I premi richiesti per un’assicurazione contro il cyber risk sono cresciuti del 10-30% e le compagnie sono diventate più attente nell’accertare le protezioni informatiche dei propri clienti
Nel 2021 sono stati condotti attacchi ransomware clamorosi, incluso quello inflitto agli oleodotti americani di Colonial Pipeline e l’ultimo colpo del gruppo REvil, che avrebbe coinvolto almeno 800 aziende
Già a fine 2020 i premi assicurativi richiesti ad almeno metà delle imprese sono lievitati fra il 10 e il 30%, secondo un sondaggio citato dal Government Accountability Office statunitense riportato dal Washington Post. Nei casi più eclatanti, il prezzo di queste polizze sarebbe aumentato del 50%, secondo il fondatore della insurtech Coalition, Joshua Motta. Ancora prima dei grossi attacchi avvenuti quest’anno, infatti, le estorsioni informatiche stavano già dilagando. I riscatti versati ai criminali informatici nel 2020, aveva calcolato la società di ricerca Chainanalysis, sono aumentati del 341% a quota 412 milioni di dollari.
Ransomware: le imprese assicurate sono il bersaglio preferito
Le compagnie assicurative hanno tutti i motivi per stringere le maglie: esse stesse sono diventate i bersagli dichiarati di alcuni fra i maggiori gruppi di criminali informatici. Lo scorso marzo un componente anonimo del gruppo REvil, responsabile del più recente attacco e di molti altri, aveva dichiarato che colpire le aziende assicurate “è uno dei bocconi più gustosi”. In un’intervista rilasciata all’analista Dmitry Smilyanets, della società di cybersicurezza Recorded Future, la fonte aveva aggiunto che la strategia consiste nell’hackerare “prima l’assicuratore, per ottenere la sua base di clientela e lavorare in modo mirato a partire da essa”.
DarkSide, l’organizzazione ritenuta responsabile dell’attacco agli oleodotti Colonial Pipeline, prima di criptare i sistemi nei quali si infiltra, andrebbe alla ricerca delle informazioni sulla copertura assicurativa del bersaglio per poi adeguare ad essa l’entità del riscatto.
Le motivazioni alla base di questa condotta sono sia etiche sia funzionali. In ultima istanza, estorcere soldi alle assicurazioni è ritenuto più rispettabile. Allo stesso tempo, l’impresa avrà meno reticenze nel pagare il riscatto richiesto, se è assicurata.
Il ruolo delle polizze nel loop delle estorsioni
Le stesse compagnie assicurative trovano, nella gran parte dei casi, più conveniente pagare la somma del riscatto ottenuto dai criminali, piuttosto che il risarcimento dei danni conseguenti al ripristino di una rete informatica compromessa.
Questo atteggiamento da parte delle assicurazioni ha attirato notevoli critiche, perché incoraggerebbe i gruppi criminali ad espandere le proprie attività, come effettivamente sta avvenendo. Finora, solo il ramo francese della compagnia AXA si è mosso in aperta controtendenza, annunciando che i riscatti richiesti in Francia non saranno più coperti dalle polizze sul cyber risk. Tale decisione resterà valida “finché le autorità francesi non avranno chiarito la propria posizione in merito al fatto che sia permesso o meno, per le assicurazioni, pagare i riscatti”, ha dichiarato AXA France, che però resta pronta a risarcire i danni correlati agli attacchi informatici.
Finché non sarà riempito questo vuoto normativo, non solo in Francia ma ovunque, la responsabilità di spezzare il circolo vizioso delle estorsioni ransomware ricadrà sulle scelte delle singole compagnie assicurative.