Quello cyber è un rischio sottovalutato dalle aziende

«La tecnologia è un supporto ma può diventare un elemento di perturbazione» ha affermato Ivana Benedetti, Responsabile Area Assicurativa del Centro Studi Villa Negroni, aprendo la XIIa. edizione del Forum Annuale 2022, dedicato a cyber-rischi e cyber-attacchi, promosso dall’Associazione svizzera d’assicurazioni (ASA). Sfide e approcci al tema sono complessi, ha indicato Benedetti: esso costituisce un nuovo segmento di business per le compagnie, ma mostra criticità nell’applicare le metodologie tradizionali del settore. I rischi crescono e gli attacchi si moltiplicano, come indicano i dati forniti da Gabor Jaimes, specialista dell’ASA.

I premi pagati dalle aziende per queste coperture erano pari a 9 miliardi di dollari nel 2021 e raggiungeranno i 22 miliardi nel 2025, con lo sviluppo della digitalizzazione e la crescita delle minacce.

La spesa globale per la cybersicurezza è per il 2022 di circa 300 miliardi di dollari, ma i danni per il solo 2021 possono essere calcolati in un range fra i mille e i seimila miliardi di dollari, e sono in aumento progressivo. Quelli assicurati dalle aziende sono solo di 10 miliardi di dollari, per cui la parte preponderante non è coperta e le conseguenze gravano sui soggetti collegati e sulla collettività. Tutto ciò tenuto conto che ai danni diretti vanno sommati quelli collaterali, il blocco delle attività aziendali, i costi di ripristino, i danni di immagine ed altri ancora.

Secondo Jaimes è necessario «operare in modo massiccio sulla prevenzione, sull’innovazione tecnica continua e le misure organizzative, comunicando di più, coordinando gli sforzi e accrescendo la consapevolezza dei rischi» da parte di tutti, inclusi politici, amministratori, scuole, enti locali…. Purtroppo le statistiche non aiutano, c’è molta riservatezza da parte delle entità colpite, i dati sono eterogenei e soprattutto le minacce mutano continuamente, per cui creare «modelli di rischio» utili in altri rami è arduo, e anche le possibilità di riassicurazione da parte delle compagnie sono limitate. In caso di attacco diffuso e di «rischio sistemico», l’intero meccanismo potrebbe saltare.

Jaimes ha sottolineato due punti cruciali: da un lato molti soggetti sono poco strutturati contro i rischi in termini di prevenzione, incluse PMI, enti locali e perfino ospedali. Inoltre, è fondamentale che compagnia e cliente definiscano in modo chiaro il perimetro delle coperture e le clausole di esclusione, che di norma si applicano a infrastrutture ritenute «critiche» e a situazioni di guerra. Quanto a qualità dei mezzi e delle procedure di prevenzione, si va verso la creazione di un «label» un certificato di sicurezza che consentirebbe di beneficiare di riduzioni dei premi, destinati comunque ormai a raddoppiare ogni 2-3 anni.

Se gli ospedali sono strutture «critiche» in termini di prevenzione, cosa accade quando le strutture sanitarie vengono attaccate ? Ne ha parlato Francesca Bosco, Senior Advisor dell’ONG Cyber Peace Institute. Tema delicato, in quanto sono in gioco non solo aspetti tecnici ma la salute e la vita delle persone. Oggi, ha detto la Bosco, «perfino le cartelle cliniche sono vendute (a 2 mila dollari l’una), ad aziende per spionaggio industriale o per furti di identità attraverso il dark-web. I criminali non puntano più soltanto sul denaro del riscatto, ma sulla nuova ricchezza rappresentata dai dati personali». Talvolta le strategie contro le istituzioni sanitarie sono più sofisticate e puntano a disinformare e a minare la fiducia del pubblico, destabilizzando segmenti della società. Ad agire sono Stati nei confronti di altri Stati, oppure, in situazioni più complesse da inquadrare, entità private sponsorizzate da un Governo straniero.

Il mondo cyber è campo di battaglia in senso economico ma anche geopolitico e militare, e qui il rapporto con le compagnie di assicurazione si fa ancora più complesso, come ha illustrato Mauro Vignati, consulente per le tecnologie digitali di guerra del Comitato internazionale della Croce Rossa (CICR), nonché docente universitario.

Le operazioni belliche trasferiscono il tema dalla sfera privata a quella pubblica. La clausola di esclusione in caso di conflitti armati non è ben definita. Cosa fare in caso di danni collaterali ed indiretti ? E se ad azioni armate partecipano civili ed altre entità non riferibili ad un Governo ? I problemi di attribuzione dell’attacco sono complessi, come la valutazione delle motivazioni, politiche od economiche, e ciò porta alla nascita di una nuova figura: lo specialista di cyber-intelligence chiamato a dipanare queste complesse situazioni nel rapporto con le compagnie di assicurazione.

Se lo scenario bellico è complesso, quello finanziario non è da meno, come indica la tempesta che si è abbattuta su Bitcoin & C. Decine di miliardi di dollari di perdite in pochi anni, senza alcuna copertura assicurativa. In assenza di regolamentazioni, come si comporterà il mondo finanziario ed assicurativo? Al momento mancano risposte.