FONTE: Insurance Daily GIOVEDÌ 26 MAGGIO 2022 N. 2171
Munich Re, nella sua Global cyber risk and insurance survey fa il punto su un rischio sempre più percepito ma spesso non coperto adeguatamente, anche perché non si riescono a cogliere i benefici che possono arrivare dalla sottoscrizione di un’assicurazione.
I rischi informatici pongono sfide sempre più complesse all’economia globale, come mostra chiaramente il costante aumento dell’attenzione su questo fronte, che tuttavia è ancora insufficiente rispetto alla portata del fenomeno. Secondo una stima di Munich Re a inizio 2022 i premi informatici globali ammontano a 9,2 miliardi di dollari e prevede che raggiungeranno circa 22 miliardi di dollari entro il 2025. E proprio il colosso bavarese della riassicurazione ha realizzato una survey a li- vello globale che rivela quanto il divario assicurati- vo è sproporzionatamente elevato.
Secondo Munich Re il 2021 è un buon esempio
di questa mancata corrispondenza. Lo scorso anno si è assistito a numerosi attacchi ransomware che hanno preso di mira anche le supply chain e le infrastrutture critiche. Questi attacchi hanno fatto emergere diverse vulnerabilità e stanno continuando a sensibilizzare sia le persone comuni sia coloro che devono prendere decisioni, sia essi manager di imprese o amministratori pubblici; a questo si aggiunga anche il timore riguardante i possibili attacchi informatici conosciuti come State-sponsored, cioè supportati da alcuni Stati del mondo, come quelli di origine russa di cui abbiamo recentemente avuto esperienza anche in Italia.
Per questo Munich Re ha voluto ampliare il suo Global cyber risk and insurance survey per ottenere una panoramica rappresentativa dello stato dell’arte, realizzando un’indagine basata su interviste a 7.000 rispondenti provenienti di tutti i settori e dimensioni aziendali in 14 Paesi, sui temi della consapevolezza del rischio, dell’esposizione alle minacce per aziende e privati e sul ruolo dell’assicurazione cyber.
MISURE DI PREVENZIONE ANCORA BASSE
Dalla ricerca emerge un aumento delle vulnerabilità della sicurezza e degli attacchi informatici. A livello globale, attacchi come frodi online, ransomware e furti di dati sono aumentati anno dopo anno.
Sebbene la consapevolezza tra i manager intervistati, al di là degli incidenti che essi stessi hanno subito, sia aumentata di quasi il 10%, la percezione delle minacce e le misure ritenute necessarie per affrontarle adeguatamente variano notevolmente da Paese a Paese.
L’83% dei rappresentanti intervistati ha affermato che la propria azienda non è adeguatamente protetta dalle minacce digitali, anche se rispetto all’anno precedente si è registrato un aumento del 21% del numero di aziende che hanno già stipulato un’assicurazione cyber. Attualmente, il 35% dei decisori intervistati considera la polizza come parte essenziale della gestione del rischio.
L’ASSICURAZIONE NON È ANCORA PERCEPITA COME PARTE DELLA SOLUZIONE
Secondo la survey, anche nei mercati più maturi come gli Stati Uniti, troppi intervistati non hanno ancora avuto contatti con un assicuratore. “Il settore assicurativo – scrive Munich Re – deve ancora essere comunemente percepito come parte della soluzione”. Evidentemente, si legge nello studio, “le conseguenze di vasta portata di un attacco informatico non sono penetrate nella coscienza della maggior parte degli individui. È probabile che molti si considerino non abbastanza attraenti per gli hacker e che qualsiasi potenziale conseguenza di una violazione della sicurezza sarebbe minore”.
Nel complesso, le risposte al sondaggio sottolineano “la necessità per il settore assi-
curativo globale di aumentare gli sforzi per rendere i rischi informatici più visibili, le condizioni più comprensibili e i prodotti più facili da valutare”.
Come accennato, ci sono differenze rilevanti nella consapevolezza del rischio cyber in tutto il mondo. I mercati nordamericani e nordeuropei, nonché quelli australiani e alcuni asiatici sono piuttosto preoccupati per un potenziale attacco informatico. Gli intervistati dell’Europa meridionale, latinoamericana, africana e indiana sono molto preoccupati. Il mercato più preoccupato dello scorso anno, il Brasile, è stato soppiantato dall’India, dove il 92% dei dirigenti ha dichiarato di essere preoccupato o estrema- mente preoccupato per un attacco informatico. E se in Italia c’è un alto livello di preoccupazione (il 77% dei rispondenti) in Svezia si continua ad avere un approccio rilassato alla minaccia, solo il 40% dei rispondenti è preoccupato, e il 23% non lo è per niente.
AZIENDE COLPITE DALLA CRIMINALITÀ INFORMATICA
La survey afferma che oltre il 71% degli intervistati è già stato colpito da ransomware o da un attacco informatico che ha causato frode o violazione dei dati. La frode online è in cima alla lista dei vettori di attacco con il 46%, appena prima della viola- zione dei dati (43%), seguita dal ransomware (28%). Le aziende con un fatturato compreso tra 200 milioni e i 5 miliardi di dollari sono le più colpite. Le grandi aziende (oltre 5 miliardi di dollari di vendite) con le più elevate capacità di prevenzione e budget IT sono ancora pesantemente colpite, ma sembrano essere protette meglio. A livello regionale India, Cina e Sudafrica si collocano tra i primi tre Paesi colpiti in generale. Per quanto riguarda gli attacchi ransomware, il 98% degli intervistati ha affermato che l’attacco ha avuto un impatto sulle operazioni quotidiane: nel 42% dei casi l’incidente ha avuto un impatto immediato e nel 27% un impatto immediato ancora peggiore sulle attività quotidiane.
Secondo Munich Re, “il potenziale di business per il settore assicurativo rimane estremamente elevato nella linea di business cyber”. Il settore assicurativo, tuttavia, deve diventare ancora più attivo nella vendita e nella consulenza. La percentuale di coloro a cui non è mai stata offerta un’assicurazione informatica dal proprio assicuratore è ancora sorprendentemente alta, attestando- si al 33%. Lo studio afferma che il 35% dei partecipanti sta prendendo in considerazione una polizza cyber per la propria azienda. Tuttavia, “mentre la domanda e i dati ufficiali sono effettivamente aumentati, i dati del mercato globale nel complesso mostrano ancora un divario assicurativo significativo, con un tasso di penetrazione stimato inferiore al 5%”.
GLI ASSICURATORI DEVONO SAPERSI SPIEGARE MEGLIO
Dal momento che una parte significativa degli intervistati che non hanno una polizza cyber sembrano totalmente ignari delle opportunità offerte da questo strumento, “ci sono opportunità di business non sfruttate”. Alcuni dichiarano di non sapere che esiste un’assicurazione informatica (25%) o di non comprendere il prodotto (22%), e in particolare nel segmento delle Pmi, la mancanza di conoscenza sulle soluzioni di trasferimento del rischio è stata massima, quasi il 40%. Secondo Munich Re, “vi è una chiara necessità che il settore assicurativo spieghi meglio le proprie soluzioni al mercato”.
Parlando di servizi post-incidente, gli intervistati hanno citato come aspetti positivi della polizza il recupero dei dati (65%), i servizi di assistenza (54%) e la consulenza legale (50%) dopo un attacco. Solo il 36% vede nell’aspetto reputazionale un fattore rilevante post-incidente. Ancora una volta sono le Pmi, assieme alle agenzie governative, a distinguersi nel vedere il minor beneficio nei servizi post-sinistro. In particolare è il Giappone (21%) il Paese che più probabilmente pensa di poter farcela senza alcun servizio.
Anche tra i privati c’è un alto livello di preoccupazione. Il 55% dei rispondenti si è detto preoccupato o addirittura estrema- mente preoccupato per la propria sicurezza digitale. L’alto livello di preoccupazione non sorprende, poiché il 56% degli intervistati afferma di essere già stato vittima di un attacco informatico. Gli attacchi di malware e le frodi online sono gli attacchi più comuni, assieme alle violazioni dei dati privati e al furto di identità. Nei Paesi europei presi in esame, il numero di persone attaccate è aumentato in media di circa il 10% rispetto allo scorso anno. Con circa il 50%, l’Europa rappresenta il numero medio di vitti- me di incidenti informatici tra i privati.
COME POTENZIARE LA RESILIENZA INFORMATICA
Munich Re conclude sottolineando che sebbene l’offerta e la domanda di assicurazioni cyber sia leggermente aumentata, la maggior parte degli intervistati non è ancora adeguatamente protetta. “Vista la situazione del mercato, aumentano anche le esigenze da parte degli assicuratori di fornire accesso a prodotti e soluzioni e di garantire la sostenibilità per questa linea di business. Il potenziale per gli assicuratori informatici è elevato, ma la resilienza e la prontezza sono un prerequisito per sfruttare questo potenziale”. Tra le altre cose, “è anche dovere del setto- re assicurativo spiegare l’importanza delle misure di resilienza sull’esposizione al rischio per i propri clienti e ciò includerebbe la discussione di fattori che influenzano, come premi, prezzi, coperture, limiti, termini e condizioni, e l’accesso all’assicurazione. Ciò richiede anche che le compagnie assicurative stabiliscano requisiti (minimi) standardizzati all’interno di una valutazione del rischio trasparente”.
A causa della mancanza di dati storici, e alla luce di obblighi legali inesistenti o incoerenti rispetto alla segnalazione di eventi di interruzione di attività informatica o ransomware, valutare adeguatamente i rischi informatici è ancora una sfida.
Beniamino Musto