L’aumento degli attacchi cyber ha spinto le assicurazioni ad offrire prodotti per una tutela preventiva e coperture ad hoc per i costi conseguenti alle violazioni informatiche

Nel corso del Convegno AssoSoftware dal titolo «Adempimenti fiscali 2024 – Le novità per lo sviluppo del software» che si è tenuto a Milano nei giorni 28 e 29 febbraio, sono stati trattati anche i seguenti temi: «Cyber risk e Responsabilità civile professionale: le coperture essenziali per un futuro sicuro» e «Le coperture assicurative per i produttori di software».

Argomenti che hanno suscitato un notevole interesse, anche in virtù del notevole incremento degli attacchi informatici subiti dalle aziende e dagli studi di tutto il mondo nell’ultimo anno. Attacchi, peraltro, avvenuti con frequenza e in misura assai maggiore in Italia, probabilmente per effetto della bassa alfabetizzazione informatica del nostro Paese.

Gli obiettivi del cybercrime sono sostanzialmente di due tipi:

  • economico (sottrazione di denaro oppure di informazioni e segreti aziendali mediante atti di estorsione, sabotaggio, frode o spionaggio);
  • politico (compimento di atti dimostrativi o di condizionamento, ad esempio, di libere elezioni).

Le tecniche utilizzate dagli hacker per compiere atti di cybercrime sono in continua evoluzione. Vengono utilizzati virus, malware, defacement (illecita modifica di una pagina web volta a variare o catturare informazioni), phishing (e-mail contraffatte), attacchi DDoS (si ottiene il blocco dei sistemi, inondandoli di richieste).

A causa della crescita degli attacchi, il rischio cyber è divenuto una delle aree di maggior attenzione nell’ambito del Risk management aziendale, tenuto anche conto delle sempre più stringenti disposizioni europee in materia di privacy (Gdpr).

L’offerta delle assicurazioni
Le principali società di assicurazione a livello mondiale stanno quindi predisponendo delle specifiche infrastrutture, anche mediante la creazione di società dedicate, in grado di fornire alle aziende:

  • servizi di valutazione preventiva del livello di protezione informatica;
  • servizi di pronto intervento per il rapido ripristino delle funzionalità informatiche;
  • specifiche protezioni assicurative in relazione alle molteplici tipologie di danno che possono derivare da un attacco informatico.

I servizi di valutazione preventiva permettono, da una parte, di verificare il livello di sicurezza del sistema informatico dell’azienda evidenziandone le vulnerabilità, dall’altra permettono di predisporre una proposta assicurativa personalizzata sulla base dei risultati ottenuti analizzando non solo i dati rilevati sulla vulnerabilità, ma anche le informazioni sull’azienda presenti sul Deep e sul Dark web (ad esempio, disponibilità in vendita di credenziali del cliente, eccetera).

I servizi di pronto intervento sono, invece, fondamentali per garantire il contenimento dei danni e la tempestiva ripresa dell’attività aziendale. Il soccorso può essere richiesto con accesso da remoto o nei casi più complessi anche con interventi presso l’assicurato laddove necessario. I servizi di pronto soccorso sono forniti, a seconda dei casi, da partner specializzati in cyber security o da società specializzate facenti capo alla società di assicurazione stessa.

Per ultime le coperture assicurative, che possono riguardare:

  • i costi di ripristino dei danni al sistema informatico;
  • la responsabilità civile;
  • la protezione per l’assistenza legale.

Per quanto riguarda i costi di ripristino dei danni al sistema informatico, oltre ai costi veri e propri legati ai danni materiali all’hardware e di ripristino della rete, da segnalare anche la possibilità di assicurarsi:

  • dai costi sostenuti per notificare l’evento cyber alle autorità competenti e ai singoli soggetti titolari dei dati compromessi;
  • dai costi sostenuti per compiere le indagini necessarie a stabilire le modalità con cui è stato realizzato l’attacco informatico;
  • dai costi per la “tutela reputazionale”, ossia per contenere i danni derivanti dalla diffusione pubblica di fatti e circostanze relative all’attacco cyber.

Per quanto riguarda la responsabilità civile è possibile assicurarsi, oltre che per i danni sistemi informatici di terzi, anche:

  • per le perdite patrimoniali costituite dagli oneri che possono derivare a terzi per il mancato rispetto degli obblighi di legge a causa dell’attacco cyber (ad esempio sanzioni amministrative, violazioni di marchi registrati o di diritti d’autore, eccetera);
  • per danni non patrimoniali, causati a terzi da illecito trattamento dei dati personali e societari, o derivanti dal reato di diffamazione compresi i costi sostenuti da terzi per servizi di tutela reputazionale.

Per ultimo è possibile attivare la tutela legale per assistenza giudiziale e stragiudiziale conseguenti al verificarsi di un attacco cyber e che abbia dato luogo a vertenze civili, penali e amministrative.