0 Elementi

Assicurazione informatica: cos’è e perché è fondamentale

Laptop aperto con due mani in primo piano che interagiscono con una grafica che ha come tema l'assicurazione informatica.

Innanzitutto, che cos’è un’assicurazione informatica? Si tratta di un apposito strumento assicurativo atto ad attenuare le perdite finanziario-economiche che un’azienda subisce in seguito ad attacchi ransomware, violazioni dei dati e numerosi altri eventi informatici dannosi.

I prodotti assicurativi aziendali “standard” (come la classica polizza dell’attività) coprono i danni “fisici” hardware e solo in rarissimi casi anche il danno da attacco informatico, e se lo fanno hanno importanti limiti di indennizzo. Nel 2024 un attacco informatico da ransomware, il furto di dati o altri crimini informatici possono essere molto più dannosi ed onerosi del rischio incendio dell’azienda stessa perché gli effetti del danno possono prolungarsi nel tempo. Le polizze assicurative tipo cyber (informatiche) sono uno strumento indispensabile per mitigare gli effetti dei danni informatici da crimine informatico (cybercrime).

Il cyber risk: investire sulla sicurezza informatica è fondamentale

Un’azienda oggi deve proteggersi con 2 strumenti:

  1. Il primo è lo strumento informatico”, cioè essere dotati di una struttura IT aziendale moderna, aggiornata e gestita da professionisti del settore IT;
  2. Il secondo è lo strumento assicurativo, cioè un’idonea copertura assicurativa aziendale, ampliata con la polizza cyber.

Questi due strumenti insieme possono garantire all’azienda un grado di protezione molto alto: escludere il rischio è impossibile, ma limitarlo è fattibile!

La sottoscrizione di una polizza cyber risk comporta la presenza di una struttura informatica ben progettata. Se così non fosse, la compagnia di assicurazioni difficilmente si assumerebbe il rischio: sarebbe come chiedere di assicurare un’automobile il cui unico guidatore sia privo di patente.

Quindi, se la tua azienda intende tutelarsi con una polizza sulla sicurezza IT è bene sapere che il primo passo da compiere è contattare un esperto informatico che analizzi la tua infrastruttura con un Vulnerability Assessment.

Questo ti permetterà di avere un quadro consapevole sulle vulnerabilità, le modalità attraverso le quali potresti essere attaccato e le eventuali contromisure da implementare. Allo stesso tempo, potrai fornire alle compagnie assicurative i risultati del Vulnerability Assessment in modo che possano valutare e verificare se la tua azienda è nella posizione di aprire una polizza sul cyber risk.

Cosa coprono le assicurazioni informatiche?

L’abbiamo chiesto a Stefano Alborghetti, consulente assicurativo presso Orizzonte Assicurazioni s.n.c. di Villa D’Almè, Bergamo, Agenzia assicurativa di terza generazione: “La copertura assicurativa informatica si personalizza in funzione delle esigenze dell’azienda, ai tipi di dati trattati e al settore di attività. Quando si parla di rischio cyber, la criticità maggiore da evidenziare al proprio cliente è l’impossibilità di dare valore al dato informatico puro: chi può dire quanto vale quella foto? Come si può stabilire il valore di quel documento Excel con 5000 contatti? Infatti, ad oggi, almeno in Italia, non esiste ancora un metodo “scientifico” di valutazione del dato.

L’Assicurazione informatica diventa fondamentale per una struttura IT che gestisce i dati informatici in quanto va a coprire tutto ciò che sta attorno a quel dato: l’infrastruttura, i sistemi, i tempi di ripristino e, a volte, anche il mancato guadagno come danno indiretto.

Molto sinteticamente un’assicurazione informatica si divide in 3 sezioni:

  1. DANNI al sistema informatico dell’azienda: l’assicurazione IT indennizza gli effetti dell’evento dannoso quali la riparazione delle infrastrutture IT, le indagini forensi e altri servizi necessari al ripristino dall’evento dannoso;
  2. RESPONSABILITÀ CIVILE (RC): danni verso terzi da danno informatico. La copertura assicurativa indennizza l’assicurato in quanto civilmente responsabile per i danni a sistemi informatici ed apparecchi di terzi;
  3. PROTEZIONE LEGALE: copertura a tutela di danni richiesti da terzi o per chiedere i danni. Ogni polizza ha lo scopo di indennizzare da un danno, ma se per arrivare all’indennizzo ci si è appoggiati a un legale, questo aspetto non è mai compreso nel risarcimento del danno, mentre con la garanzia specifica, in funzione del massimale scelto, anche le spese legali sono comprese in polizza;

Cosa non è coperto dalle assicurazioni informatiche?

Solitamente sono escluse dalle polizze informatiche le seguenti casistiche:

  1. Minacce interne: danni cagionati per volontà (dolo) di dipendenti;
  2. Atti di guerra: attacchi informatici fra paesi belligeranti;
  3. Attacchi informatici che sfruttano una vulnerabilità nota nel sistema informatico aziendale;
  4. Errori “di rete” non causati da attacchi informatici ma per negligenza professionale;

Cosa c’entrano le assicurazioni informatiche con la direttiva europea NIS2?

Le aziende interessate dalla direttiva NIS2 devono compiere una serie di azioni per prepararsi al recepimento nell’ordinamento nazionale (17 ottobre 2024) e alla successiva entrata in vigore (nei mesi a venire). Da quel momento in poi gli organi dirigenziali di un’azienda saranno ritenuti direttamente responsabili in caso di attacchi e danni informatici. Dunque, non più una questione legata solo all’ambito IT, bensì un problema che coinvolge tutta l’azienda.

Inoltre, tutti i soggetti che fanno parte della catena di approvvigionamento di un’azienda direttamente soggetta alla NIS2 saranno chiamati ad aumentare i propri livelli di cybersecurity per non rischiare di essere sostituite da altri fornitori (che invece investono nella sicurezza informatica).

Ecco come iniziare a valutare la propria resilienza informatica già in questi mesi diventa una scelta lungimirante. Quindi come si dovrebbe procedere?

  1. Coinvolgere un fornitore IT esperto che possa condurre analisi sullo stato della sicurezza informatica (Vulnerability Assesment e Penetration Test) e consigliare come aumentare le barriere di difesa da attacchi cyber;
  2. Una volta aumentata la resilienza informatica dell’azienda ti consigliamo di contattare il tuo assicuratore di fiducia per accendere una polizza sulla sicurezza informatica.

Avere un’assicurazione informatica è sicuramente vantaggioso anche dal punto di vista reputazionale perché clienti e fornitori vedranno di buon occhio un partner commerciale che investe nella sicurezza IT, cercando così di mitigare eventuali possibili danni causati dagli incidenti informatici. In ottica NIS2, un’azienda direttamente interessata dalla direttiva o che fa parte della supply chain di una media/grande azienda in perimetro NIS2, sceglie una strada responsabile e lungimirante se lastricata di azioni che aumentano la resilienza IT, a beneficio di tutta la catena di approvvigionamento.

Per maggiori informazioni contatta la nostra sede di Brescia al numero 030.4194040 o scrivi a segreteria@coreup.it