Fino a poco tempo fa il cyber risk era considerato un rischio di minore importanza, quasi residuale. Oggi invece sta assumendo rilevanza sempre maggiore, al punto che lo si può ormai definire un rischio cosiddetto critico. Gli asset informatici sono cruciali e strategici per la gran parte delle attività aziendali e la loro tutela non deve pertanto essere trascurata.

A ciò si aggiunge il fatto che gli attacchi informatici sono sempre più numerosi e dannosi, anche a causa, talvolta, della facilità con cui possono essere compiuti. Spesso purtroppo di osserva ancora una sottovalutazione del pericolo cibernetico. Non di rado si osserva la mancanza o comunque la carenza delle misure di cautela minima, come la variazione delle password con una certa frequenza o la disattivazione delle credenziali dei dipendenti con cui è stato interrotto il rapporto di lavoro.

È bene a questo punto fare alcune precisazioni sulle modalità di attuazione dei cyber-crime: hanno tutti la caratteristica comune di danneggiare un individuo o un’azienda per ricavarne un consistente ritorno economico.

A tal fine le principali minacce informatiche sono rappresentate da:

• Malware, ossia programmi informatici usati per disturbare le operazioni svolte da un computer e rubare informazioni sensibili;
• Ransomware, ossia una particolare tipologia di malware il cui scopo è quello di limitare le funzionalità del dispositivo che infetta al fine di chiedere un riscatto per rimuovere la limitazione;
• Virus, ossia un software che una volta eseguito infetta dei file facendo copie di se stesso, generalmente senza farsi rilevare dall’utente.

Negli anni queste tipologie di attacchi si sono fatte sempre più frequenti e aggressive provocando seri danni per le aziende colpite, in primis causando l’interruzione dell’attività e la conseguente perdita di fatturato dovuta all’inattività.

Altro aspetto da non sottovalutare quando si è vittime di un cyber crime, è la perdita di dati relativi a brevetti o strategie aziendali, nonché di dati personali relativi a clienti, fornitori o dipendenti. La sottrazione di questi dati può causare perdite di fatturato e di clientela per la divulgazione di informazioni riservate, nonché richieste di risarcimento promosse dai titolari dei dati personali divulgati.

Infine merita di essere considerato anche il danno reputazionale che può derivare da un crimine informatico. Anch’esso può portare a conseguenti perdite di fatturato e di clientela.

Una volta compresa nella sua globalità la portata del rischio cibernetico per la sopravvivenza di un’azienda, sarebbe opportuno avviare un processo integrato di risk management con le varie funzioni aziendali. Questo porta alla definizione delle specifiche esigenze aziendali che devono essere adeguatamente tutelate tramite il trasferimento del rischio ad una Compagnia di assicurazione, per il tramite di un’adeguata Polizza Cyber Risk.

La stipula di questa tipologia di polizza offre una serie di garanzie fondamentali in caso si sia vittima di un cyber attacco:

• il risarcimento delle spese sostenute per il ripristino della normale operatività;
• il rimborso di quanto eventualmente sottratto dai conti della società;
• il rimborso di quanto l’azienda possa essere tenuta a pagare per richieste di risarcimento che potrebbero scaturire per violazione della privacy o per il furto di dati sensibili;
• il risarcimento della spese legali eventualmente sostenute;
• il riconoscimento di una diaria giornaliera per i giorni di inattività dovuti al blocco dei sistemi informatici.

In conclusione, alla luce del fatto che sempre più attività fondano il proprio business sull’utilizzo di piattaforme e siti web, sui quali sono presenti numerosi dati sensibili, credo che il rischio di virus, malware e attacchi hacker sia tra i principali da cui ogni azienda debba proteggersi. Sia che sia puramente digitale, sia che svolga un’attività più tradizionale. 

Il trasferimento delle conseguenze economiche negative di tali attacchi dall’azienda alla Compagnia assicurativa, dovrebbe essere la prassi in una gestione attenta e prudente della propria attività.