Già da alcuni anni (forse a partire dal nuovo millennio e dal millenium bug) è cresciuta la sensibilità degli operatori economici relativamente al rischio informatico più comunemente chiamato Cyber Risk.
Perizie danni cyber risk
L’interesse commerciale per questo rischio ha portato via via le compagnie di Assicurazione ad offrire prodotti specifici per questa tipologia di rischio. Il rischio informatico, tuttavia, rappresenta un ambito molto vasto e variegato che può investire diversi aspetti.
Danni materiali diretti ed indiretti
Riguardano i danni subiti da beni materiali (un computer, la rete, uno smartphone o altro device elettronico) e direttamente causati dall’evento che sarà di natura tradizionale (incendio, terremoto, fulmine, furto, …..). Proprio perché di natura materiale e diretta queste tipologie di danni potrebbero rientrare in una polizza Incendio, in una All Risks o in una Polizza Elettronica. Questi danni, quindi, non sono necessariamente oggetto di una copertura specifica sul Cyber Risk.
Danni immateriali diretti e indiretti
Questa tipologia di danni rientra nell’ambito proprio di una copertura Cyber infatti i sinistri di tipo prettamente informatico sono caratterizzati proprio dall’immaterialità; colpiscono beni non tangibili, ma comunque funzionali ed indispensabili allo svolgimento di una determinata attività. L’incendio che brucia il server con il suo contenuto informativo, l’involontaria cancellazione di un database clienti o ordini per azione erronea, anche colposa, da parte di un dipendente addetto alla gestione informatica, l’azione di un virus o malware, sono tutti eventi che compromettono l’integrità di un software e/o l’insieme logico di informazioni ovvero rendono indisponibili i dati o servizi aziendali. Il danno immateriale diretto si esplica nei fatti quindi, nell’impossibilità per un’azienda a continuare la sua attività. Solo che, al contrario di quanto avviene in un sinistro “tradizionale”, normalmente l’interruzione è pervasiva, totale ed immediata e può colpire anche sedi remote. Il danno immateriale indiretto, invece, lo possiamo declinare come perdita d’immagine e/o di reputazione aziendale e conseguentemente perdita di quote di mercato.
Richieste di risarcimento per responsabilità
Una società di servizi informatici che subisce una problematica Cyber che comporta l’interruzione di un determinato servizio ai clienti comporterà una possibile richiesta di risarcimento da parte degli stessi.
Le perizie assicurative relative al cyber risk
I contratti oggi presenti sul mercato hanno ognuno le sue peculiarità e generalmente tengono indenni le aziende dai costi sostenuti per analizzare, reagire, ripristinare e tutelare l’immagine aziendale.
I contratti tuttavia sono molto complessi e gli approcci degli assicuratori non omogenei, a partire dalle stesse definizioni di polizza. Molte polizze considerano solo eventi (ed i costi derivanti) da Cyber Crime (hacking, ransomware, virus, DDOS), mentre pochissimi assicuratori, solitamente più esperti del settore, considerano gli eventi Cyber anche nell’ottica del Cyber Risk, ovvero legati a problematiche non necessariamente generate da eventi dolosi ma piuttosto da malpractice interna od eventi cosiddetti correlati (ad esempio lo smarrimento di un server spedito via aerea e sul quale sono stati precaricati i dati per far partire una filiale estera). In un quadro ancora molto variegato le nostre attività peritali partono dall’analisi dello specifico prodotto assicurativo e dalla denuncia di sinistro per addivenire all’incarico uno o più tecnici in funzione dell’accadimento dei fatti così come denunciato o delle risultanze della prima attività peritale. Sei i danni all’hardware vedono infatti l’intervento di tecnici specializzati in questo settore, peraltro divisi in funzione della specifica tipologia di hardware danneggiato, i danni software e database sono di competenza di tecnici di formazione e competenze completamente diverse (software engineer). Nel caso poi di danni a terzi il team che viene incaricato è un team multidisciplinare specializzato nella determinazione delle responsabilità oltre che depositario delle necessarie competenze tecniche. In caso di costi derivanti dall’interruzione di esercizio, occorre invece procedere con le tecniche proprie della businnes interruption con analisi dei bilanci bilancio e determinazione del danno con metodologie quali la perdita del margine di contribuzione e/o gli extra costi.
