La diffusione delle polizze per la copertura del rischio cyber

L’IVASS ha pubblicato l’indagine sulle polizze assicurative a copertura del rischio cyber, c.d. polizze cyber, offerte dalle compagnie a clientela retail (singoli e famiglie) e Piccole e Medie Imprese (PMI). I rischi connessi a violazione, perdita e diffusione di dati sensibili, di natura personale e finanziaria, a furto di identità, a interruzione dell’attività imprenditoriale sono aumentati nel corso degli ultimi anni per effetto di svariati fattori, tra cui la diffusione di nuove tecnologie e il maggiore ricorso a transazioni sul web.

L’indagine della Autorità di Vigilanza ha analizzato 50 polizze assicurative in commercio al 30 luglio 2023. Quali sono le principali evidenze che emergono? Negli ultimi anni, la consapevolezza di imprese e individui nei confronti del rischio cyber è aumentata; la diffusione di polizze cyber riguarda soprattutto le PMI mentre le coperture dedicate a individui e famiglie sono meno sviluppate. Per quel che riguarda le soluzioni per le PMI , le polizze sono abbastanza articolate e mirano a proteggere le aziende contro danni dovuti ad attacchi informatici, danni provocati a terzi per effetto dell’attacco subito, spese legali.

Le polizze destinate a individui e famiglie coprono per lo più i danni conseguenti a furto o clonazione di carte di credito/debito e prepagate, furto di identità digitale, acquisti fraudolenti online. Qualche polizza prevede l’offerta di consulenza psicologica a seguito di eventi traumatici quali cyberbullismo e cyberstalking. Alcuni contratti prevedono poi stringenti pre-requisiti o condizioni per rendere il rischio assicurabile, che necessitano di essere ben compresi per valutare l’adeguatezza della copertura offerta. Particolare attenzione richiede l’esame delle esclusioni, limitazioni e franchigie che, ove proposte, riducono ampiezza e applicabilità della copertura.

Quali potrebbero essere le prospettive di evoluzione? Le polizze potrebbero essere maggiormente flessibili e calibrate sulle effettive e specifiche esigenze del cliente/consumatore finale ponendo maggiore attenzione altresì alla profilazione ed al grado di esposizione al rischio cyber: ad esempio, una piccola impresa che non opera tramite e-commerce avrà un profilo di rischio cyber diverso rispetto ad una che invece vende i prodotti anche online.

La rilevazione dell’operatività del cliente, prosegue lo studio, è importante per poter offrire una polizza in linea e confacente con il suo profilo “digitale”, con la sua operatività specifica in tale mondo e dunque, con la sua esposizione al rischio cyber. Le polizze cyber potrebbero anche beneficiare di una revisione delle esclusioni, che dovrebbero inoltre tenere conto anch’esse della granularità e delle esigenze effettive del Target Market di riferimento. Opportuna poi l’adozione di un glossario unico per le definizioni così da garantire omogeneità e certezza: al riguardo, le compagnie potrebbero fare riferimento al Cyber Lexicon FSB11, che offre una serie di definizioni consolidate ed accettate nella comunità digitale, sottolinea l’Ivass.

È inoltre importante un’adeguata formazione e aggiornamento della rete distributiva sulle polizze cyber, in considerazione della complessità tecnica che possono avere queste polizze e delle condizioni di assicurabilità previste. Dal lato delle aziende è importante che esse valutino i loro rischi specifici e si consultino con un professionista intermediario assicurativo per determinare il livello appropriato di copertura informatica necessaria.

Fattori come la natura dell’azienda, il volume dei dati sensibili, la dipendenza dalla tecnologia e le normative del settore dovrebbero essere presi in considerazione quando si valuta la necessità e l’estensione della copertura assicurativa informatica. Importante discutere e verificare anche gli aspetti relativi alle condizioni di assicurabilità e alle esclusioni.