M: Ciao Massimiliano, buonasera e benvenuto; vorrei scendere nel dettaglio di come le assicurazioni possono aiutare le aziende a scongiurare i rischi del digitale. Quali sono le alternative, al momento?
AF: Salve, secondo me va fatta una premessa che riguarda l’agenda digitale: c’è un gap altissimo nell’ambito e sembra un’area emergente di rischio nel settore. Solo l’11% delle aziende ha una copertura per questo rischio. È un rischio invisibile e informativo, ma molto vario e diffuso (malware, spyreware). Wannacry è stato un malware che nel 2017 ha messo in ginocchio moltissime aziende a livello globale, per esempio, quindi è importante cercare di porre rimedio facendo un investimento sull’assicurazione sulla cybersecurity.
M: Sì, noi di Monitor ci siamo occupati di Wannacry e abbiamo visto i danni che ha creato. Secondo te, qual è il processo assicurativo che le aziende devono affrontare per proteggersi dal rischio digitale?
AF: Diciamo che le varie compagnie hanno diverse modalità di valutazione preliminare del rischio; ci sono prassi comuni alle varie agenzie e altre, più specifiche di studio preliminare delle potenziali minacce. Prima di tutto, bisogna conoscere l’azienda e guadagnarne la fiducia poiché verranno trasmessi dati particolarmente sensibili. Individuati i dati (attraverso questionari), vengono fatti dei “penetration test”, in cui la compagnia assicurativa simula un attacco hacker e, collegandosi all’indirizzo IP dell’azienda, testa il livello di sicurezza dei sistemi. Così si può provare con mano cosa succede. Non tutte le aziende sono esposte allo stesso modo: i dati anagrafici comportano rischi diversi rispetto a dati finanziari o biometrici, quindi una volta che vengono fatte queste rilevazioni, si fa un’offerta al cliente.
M: Quantificare i danni di un attacco hacker è difficile, quindi come fanno le compagnie assicurative a mettere giù una polizza con delle garanzie davvero in linea con le necessità della compagnia?
AF: Si parte dalla tutela del danno all’azienda: se viene subito un attacco hacker, ci sarà sicuramente un’interruzione del servizio a causa della manutenzione dei sistemi colpiti; è buona norma eseguire un backup periodico dei dati, di modo da avere sempre tutto a portata di mano nel caso di un ripristino rapido. L’interruzione di attività è un rischio, quindi una volta concordato il massimale (può essere anche a base giornaliera), questo rischio verrà coperto. C’è anche il discorso della responsabilità verso terzi, in linea con la normativa europea GDPR: quando si è a conoscenza dell’attacco e si sa che i dati potrebbero essere finiti in cattive mani, bisogna informare i clienti dell’azienda. I dati sensibili rubati possono creare grandi danni ai clienti, quindi l’assicurazione dovrà coprire tutti gli eventuali danni che il cliente finale imputerà all’azienda assicurata. La terza macro-area riguarda la tutela legale: a seguito di una controversia legale, una polizza di cybersecurity l’azienda sarà protetta e tutelata. In sintesi, sono polizze utili perché offrono uno scudo che copre tutto ciò che l’azienda fa attraverso i sistemi digitale sempre più essenziali per l’imprenditoria che sta stare al passo con i tempi.
M: Grazie mille Massimiliano!