I rischi informatici sono aumentati costantemente negli ultimi anni, così come i premi assicurativi raccolti per proteggersi dagli hacker. Tuttavia, il 90% dei danni provocati dai cyber attacchi nel mondo, ossia 850 miliardi di dollari sui 945 totali, restano scoperti da assicurazione – ed è un divario che le stesse compagnie non riuscierebbero a colmare. Mancano informazioni e stime dei danni potenziali che permettano di offrire coperture adeguate, con il risultato che molti rischi restano scoperti anche per le imprese che un’assicurazione cyber ce l’hanno.
E’ quanto si apprende da un nuovo rapporto realizzato dal colosso della riassicurazione Swiss Re intitolato “Cyber insurance: strengthening resilience for the digital transformation”.
Le minacce cyber in cifre
Le cifre del crimine informatico sono impressionanti: nel 2020, la società di sicurezza informatica McAfee ha stimato i danni cyber globali a 945 miliardi, due terzi dei quali relativi al furto di proprietà intellettuali (come i brevetti) e crimini finanziari. La stima del gap assicurativo al 90%, citata in apertura, proviene da un rapporto della Geneva Association, “Understanding and Addressing Global Insurance Protection Gaps, The Geneva Association” dell’aprile 2018.
Negli Stati Uniti il costo medio di ciascun incidente informatico è salito a 100mila dollari, qudruplicando rispetto al 2016. La minaccia informatica più dannosa è quella dei ransomware, attacchi che prevedono il blocco dei sistemi IT minacciandone una compromissione irreversibile a meno che non venga pagato un riscatto ai criminali. In media, ciascun attacco di questo tipo è costato, negli Usa, 750mila dollari e, fra 2020 e 2021 tale impatto è raddoppiato, secondo i dati NetDiligence. Il settore dei servizi finanziari ha scalato le posizioni nella lista dei bersagli preferiti, salendo al secondo posto, dopo gli ospedali (negli Usa il 15% circa degli attacchi ha colpito banche e altre società finanziarie).
Secondo Swiss Re, i premi assicurativi raccolti dalle polizze contro i rischi informatici hanno raggiunto i 10 miliardi di dollari nel 2021, il doppio rispetto ai livelli di fine 2018. La società prevede una crescita costante di questo settore, che potrebbe salire a un giro d’affari da 23 miliardi entro il 2025, “ma anche in questo caso il mercato rimane piccolo rispetto a un rischio in rapida evoluzione”.
Infatti, ha dichiarato John Coletti, head cyber insurance di Swiss Re, “abbiamo un’eredità di protocolli di sicurezza e sistemi informatici obsoleti, e i quadri normativi si stanno solo lentamente allineando alle realtà tecnologiche; questo ritardo nella difesa informatica apre la porta ad attori malintenzionati che cercano di sfruttare le vulnerabilità digitali per ottenere vantaggi finanziari, di reputazione o geopolitici”.
Secondo uno studio realizzato quest’anno da Blackberry, solo il 55% delle aziende intervistate ha un’assicurazione cyber e meno di un quinto ha limiti di copertura contro attacchi ransomware superiori ai 600.000 dollari – anche se le perdite mediane di questi attacchi è pari a tale livello.
Come avevamo già approfondito lo scorso anno, il grande incremento dei rischi ransomware ha fatto lievitare i costi per assicurarsi. Secondo il rapporto, nel 2021 alcuni intermediari hanno aumentato i prezzi a tripla cifra (ossia sono più che raddoppiati).
Con danni potenziali in crescita costante, inoltre, “i fornitori di assicurazioni sono diventati più selettivi nella sottoscrizione grazie a una migliore selezione dei rischi, a limiti più bassi, alla coassicurazione e a termini di polizza più rigidi”, ha affermato Swiss Re. Infatti, per le assicurazioni è difficile quantificare i rischi cyber sulla sola base dell’esperienza del passato, come avviene nella normale gestione delle compagnie. Risultato: si riducono i rischi assicurabili, lasciando le imprese in balia del problema. “Man mano che gli assicuratori riducono le dimensioni del portafoglio e le esposizioni, la crescita del mercato potrebbe trovarsi di fronte a un tetto massimo”, oltre il quale non sarebbe più possibile coprirsi da ulteriori rischi. “Ciò potrebbe rendere l’economia più esposta alle minacce informatiche e incidere sulla resilienza della società”.
Da parte loro, le assicurazioni avranno sempre più bisogno di figure specifiche per stimare i rischi potenziali derivanti dai cyber attacchi. In alcuni casi di guerra informatica fra attori statali le conseguenze possono raggiungere proporzioni “catastrofiche” che richiederebbero, per colmare il protection gap, anche l’intervento pubblico. “Sono necessari e possibili nuovi tipi di meccanismi di condivisione del rischio pubblico-privato” si legge nelle conlcusioni del report, “la collaborazione tra settore pubblico e privato è fondamentale per mitigare le minacce informatiche alle infrastrutture critiche. Uno schema assicurativo di partenariato pubblico-privato, in cui la copertura dei rischi sistemici è suddivisa tra gli assicuratori e un fondo sostenuto dal governo, è un’opzione per affrontare parte del divario nella protezione”