danni diretti e indiretti legati alla violazione dei dati personali, da esse trattati e che rappresentano il vero valore aggiunti di una organizzazione aziendale.

Nel corso del corrente anno gli attacchi alla sicurezza dei dati, trattati dalle aziende ed enti pubblici, sono cresciuti in maniera esponenziale al punto di fare assurgere a tale fenomeno un problema di natura mondiale che vede oltre oceano impegnate- da tempo - sia le aziende che il Governo USA.

Partendo dalle parole del Presidente statunitense Trump, per il quale nessun computer è al sicuro, pronunciate sulla scia delle violazioni compiute nel corso del 2016, basti ricordare – senza pretesa di esaustività – i Panama Papers, nell’aprile 2016, con l’accesso al database, (ricchissimo di dati sensibili) dello studio legale Mossack Fonseca di Panama,  le violazioni ai data base di Yahoo!, quelle riguardanti la società di telecomunicazioni inglese Talk Talk, nell’ottobre 2015, con la divulgazione dei dati di 150.000 clienti, ecc., si appalesa sempre più la necessità di un approccio sistemico all’aspetto relativo alla sicurezza informatica.

1) Criticità e futuro delle assicurazioni della Cyber Security

In questa sede si vuole porre all’attenzione del lettore le problematiche connesse all’assicurazione della Cyber Security.

A fronte di una impennata del numero delle aziende sottoposte a questi attacchi, le imprese di assicurazione hanno cominciato ad offrire al mercato polizze ad hoc in un mercato che si appresta a diventare, da qui al 2020, estremamente ricco di domanda di pacchetti assicurativi.

La criticità maggiore che le imprese di assicurazione si trovano ad affrontare nel declinare un pacchetto assicurativo consiste nella mancanza di dati storici in grado di potere loro permettere giudizi prognostici sulla evoluzione che questo fenomeno avrà in futuro e sulle sue dinamiche quali-quantitative.

Da stime riportate sui principali siti specialistici, si ipotizza nei prossimi cinque-sette anni la creazione di un enorme mercato per la Cyber-insurance, che altro non è che un prodotto assicurativo utilizzato per proteggere le imprese e gli utenti individuali dai rischi basati su Internet e, più in generale, dai rischi relativi alle infrastrutture e alle attività dell'informatica.

2) I nuovi pacchetti assicurativi della Cyber Security

Mentre le comuni polizze assicurative non coprono tali rischi, perché avulsi da politiche commerciali tradizionali di responsabilità generale, le compagnie assicurative stanno correndo ai ripari proponendo al mercato pacchetti che mirano ad assicurare un singolo aspetto od offerte più articolate, in grado di garantire – per quanto possibile – una copertura a gran parte dei rischi collegati alla sicurezza informatica e delle informazioni.

Per cui si va dalla copertura contro gli attacchi informatici e gli attacchi di hacking (cd. Hacksurance), alla copertura dalla distruzione o perdita di dati (cd Furto e frode); dai pacchetti che prendono in considerazione le spese legali e tecniche derivanti dalla violazione dei dati (cd Indagine forense), ai servizi assicurativi che coprono i mancati guadagni derivanti dalla interruzione dell’attività, ma anche dal mancato ripristino dell’attività (cd Disaster recovery). Per non parlare dei costi derivanti dal danno di immagine oppure dal danneggiamento del software e/o dell’hardware.

3) Perché le P.A. dovrebbero stipulare le polizze Cyber risk?

Si tratta a questo punto, di comprendere a cosa può servire, ad una azienda o ad una Pubblica amministrazione, stipulare un contratto assicurativo per coprire i danni derivanti dalla violazione dei dati.

Va da se che la polizza, di qualunque tipo sia quella stipulata o che si va a stipulare, non ha lo scopo di evitare il prodursi del danno (tale compito spetta alle policy aziendali in materia di sicurezza informatica e telematica) ma quello di trasferire il rischio in questione dalla azienda/pubblica amministrazione alla compagnia assicurativa.

In Italia, particolare rilevanza ha assunto nel 2015 la questione della cybersecurity: sono quasi raddoppiate le comunicazioni di violazioni di banche dati (i cosiddetti data breach) pervenute all'Autorità nel solo settore dei servizi di comunicazione elettronica. E sempre in materia di data breach, anticipando il nuovo Regolamento europeo, il Garante ha adottato un provvedimento che impone alle PA di comunicare le violazioni o gli incidenti informatici subiti.

Il Garante ha, inoltre, prescritto misure per l'innalzamento dei livelli di protezione dei dati nei nodi di interscambio dei dati Internet (Ixp).

Con la piena entrata in vigore del Regolamento n. 679/2016 UE (Regolamento generale sulla protezione dei dati – GDPR, General data Protection Regulation) che diventerà definitivamente applicabile – anche per quanto attiene all’apparato sanzionatorio in esso presente – dal 24 maggio 2018, ed alla luce delle sanzioni previste al verificarsi di ipotesi riconducibili alla violazione dei dati (cd. data breach) si rende necessario, per le aziende ed enti pubblici, intervenire tempestivamente su detti argomenti provvedendo alla stipula di appositi pacchetti assicurativi.

4) La personalizzazione dei pacchetti assicuratori della Cyber Security

Partendo dalla premessa che, il pacchetto di Cyber insurance non deve essere acquistato in maniera acritica, ma che deve essere personalizzato il più possibile, alla luce di una corretta valutazione del rischio aziendale da estrapolarsi alla luce di una attenta analisi dei rischi, si ritiene che la stipula di un pacchetto di Cyber insurance dovrebbe essere preceduta da una valutazione sistemica a livello aziendale, tale da coinvolgere necessariamente una serie di funzioni aziendali che vanno dal Risk manager, al Data Protection Officer, al Responsabile legale ed assicurativo, ecc. Tali funzioni, sinergicamente, dovranno: identificare gli asset aziendali ritenuti critici, valutare la possibilità che i rischi cyber possano verificarsi, stabilire – in base al calcolo di probabilità – se necessario intervenire attraverso una copertura assicurativa, predisporre una policy aziendale declinata sugli aspetti legati alla sicurezza nel trattamento dei dati personali.