Di fronte all’evoluzione e alla crescita esponenziale del rischio cyber, per le compagnie assicurative diventa sempre più necessario sviluppare e affinare metodi d’analisi che permettano di conoscere adeguatamente la loro esposizione al fenomeno e le conseguenze che gli attacchi possono provocare, in modo da definire opportune strategie per la gestione e risoluzione delle potenziali criticità.
In quest’ottica, recentemente l’EIOPA – Autorità europea delle assicurazioni e delle pensioni aziendali e professionali – ha aperto una consultazione pubblicando un discussion paper intitolato “Methodologies of Insurance Stress Testing – Cyber component”, con l’obiettivo di raccogliere i contributi degli stakeholder del settore assicurativo e redigere un report finale sulla tematica.
Resilienza informatica e cyber underwriting risk
Il documento, analitico e approfondito, contiene una serie di principi metodologici, con approcci teorici e pratici, per supportare la fase di progettazione di potenziali futuri stress test assicurativi per il rischio informatico, arricchendo lo strumentario a disposizione di aziende, intermediari e assicuratori.
Due i focus principali su cui viene richiamata l’attenzione:
– la resilienza informatica, intesa come la capacità di un’impresa di assicurazione di sostenere l’impatto finanziario di un evento informatico avverso;
– il cyber underwriting risk, inteso come la capacità di un’impresa di assicurazione di sostenere – dal punto di vista del capitale e della solvibilità – l’impatto finanziario di uno scenario informatico avverso estremo, ma plausibile, che colpisca l’attività sottoscritta.
Un tema prioritario
È ormai noto che digitalizzazione e cyber siano diventati due tra i principali elementi di rischio per il settore assicurativo. I rischi legati alla sicurezza informatica stanno ottenendo sempre maggiore attenzione anche da parte delle autorità di regolamentazione sia in Europa sia a livello mondiale e persino il Fondo Monetario Internazionale considera il rischio cyber come un potente fattore di criticità per la stabilità finanziaria.
Secondo le stime dell’FMI, infatti, negli ultimi dieci anni il numero di attacchi informatici è triplicato e i servizi finanziari sono il settore più colpito a causa della crescente digitalizzazione dei modelli di business e della maggiore dipendenza dalle infrastrutture digitali.
I 3 obiettivi dell’attacco alle assicurazioni
Entrando nel dettaglio del tema della resilienza informatica, il documento EIOPA evidenzia che, a livello generale, sono tre le principali motivazioni che spingono i criminali informatici a compiere un attacco verso una realtà assicurativa (anche se, si specifica, il discorso può essere esteso al perimetro dell’intero settore finanziario):
- ottenere un guadagno finanziario, ad esempio attraverso transazioni dirette non autorizzate o il furto di dati finanziari per attività fraudolente (basti pensare alla mole di dati che una compagnia gestisce ogni giorno);
- compiere un’azione di spionaggio, ad esempio compromettendo dati riservati archiviati nei sistemi bersaglio;
- compiere un’azione di sabotaggio, ad esempio cancellando o alterando dati sensibili o prendendo di mira la stessa infrastruttura informatica. Il paper sottolinea come quest’ultimo sia un rischio a cui occorrerà prestare sempre più attenzione nello scenario odierno.
Gli impatti sulle assicurazioni
Analizzando le possibili conseguenze degli attacchi sui player assicurativi, il documento individua cinque situazioni specifiche:
- perdite finanziarie dirette: derivanti, ad esempio, dal danneggiamento di apparecchiature informatiche o da transazioni non autorizzate;
- perdite finanziarie dovute a riduzioni dell’attività e delle ore di lavoro a causa dell’indisponibilità dei sistemi;
- perdite finanziarie dovute agli sforzi di ripristino, che comportano ore di lavoro aggiuntive e in molti casi il ricorso a esperti esterni per affrontare le conseguenze di un attacco;
- perdita finanziaria dovuta a conseguenze legali: pensiamo ad esempio alle sanzioni che possono essere comminate sulla base della GDPR dalle autorità preposte alla protezione dei dati in caso di violazione degli stessi;
- danno reputazionale, che potrebbe incidere negativamente sulle relazioni commerciali esistenti e sulle future opportunità di business.
Un primo sguardo agli scenari
La definizione di uno scenario di stress test sul rischio informatico, specifica l’EIOPA, deve partire dalla considerazione di una serie di aspetti: la tipologia di incidente informatico, i fattori di rischio che possono innescare quell’incidente e le possibili conseguenze per l’impresa stessa, i suoi clienti e le eventuali terze parti interessate.
Tutto questo apre scenari differenti a seconda che si sia in presenza del caso “cyber resilience” o “cyber underwriting”.
Un esempio: ransomware/ furto di dati
Nelle cronache degli ultimi anni gli attacchi ransomware si sono imposti come tra i più critici e diffusi.
Un attacco di questa tipologia cripta i computer, rendendo inutilizzabili i file, e può diffondersi in tutta l’organizzazione. I criminali possono inoltre arrivare a minacciare la divulgazione pubblica di dati sensibili e/o dati dei clienti, situazione che chiama in causa anche la GDPR.
Cliccando su “+” è possibile conoscere il dettaglio dell’analisi per scenario e impatto:
Probabilità/plausibilità come scenario di resilienza informatica
Sono noti e di dominio pubblico numerosi attacchi di alto profilo contro le compagnie assicurative.
Inoltre, è noto che gli aggressori si specializzano per settore, per cui è abbastanza probabile che questo tipo di evento si diffonda e arrivi a coinvolgere diversi assicuratori in un breve lasso di tempo.
Probabilità/plausibilità come scenario di cyber underwriting
Le perdite derivanti da questa categoria di attacchi informatici sono aumentate negli ultimi anni.
Un ulteriore significativo incremento potrebbe verificarsi ad esempio qualora gli aggressori utilizzassero nuove tecniche di hacking.
Possibile impatto dello scenario sulla compagnia
A seconda della portata e del livello di sofisticazione dell’attacco, possono essere colpiti siti e sistemi di backup.
Una conseguenza immediata è l’interruzione dei processi aziendali critici e, in caso di perdita di dati, il recupero può essere lungo e difficile.
Nei cosiddetti “attacchi a doppia estorsione”, vengono sottratti anche i dati sensibili, aggiungendo a questo impatto diretto sulle attività aziendali tutte le potenziali conseguenze di uno scenario di “violazione dei dati”.
Possibile impatto dello scenario sul portafoglio assicurativo
Questo evento farà scattare la copertura per business interruption, costi di ricostruzione dei dati, pagamento del riscatto e responsabilità civile per i dati, nei contratti in cui le perdite derivanti da un attacco ransomware non sono escluse.
Per maggiori dettagli e per approfondire i diversi scenari del rischio cyber per le assicurazioni rinviamo al documento integrale.
I contributi
L’EIOPA invita le parti interessate a condividere il proprio feedback entro il 28 febbraio 2023 utilizzando il modello disponibile sul sito e spedendo i contributi via email all’indirizzo eiopa.stress.test@eiopa.europa.eu.
I feedback ricevuti saranno presi in considerazione nella preparazione di un documento metodologico finale che sarà pubblicato sul sito web dell’EIOPA.