PLTV riporta un estratto dalla relazione annuale Ivass su Cyber Risk e Innovazione Tecnologica 

L’IVASS ha aperto da tempo il dialogo con il mercato assicurativo, i consumatori, i service provider, l’accademia, per valutare le cause e prevedere gli effetti dell’innovazione tecnologica. Tra i temi di particolare rilevanza per il futuro del mercato assicurativo ci sono la cyber insurance, l’utilizzo di device e sensori connessi nella Internet of Things, i big data, le tecniche di machine learning e robo-advisory, la cyber security degli intermediari, la governance delle imprese.

L’Istituto intende stimolare e favorire l’innovazione, lasciando al mercato l’iniziativa, seguendo attentamente i processi in atto e intervenendo selettivamente in tempi certi e rapidi, ove si evidenzino rischi per la tutela dei consumatori, la stabilità del mercato e la qualità dell’offerta assicurativa. Si sta valutando l’impatto sulla distribuzione assicurativa in termini di rischi e di opportunità della semplificazione delle procedure e della diffusione dei canali digitali.

Sono stati tenuti seminari e incontri con i principali operatori del settore Insurtech e le start-up, si è partecipato alle iniziative di coordinamento nazionale (tra le altre, il Comitato di coordinamento per il Fintech presso il MEF) e internazionale (FSB, IAIS, EIOPA e ESRB). A dicembre 2017 è stato organizzato un convegno sull’innovazione tecnologica nel mercato assicurativo55.

L’innovazione ha effetti rilevanti su tutti gli snodi della catena del valore assicurativo, spingendo a modifiche del business model degli operatori tradizionali e all’affacciarsi sul mercato di nuovi operatori. I nuovi rischi possono essere elevati e, in parte, inattesi con nuove minacce degli hacker all’operatività delle imprese e alla riservatezza dei dati personali.

Le opportunità per le imprese create dal nuovo paradigma digitale devono tradursi in benefici effettivi per i consumatori, con riduzioni di premio, maggiore flessibilità dei contratti e migliori servizi di assistenza accessori alle polizze. I nuovi prodotti possono incentivare comportamenti virtuosi, riducendo i sinistri e coprendo rischi sinora non considerati.

I nuovi soggetti tecnologici introducono concorrenza nel mercato, collaborano con gli operatori esistenti ma non devono creare aree di shadow insurance, non adeguatamente regolate e senza protezione per i consumatori.

È proseguito nel 2017 il monitoraggio sul cyber risk coinvolgendo un campione di grandi imprese assicurative, con approfondimenti sulle polizze di cyber insurance, sull’impatto della General Data Protection Regulation (GDPR), sull’accumulation risk e sulla esposizione verso valute virtuali.

Sul fronte della preparazione interna delle imprese al cyber risk, si rileva una maggiore consapevolezza rispetto al monitoraggio relativo al terzo trimestre 2016, con livelli diversi in funzione delle dimensioni del gruppo assicurativo. I processi di mitigazione, di controllo e di gestione del rischio sono proporzionati alla natura, dimensione, e complessità operativa dell’impresa. Le imprese hanno posto in essere processi e misure di minimizzazione del rischio attraverso sistemi di difesa perimetrale sia interna che esterna. Il rischio è oggetto in molti casi di apposita reportistica interna, con il coinvolgimento dei comitati di risk governance.

È sempre più estesa la cooperazione nella gestione del rischio cyber con organizzazioni per la sicurezza informatica a vario livello (anche governativo), lo scambio di informazioni con la Polizia Postale e con associazioni di imprese. Non tutte le imprese monitorate hanno segnalato tentativi di attacchi informatici; quelle che li hanno riportati dichiarano che i sistemi in essere sono risultati sufficienti a bloccare i tentativi di intrusione.

L’introduzione della GDPR (maggio 2018) richiede nuove soluzioni per la gestione dei processi aziendali, con un incremento dei costi e delle responsabilità in capo all’assicuratore, a cui si deve aggiungere l’elevato costo delle sanzioni in caso di mancata osservanza del regolamento. Sono stati rilevati problemi applicativi dovuti a potenziali difformità di trattamento tra imprese regolamentate e aziende tecnologiche che possono eludere gli obblighi regolamentari.

L’Istituto è impegnato nella revisione della normativa di riferimento per le imprese. Sta per essere emanato – nell’ambito dell’aggiornamento del regolamento in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese – un set di requisiti per la cyber security e continuità operativa delle imprese, che include un obbligo di resoconto sui gravi incidenti di sicurezza che interessano le operazioni critiche.

È proseguito nella vigilanza ongoing sulle imprese, il monitoraggio sui rischi operativi originati dall’innovazione tecnologica e sui presidi adottati dalle imprese, in termini di assetti organizzativi e di controlli interni. È emersa una sempre maggiore consapevolezza da parte delle imprese su tali rischi, attesi i potenziali impatti sui processi di business e sugli aspetti reputazionali, che richiede il rafforzamento della governance per la cyber security e delle tecniche valutative dei rischi connessi, anche nel processo ORSA.

Per quanto riguarda le polizze di cyber insurance, nel segmento corporate, le esigenze di copertura sono diverse a seconda del tipo e dimensione/complessità dell’attività svolta dal cliente. I settori più esposti sono quelli che trattano dati sensibili come nel caso della finanza, telecomunicazioni, informatica e il settore sanitario. L’offerta di coperture risulta principalmente indirizzata alla responsabilità civile (ad es. per violazione della privacy, incidenti di sicurezza, infiltrazione da malware con responsabilità a carico dell’assicurato), alle coperture su e-payment, furto identità, fino a includere le spese legali, gli onorari di consulenti ed esperti forensi, le spese di ricostruzione archivi, i danni da interruzione e le estorsioni cyber.

Per la clientela retail, le imprese del campione riscontrano una scarsa consapevolezza e bassa richiesta di coperture assicurative, stand-alone o accessorie in polizze multirischio. Sono riportate come di interesse le coperture legate a furti di identità con danno al patrimonio familiare, ai danni alla vita di relazione e alla reputazione anche legati a comportamenti di figli minori sui social network…