L’assicurazione informatica (o cyber insurance) è un’area in rapido sviluppo che richiama l’attenzione degli assicuratori, dei potenziali assicurati, dei regolatori e dei ricercatori. Internet of Things, cloud e servizi mobili da un lato, e normative come il GDPR dall’altro sono i driver di un mercato che mette al centro la sicurezza digitale. Ma non mancano gli ostacoli alla sua affermazione.
L’assicurazione, un modo ben noto per affrontare i rischi residui, è stata applicata solo di recente al mondo cyber. Sebbene alcune polizze assicurative che coprono specifici rischi informatici possano essere rintracciate negli anni ’70, le prime polizze assicurative separate per proteggersi dagli hacker sono state introdotte nel 1998. Il mercato (negli Stati Uniti) ha visto un significativo aumento dal 2003 quando il California Bill (e, successivamente, leggi simili in altri stati) è entrato in vigore. Una delle caratteristiche principali del disegno di legge era la notifica obbligatoria delle violazioni dei dati. Un altro fattore importante per l’assicurazione cyber ero il numero crescente di eventi cibernetici in generale e di attacchi di grandi dimensioni che colpiscono i titoli (ad es. attacchi su eBay, Amazon.com, CNN.com, ecc., all’inizio del millennio) in particolare.
Nel corso degli anni il numero di assicuratori che offrono polizze di sicurezza informatica è cresciuto in modo significativo e continua ad aumentare man mano che il mercato si espande in altri paesi. Il mercato europeo delle assicurazioni informatiche è molto meno sviluppato rispetto a quello statunitense, ma si prevede che crescerà rapidamente a causa delle recenti normative (come il GDPR). Le polizze di assicurazione cyber sono diventate sempre più sofisticate per essere in linea con la continua evoluzione degli attacchi informatici e della complessità dei sistemi informativi.
I vantaggi delle polizze cyber
Globalmente si prevede che il mercato della cyber insurance crescerà con un tasso di crescita annuale composto (CAGR) del 28% nel periodo 2016-2022.
Oltre alla capacità primaria di trasferire il rischio cibernetico e facilitare l’impatto per le organizzazioni, l’assicurazione in generale e l’assicurazione cibernetica, in particolare, si presume che abbia un ulteriore effetto positivo. Innanzitutto, il vantaggio principale dell’assicurazione è la possibilità di incentivare le organizzazioni ad aumentare gli investimenti nella loro protezione, al fine di ridurre il premio. Inoltre, la richiesta di assicurazione richiede ai gestori del rischio di rivolgersi alla sicurezza informatica e rivedere le politiche e le pratiche tecniche in relazione alle esigenze dell’organizzazione. Tale approccio basato sul rischio (condotto internamente, con l’aiuto di consulenti esterni o dell’assicuratore) aiuta le aziende a migliorare la propria sicurezza informatica.
Inoltre si ritiene che l’assicurazione cyber migliori il benessere sociale aumentando il livello generale di protezione informatica. È importante notare che, dal momento che il mondo cyber è altamente interconnesso, la sicurezza di una società dipende dalla sicurezza degli altri (ad esempio, pensiamo a un’epidemia di virus / worm). Pertanto, migliorando la sicurezza di una parte della società, l’assicurazione cyber influisce positivamente sulla sicurezza dell’altra parte.
In terzo luogo, l’assicurazione cyber (in particolare i premi) può servire come indicatore del livello di protezione. Una delle sfide più grandi nella sicurezza informatica è trovare metriche adeguate per confrontare la qualità della protezione per le aziende. A causa dell’eterogeneità dei sistemi, dei diversi obiettivi strategici e degli asset digitali posseduti, degli effetti non chiari delle contromisure e delle pratiche di sicurezza e della mancanza di dati affidabili per l’analisi, è difficile confrontare la forza del sistema di sicurezza informatica di una azienda con altri e ricevere un chiaro indicatore sulla necessità eventuale di ulteriori investimenti o modifiche della sicurezza informatica.
Infine, ma non meno importante, l’assicurazione cyber può portare a standard nuovi e più avanzati in materia di sicurezza informatica, dal momento che l’aderenza agli standard di sicurezza o il possesso di un certificato possono essere il modo più semplice per un assicuratore di stimare l’esposizione al rischio degli assicurati. Ci si aspetta che gli assicuratori stessi presentino un breve elenco di pratiche essenziali di sicurezza informatica per valutare i potenziali assicurati e decidere quale prodotto assicurativo offrire.
Ostacoli all’affermazione delle polizze cyber
Nonostante l’ampio riconoscimento degli effetti positivi che il mercato assicurativo può apportare al mondo cyber, il suo avanzamento è rallentato a causa di un gran numero di fattori di impedimento.
Molti di questi fattori possono essere attribuiti alla mancanza di esperienza degli assicuratori sul campo, come ad esempio: numero elevato di esclusioni e copertura limitata, linguaggio contrattuale vago, limiti di indennizzo bassi e relazione non chiara con le politiche esistenti (ad es. “silent” cyber). Ma uno dei problemi principali legati alla mancanza di esperienza per gli assicuratori è la mancanza di dati, che impedisce di ideare polizze di assicurazione cyber affidabili e specifiche.
Altri problemi dell’assicurazione cyber sono legati alla mancanza di modelli affidabili per i rischi informatici dovuti alla natura di questi rischi. Innanzitutto, la sicurezza informatica è interdipendente e molti rischi informatici sono spesso correlati. Il mondo cibernetico è molto dinamico e i sistemi cambiano rapidamente (ad esempio, vedi la rapida espansione di Cloud, IoT o servizi mobili) e gli aggressori si adattano rapidamente alla nuova realtà (e.g., ransomware e cryptomining).
Le perdite di eventi informatici variano molto e sono spesso intangibili (ad esempio, le perdite di reputazione), il che rende difficile la stima delle perdite.
Infine, ma non meno importante, c’è una grande asimmetria informativa tra un assicurato e un assicuratore. L’assicurato ha una migliore conoscenza del proprio sistema, ma non sa come confrontare il suo stato con gli altri. Gli assicuratori hanno una migliore conoscenza delle cifre complessive, ma hanno una capacità molto limitata di stimare i controlli e le pratiche reali attuate dagli assicurati.
Nonostante il numero di problemi, il mercato delle assicurazioni informatiche si espande. Ciò significa che i professionisti e i ricercatori devono cercare soluzioni migliori per soddisfare la domanda del mercato.