Se l'antivirus fa "cilecca"... c'è la "cyber-assicurazione"

Se l'antivirus fa "cilecca"... c'è la "cyber-assicurazione"

Giugno 01, 2018 - 15:53
Posted in:

In occasione del convegno “Cloud, big data e cyber security” organizzato dalla Camera di commercio, dell'industria, dell'artigianato e dei servizi del Cantone Ticino (Cc-Ti) abbiamo intervistato Andrea Genini, Responsabile assicurazioni tecniche regione Ticino di Helvetia Assicurazioni.
Negli ultimi anni, parallelamente alla grande crescita degli attacchi informatici che si riscontra a livello globale, anche le assicurazioni hanno iniziato a occuparsi del tema della sicurezza informatica.
 

Andrea Genini, da quanto il settore assicurativo è attivo nel settore della sicurezza informatica, con polizze volte a coprire il danno causato da attacchi di questo tipo?
Il mercato delle assicurazioni in ambito di cyber-sicurezza è debuttato circa 10-15 anni fa negli Stati Uniti ed è arrivato quasi parallelamente sul mercato di Londra. Negli ultimi anni è giunto anche in Svizzera, dove si è sviluppato, tanto che tutte le principali assicurazioni oggi prevedono polizze di questo tipo. Risponde a un bisogno sorto in questi anni. Si pensi ad esempio alla nuova normativa sui dati europea (GDPR) appena  entrata in vigore o alla nuova Legge svizzera sulla protezione dei dati, che sanciscono dei nuovi doveri per chi gestisce dei dati personali.
Il danno potenziale causato da un attacco cyber non riguarda solo il ripristino del sistema informatico. Quando parliamo di questi rischi dobbiamo staccarci dalla vecchia mentalità che crede che con un apporto tecnico efficiente si possano evitare danni. Vi sono altri rischi. Che impatto ha una fuga di dati sulla reputazione, che per un’azienda è una risorsa fondamentale? Cosa succede se una fuga di dati danneggia dei clienti e questi vogliono rifarsi su un’azienda? Dobbiamo allargare la visione anche a queste eventualità.

Che tipo di cliente si affida a una tutela assicurativa per i rischi cyber? È un’offerta rivolta alle aziende o anche ai privati?
Ci sono entrambi, anche se i prodotti sono differenti. I rischi in cui incorrono i privati sono differenti da quelli delle aziende.
Abbiamo tutti i tipi di clienti, ma la componente rappresentata dalle piccole e medie imprese predominante. Nello sviluppo del prodotto abbiamo dunque prestato un occhio di riguardo a queste realtà. La nostra premura è stata quella di assicurare un premio assicurativo totalmente sostenibile, che può essere “scalato” in base alle necessità: si va dalla persona con un singolo punto di raccolta dati, fino a realtà come ospedali, cliniche e università, che devono tutelare un’enorme quantità di dati.

Quali passi deve compiere l'assicurato perché possa accede a queste polizze? Vi sono delle misure di sicurezza informatica che devono essere preventivamente intraprese dal cliente?
Per quanto riguarda Helvetia Assicurazioni credo sia stata una delle più coraggiose ad elencare una serie di obblighi a livello di misure di sicurezza, sia tecniche che organizzative, in modo da sensibilizzare il cliente su quanto chiediamo a lui.
Abbiamo avuto particolare attenzione a selezionare queste misure in modo che siano sostenibili. Non parliamo di investimenti ingenti nella sicurezza, ma piuttosto puntiamo a promuovere un cambiamento di mentalità e di paradigma presso i nostri clienti. Molto spesso si tratta semplicemente di attivare delle funzioni già presenti nei sistemi. Noi come assicuratori siamo molto attivi nei consessi a livello nazionale e internazionale che si occupano di sicurezza.

Avviene un accertamento se il cliente, in caso di danno, abbia adempiuto o meno alle misure che richiedete?
In passato prima di accettare un rischio chiedevamo di compilare dei questionari in cui si esponeva una serie di parametri della propria struttura. Oggi abbiamo cambiato approccio, questo sistema non funziona più. Possiamo chiedere al cliente di darci una “fotografia” del suo sistema e valutarla, ma l'evoluzione è così rapida che nell’arco di 6 mesi è obsoleta. Quello che facciamo è invece palesare, nell'ambito del nostro dovere di informare il cliente, gli obblighi a cui deve adempiere. Se dovesse avvenire un danno e noi ci accorgiamo che questo è dovuto ad una mancata osservazione di un nostro obbligo, potremmo decurtare la prestazione. Ciò che noi chiediamo al cliente sono degli interventi di base, come cambiare regolarmente la password, installare dei firewall, misure di cui addirittura un privato può dotarsi.

Quello delle assicurazioni è anche un settore che in passato non è stato esente da truffe (o tentativi di truffa). Quanto potrebbe essere un problema scoprire dei tentativi di truffa, in un settore così “immateriale” ?
Chiaramente nell'ambito informatico l'accertamento di un danno diventa molto più complesso. Tanto è vero che tutti gli assicuratori hanno dovuto creare delle cooperazioni con degli specialisti.
Va valutato caso per caso. Se un danno è una “bagattella” per noi assicuratori conviene liquidarlo d'ufficio, senza attivare delle procedure di verifica.
Per danni di una certa entità invece attiviamo i nostri specialisti. L'onere della prova di un danno è a carico del cliente. C'è sempre però, non solo nelle assicurazioni cyber, c’è un margine imponderabile.

Nel settore delle automobile alcune assicurazioni hanno lanciato la proposta della scatola nera che aiuta ad accertare la responsabilità di un incidente (in cambio di una riduzione del premio). Anche nel campo cyber è possibile ipotizzare qualcosa di simile? Un controllo del computer in cambio di un risparmio?
Cooperando con degli specialisti abbiamo improntato un'approccio di questo tipo per i nostri clienti. Abbiamo il nostro partner in Ticino che è il Gruppo Sicurezza, e anche nell'ottica di aiutare i nostri clienti a migliorare, concediamo ai nostri clienti degli sconti sulle nostre polizze. Un cliente che accetta di fare un assessment presso il nostro partner e poi acquista un pacchetto per poter mantenere il livello di sicurezza costante nel tempo, beneficia sulla polizza assicurativa di sconti molto importanti.