15 Febbraio 2024

Cyber Insurance: i Criteri dell’Assicurabilità penalizzano le Pmi, l’Arma a doppio taglio dell’IA

di Giuseppe Gaetano, editor in chief

Con l’entrata in vigore del nuovo Codice della Crisi e dell’Insolvenza, molte imprese stanno implementando politiche di risk management sempre più sofisticate in collaborazione con partner commerciali, istituzioni governative e organizzazioni internazionali per individuare minacce, prevenire rischi e preparare risposte in caso di emergenze.

Secondo Sauro Mostarda, Ceo di Lokky, solo il 26,5% ritiene prioritario introdurre un sistema di gestione e controllo dei rischi in azienda. Negli ultimi tempi sono esplosi: criticità delle infrastrutture, clima, inflazione, pandemia, guerra, cyber crime… quanti ce ne sono? Ad essere più scoperti, su tutti i fronti, non sono i gruppi di grandi dimensioni ma quelle Pmi che formano ancora il tessuto economico del nostro Paese e si ritrovano spesso da sole ad affrontare le urgenze: approvvigionamento di energia e materie prime, catene del valore e – sempre più frequentemente – attacchi su internet. Questi ultimi, infatti, colpiscono maggiormente là dove aumenta il lavoro ibrido e si dispone di skill interne e stanziamenti limitati per la protezione: i danni, per chi non ricorre a backup dei dati e non è assicurato, possono essere davvero ingenti.
Emerge anche nella survey annuale I-Com, presentata oggi alla Camera nel convegno “La sfida della cibersicurezza per un’Italia sempre più digitale“, secondo cui i due terzi delle imprese che assegnano meno del 5% del budget IT alla cybersecurity è composto quasi esclusivamente da piccole o micro. Eppure l’attenzione alla formazione non manca: in un solo anno corsi di laurea e insegnamenti, proposti sul tema da università pubbliche e private, sono passati da 234 a 520; senza contare seminari e webinar aziendali promossi internamente, specialmente dai gruppi bancari e assicurativi.

La cyber insurance sta diventando una voce sempre più stabile nelle agende dei Cda in ottica risarcimento danni (per eventuali perdite di fatturato dovute all’interruzione dell’attività) e per la copertura della responsabilità civile e informatica della società sui dati (in caso di azione legale per danni da attacco cyber), che può garantire anche tutela legale e rimborso multe per mancata conformità. La complessità dei prodotti, purtroppo, è un altro elemento che allontana i più piccoli: l’incremento della loro diffusione passerà anche dalla semplificazione del linguaggio dei contratti.
Secondo il primo Cisco Cybersecurity Readiness Index 2023, appena il 7% delle imprese italiane ritiene di essere in grado di difendersi dai crimini informatici, contro il 15% a livello globale. Il report considera 5 criteri di misurazione della prima linea di difesa di un’attività – identità, dispositivi, sicurezza della rete, carichi di lavoro applicativi, dati – e in Italia evidenzia una preparazione in materia molto inferiore alla media estera: il 75% dei 6.700 professionisti intervistati si aspetta un’interruzione della propria attività nei prossimi 12-24 mesi a causa di un attacco hacker; il 31% dichiara di averne subito almeno uno nell’ultimo anno (percentuale che per Markel e Deloitte va in realtà ben oltre il 60% perché alcune realtà neanche si accorgerebbero di esser state violate); l’87% prevede però di aumentare il budget per la sicurezza di almeno il 10%.

Il ramsomwere avanza con la progressiva digitalizzazione, diversificandosi come un virus in “varianti” per cui occorrono continui aggiornamenti tecnologici. È un cane che si morde la coda: meno difese di base si posseggono, meno si diventa assicurabili contro i pericoli del web. Abbassare la vulnerabilità dei propri dati, ad esempio l’utilizzo di strumenti come firewall e software antivirus, o test di penetrazione con valutazioni regolari della protezione – significa (anche) trovare polizze meno costose. Esistono diversi gradi di copertura, le minacce variano in termini di gravità ed è arduo prevedere e quantificare i danni. Per questo i premi delle polizze possono arrivare a milioni: secondo S&P, a livello globale aumenteranno in media del 25% all’anno.
Manca uno standard di prodotto tra le assicurazioni, come manca uno standard normativo e regolatorio, indipendentemente dalla dimensione dell’impresa da tutelare. “La cyber insurance è solo una parte della pratica di una buona resilienza informatica: sebbene fornisca una garanzia finanziaria, non elimina il fatto che un attacco abbia avuto luogo e che la fiducia del cliente sia stata compromessa” ricorda Veeam, secondo cui l’82% delle società presenta un gap tra la rapidità con cui i sistemi devono essere ripristinati e quella con cui l’IT è in grado di farlo, e il 79% un gap di protezione tra la quantità di dati a rischio e la frequenza con cui sono protetti nel cloud e in sede.

I report sull’argomento davvero non mancano. Per Clusit solo nel primo semestre 2023 nel nostro Paese si sono verificati 1.382 cyber attack e dal 2018 al 2022 sono aumentati del 60%, specie quelli con severity “critica”. Per Cisco Talos nel secondo trimestre 2023 sono cresciuti ancora, in particolare le estorsioni: la sanità pubblica e privata è il settore più colpito, seguito da servizi finanziari e utility. Il mercato assicurativo e bancario costituisce un ambito elettivo per la ricchezza di dati, anche sensibili, su comportamenti e bisogni della clientela. L’uso di credenziali compromesse rappresenta il vettore iniziale più adoperato per accedere ad account validi, mentre l’assenza dell’autenticazione a più fattori il punto più debole della linea di difesa. Nel 2022 Check Point ha contato addirittura una media di 209 tentativi al giorno di assalto online al comparto healthcare, di fatto prima industry del business hacker. Solo per citare alcune analisi.

Se pensiamo che tra le ultime novità sulla piazza fintech c’è TrueScreen – app che consente di autentificare qualsiasi file multimediale acquisito con smartphone o tablet, attribuendogli valore legale e probatorio al pari di un notaio tramite firma digitale, mark temporale, blockchain e altre tecnologie (ma non IA) – capiamo bene come ogni progresso tecnologico costituisca un nuovo bersaglio per truffatori e malviventi del web, e debba dunque includere necessariamente un parallelo sviluppo della protection digitale in questo campo.
L’Intelligenza Artificiale generativa, che sta trasformando alla radice cyber security e cyber crime, non sfugge alla regola: le armi delle tecnologie di frontiera finiscono infatti nell’arsenale di banche, intermediari, compagnie, agenzie e broker ma anche dei criminali informatici, creando un grattacapo in più per gli assicuratori. Come è stato per internet e i social network, il “male” non è nelle potenzialità del mezzo ma nell’uso che se ne fa. Oltre a modelli di deepfake e phishing sempre più raffinati, quest’anno al Black Hat di LA alcuni ricercatori hanno mostrato come l’IA riesca a ingannare i dispositivi bancari online facendogli approvare perfino richieste di prestito o di bonifico fraudolente, tramite algoritmi di apprendimento automatico dalle risposte del sistema. In futuro assisteremo dunque a una lotta tra AI “buona” e “cattiva”.

Una recente indagine IVASS, su 50 polizze in commercio, rivela che ci sono “ampi margini di sviluppo per il mercato della cyber insurance: famiglie e individui risultano infatti ancora più esposti delle Pmi – coprendosi per lo più da danni conseguenti a clonazione di carte, furto di identità digitale ed acquisti in ecommerce – e servono “polizze maggiormente flessibili, calibrate sulle effettive e specifiche esigenze dell’assicurato“. Occorre inoltre creare dei team multidisciplinari, con figure “molto diverse, dai data scientist ai gestori di big data” e profili professionali “legali e di compliance“. “L’IA avrà impatti anche sul modo di fare vigilanza – avverte il segretario generale Stefano De Polis, intervistato SNFIA magazine -, nuovi strumenti sono già in fase di sperimentazione” e ovviamente anche Bankitalia sta facendo altrettanto riguardo il mondo del credito.
Il cyber è un altro rischio mondiale da mutualizzare, come il clima, rispetto al quale sembra meno urgente ma con cui condivide imprevedibilità e distruttività.

Un Caffè con Alessio Izzo (Howden): “Prezzi Coperture Cyber verso la Stabilizzazione”

(Visited 95 times, 1 visits today)
Navigazione fra articoli