L’utilizzo del web scandisce il nostro quotidiano. Un acquisto, una ricerca, una ricarica telefonica, una prenotazione alberghiera, un bonifico sono alcune delle numerose operazioni che grazie allo sviluppo tecnologico oggi riusciamo a fare dalla poltrona di casa. Inutile dire che i benefici sono numerosi: basta pensare al risparmio di tempo. Le imprese utilizzano il web per le più svariate attività. Pensiamo alle transazioni commerciali e al loro regolamento.
Sono tutte operazioni attraverso le quali riversiamo sul web una miriade di informazioni personali e sensibili, attraverso le quali comunichiamo abitudini, stili di vita, desideri e tanto altro. L’informazione che veicoliamo in questo contenitore è un valore in sé e proprio per questo attira l’attenzione e l’interesse di possibili malfattori.
Se da una parte, come si diceva, i benefici sono enormi, anche in termini di accorciamento delle distanze, dall’altra sempre più aumenta il rischio di possibili attacchi informatici, cadute di linea, perdite e sottrazioni di dati, raggiri, operazioni fraudolente, truffe online. Insomma, il rischio cyber. Da qui l’aumentata attenzione alla sicurezza informatica da parte di imprese, cittadini, pubblica amministrazione e l’accresciuta consapevolezza di dover accedere a qualche forma di protezione dal rischio cyber. Proprio per conoscere qual è la risposta del mercato a questo tipo di esigenza dei consumatori, quali polizze assicurative vengono proposte alla clientela e con quali caratteristiche, IVASS ha realizzato l’indagine sulle c.d. “polizze cyber” presenti sul mercato italiano al 30 luglio 2023, per clienti retail e Piccole e Medie Imprese (PMI)1 .
L’indagine
L’indagine ha riguardato 50 polizze, di cui 26 rivolte alle PMI e le altre al retail, sia come prodotti stand alone (disegnate per la copertura di un rischio specifico) che di tipo modulare (offrono un’ampia gamma di garanzie, a copertura della persona o dei beni, variamente combinabili fra loro e in cui la copertura cyber è opzionabile, da acquistare in abbinamento ad altre garanzie. Si tratta di polizze in cui la copertura cyber è di portata contenuta).
Le polizze per le PMI, in prevalenza stand alone e standardizzate, offrono coperture per i danni pecuniari subiti dall’azienda a seguito dell’attacco informatico, per quelli causati a terzi per effetto dell’attacco medesimo (coperture per responsabilità civile) e per le spese legali collegate a cause giudiziarie derivanti dall’evento assicurato. Solitamente le polizze prevedono garanzie di base alle quali spesso vengono affiancate coperture, cosiddette accessorie, che proteggono l’assicurato per vulnerabilità esistenti anche prima di un attacco informatico e nella gestione post-evento (in quest’ultimo caso, ad esempio, per il ripristino dell’operatività informatica o la gestione del danno reputazionale).
Nelle coperture offerte alla clientela retail prevale, invece, la polizza di tipo modulare. Le coperture spesso possono essere estese all’intero nucleo familiare e riguardano, come per quelle offerte alle imprese, le perdite pecuniarie (danni diretti all’assicurato), la responsabilità civile (danni a terzi), la tutela legale per vertenze derivanti dall’evento assicurato, in diversi casi accompagnate dall’assistenza alla persona. Le polizze offerte a singoli e famiglie, molto frequentemente, assicurano i danni conseguenti a furto o clonazione di carte di credito/debito e prepagate, truffe subite online, furto di identità digitale. Spesso all’assicurato viene fornita assistenza telefonica e digitale, ad esempio attraverso l’intervento di tecnici per il ripristino della piena operatività dei device o nei casi di frodi nella prenotazione online di un viaggio all’estero.
Sono anche previste coperture per la consulenza psicologica laddove l’attacco informatico possa determinare un evento traumatico alla persona, pensiamo al cyberbullismo, cyberstalking, ai casi di revenge porn. In un numero ridotto di polizze, all’assicurato sono offerte anche coperture quali: un supporto informatico per eliminare/ridurre gli effetti dell’attacco subito; il rimborso delle spese legali sostenute per l’istanza di oscuramento di siti web/pagine di social media o per rivolgersi al Garante per la Protezione dei Dati Personali. Alcune compagnie richiedono prerequisiti o condizioni per rendere il rischio cyber assicurabile, come ad esempio che siano stati adottati adeguati presidi informatici per far fronte agli attacchi, installati e aggiornati idonei sistemi antivirus e firewall, svolti periodici e frequenti backup dei sistemi informatici, ecc…
Per alcune compagnie il rispetto di queste condizioni è motivo di esclusione o limitazione della garanzia, per altre invece non consente di assicurarsi contro il rischio cyber. Proprio per queste ragioni e per l’ulteriore circostanza che, secondo quanto emerso dall’indagine, i glossari che accompagnano i contratti non sono esaustivi né del tutto chiari, è necessario prestare particolare attenzione alla presenza di esclusioni, limitazioni e franchigie che possono ridurre ampiezza e applicabilità delle coperture. Ed è importante soffermarsi sulla piena comprensibilità delle polizze perché il linguaggio più o meno complesso in cui sono espresse può generare ambiguità nell’identificare il perimetro di protezione che si sta sottoscrivendo.
Conclusioni e uno sguardo al futuro
L’indagine porta a concludere che il mercato assicurativo italiano sta sempre più dedicando attenzione alle polizze a copertura del rischio “cyber” e che in parallelo è anche cresciuta la sensibilità verso questo rischio da parte di famiglie e imprese. È probabile che questo porti ad una più ampia riflessione sull’opportunità di passare da polizze assicurative standardizzate a polizze di tipo granulare, ritagliate sulle specifiche esigenze e sugli effettivi bisogni del consumatore. Possibile che si arrivi a una revisione delle esclusioni per meglio tararle sulle esigenze effettive dei Target Market, o all’adozione di un glossario unico così da attribuire maggiore omogeneità e certezza al linguaggio. È chiaro che questo comporterà investimenti nella formazione della rete distributiva e nel suo aggiornamento.
Per famiglie e imprese, è importante una valutazione dei propri rischi specifici e del livello appropriato di copertura informatica di cui si ha bisogno. L’IVA SS dal canto suo continuerà per un verso a sensibilizzare gli utenti verso il rischio cyber e per altro a seguire gli sviluppi del mercato assicurativo e vigilare sui prodotti offerti. IVASS partecipa alle campagne informative sulla sicurezza informatica, lanciate con il CertFin e l’Agenzia per la cybersicurezza nazionale (ACN), destinate alla clientela retail e alle PMI e ha aperto una sezione sul proprio sito web (https://www. ivass.it/cyber/index.html) che raccoglie documenti, informazioni, comunicati stampa e quant’altro necessario ai consumatori, individui e imprese, per proteggersi dalle minacce alla sicurezza informatica e dalle truffe online, in particolare quelle realizzate attraverso i siti abusivi.
1 https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/altrepubblicazioni/ 2023/indagine-cyber-risk/index.html
Autore: Annamaria Damiani
