Approfondimenti N.12- Dicembre 2022
11 min

Verso stress test d’avanguardia per il rischio cyber nelle assicurazioni

  • matteo
  • Author
    matteo
  • Published
    Dicembre 2022

Di fronte all’evoluzione e alla crescita esponenziale del rischio cyber, per le compagnie assicurative diventa sempre più necessario sviluppare e affinare metodi d’analisi che permettano di conoscere adeguatamente la loro esposizione al fenomeno e le conseguenze che gli attacchi possono provocare, in modo da definire opportune strategie per la gestione e risoluzione delle potenziali criticità.

In quest’ottica, recentemente l’EIOPA – Autorità europea delle assicurazioni e delle pensioni aziendali e professionali – ha aperto una consultazione pubblicando un discussion paper intitolato “Methodologies of Insurance Stress Testing – Cyber component”, con l’obiettivo di raccogliere i contributi degli stakeholder del settore assicurativo e redigere un report finale sulla tematica.

Resilienza informatica e cyber underwriting risk

Il documento, analitico e approfondito, contiene una serie di principi metodologici, con approcci teorici e pratici, per supportare la fase di progettazione di potenziali futuri stress test assicurativi per il rischio informatico, arricchendo lo strumentario a disposizione di aziende, intermediari e assicuratori.

Due i focus principali su cui viene richiamata l’attenzione:

la resilienza informatica, intesa come la capacità di un’impresa di assicurazione di sostenere l’impatto finanziario di un evento informatico avverso;

– il cyber underwriting risk, inteso come la capacità di un’impresa di assicurazione di sostenere – dal punto di vista del capitale e della solvibilità – l’impatto finanziario di uno scenario informatico avverso estremo, ma plausibile, che colpisca l’attività sottoscritta.

Un tema prioritario

È ormai noto che digitalizzazione e cyber siano diventati due tra i principali elementi di rischio per il settore assicurativo. I rischi legati alla sicurezza informatica stanno ottenendo sempre maggiore attenzione anche da parte delle autorità di regolamentazione sia in Europa sia a livello mondiale e persino il Fondo Monetario Internazionale considera il rischio cyber come un potente fattore di criticità per la stabilità finanziaria.

Secondo le stime dell’FMI, infatti, negli ultimi dieci anni il numero di attacchi informatici è triplicato e i servizi finanziari sono il settore più colpito a causa della crescente digitalizzazione dei modelli di business e della maggiore dipendenza dalle infrastrutture digitali.

I 3 obiettivi dell’attacco alle assicurazioni

Entrando nel dettaglio del tema della resilienza informatica, il documento EIOPA evidenzia che, a livello generale, sono tre le principali motivazioni che spingono i criminali informatici a compiere un attacco verso una realtà assicurativa (anche se, si specifica, il discorso può essere esteso al perimetro dell’intero settore finanziario):

  • ottenere un guadagno finanziario, ad esempio attraverso transazioni dirette non autorizzate o il furto di dati finanziari per attività fraudolente (basti pensare alla mole di dati che una compagnia gestisce ogni giorno);
  • compiere un’azione di spionaggio, ad esempio compromettendo dati riservati archiviati nei sistemi bersaglio;
  • compiere un’azione di sabotaggio, ad esempio cancellando o alterando dati sensibili o prendendo di mira la stessa infrastruttura informatica. Il paper sottolinea come quest’ultimo sia un rischio a cui occorrerà prestare sempre più attenzione nello scenario odierno.
Gli impatti sulle assicurazioni

Analizzando le possibili conseguenze degli attacchi sui player assicurativi, il documento individua cinque situazioni specifiche:

  • perdite finanziarie dirette: derivanti, ad esempio, dal danneggiamento di apparecchiature informatiche o da transazioni non autorizzate;
  • perdite finanziarie dovute a riduzioni dell’attività e delle ore di lavoro a causa dell’indisponibilità dei sistemi;
  • perdite finanziarie dovute agli sforzi di ripristino, che comportano ore di lavoro aggiuntive e in molti casi il ricorso a esperti esterni per affrontare le conseguenze di un attacco;
  • perdita finanziaria dovuta a conseguenze legali: pensiamo ad esempio alle sanzioni che possono essere comminate sulla base della GDPR dalle autorità preposte alla protezione dei dati in caso di violazione degli stessi;
  • danno reputazionale, che potrebbe incidere negativamente sulle relazioni commerciali esistenti e sulle future opportunità di business.
Un primo sguardo agli scenari

La definizione di uno scenario di stress test sul rischio informatico, specifica l’EIOPA, deve partire dalla considerazione di una serie di aspetti: la tipologia di incidente informatico, i fattori di rischio che possono innescare quell’incidente e le possibili conseguenze per l’impresa stessa, i suoi clienti e le eventuali terze parti interessate.

Tutto questo apre scenari differenti a seconda che si sia in presenza del caso “cyber resilience” o “cyber underwriting”.

Un esempio: ransomware/ furto di dati

Nelle cronache degli ultimi anni gli attacchi ransomware si sono imposti come tra i più critici e diffusi.

Un attacco di questa tipologia cripta i computer, rendendo inutilizzabili i file, e può diffondersi in tutta l’organizzazione. I criminali possono inoltre arrivare a minacciare la divulgazione pubblica di dati sensibili e/o dati dei clienti, situazione che chiama in causa anche la GDPR.

Cliccando su “+” è possibile conoscere il dettaglio dell’analisi per scenario e impatto:

Probabilità/plausibilità come scenario di resilienza informatica

Sono noti e di dominio pubblico numerosi attacchi di alto profilo contro le compagnie assicurative.

Inoltre, è noto che gli aggressori si specializzano per settore, per cui è abbastanza probabile che questo tipo di evento si diffonda e arrivi a coinvolgere diversi assicuratori in un breve lasso di tempo.

Probabilità/plausibilità come scenario di cyber underwriting

Le perdite derivanti da questa categoria di attacchi informatici sono aumentate negli ultimi anni.

Un ulteriore significativo incremento potrebbe verificarsi ad esempio qualora gli aggressori utilizzassero nuove tecniche di hacking.

Possibile impatto dello scenario sulla compagnia

A seconda della portata e del livello di sofisticazione dell’attacco, possono essere colpiti siti e sistemi di backup.

Una conseguenza immediata è l’interruzione dei processi aziendali critici e, in caso di perdita di dati, il recupero può essere lungo e difficile.

Nei cosiddetti “attacchi a doppia estorsione”, vengono sottratti anche i dati sensibili, aggiungendo a questo impatto diretto sulle attività aziendali tutte le potenziali conseguenze di uno scenario di “violazione dei dati”.

Possibile impatto dello scenario sul portafoglio assicurativo

Questo evento farà scattare la copertura per business interruption, costi di ricostruzione dei dati, pagamento del riscatto e responsabilità civile per i dati, nei contratti in cui le perdite derivanti da un attacco ransomware non sono escluse.

Per maggiori dettagli e per approfondire i diversi scenari del rischio cyber per le assicurazioni rinviamo al documento integrale.

I contributi

L’EIOPA invita le parti interessate a condividere il proprio feedback entro il 28 febbraio 2023 utilizzando il modello disponibile sul sito e spedendo i contributi via email all’indirizzo eiopa.stress.test@eiopa.europa.eu.

I feedback ricevuti saranno presi in considerazione nella preparazione di un documento metodologico finale che sarà pubblicato sul sito web dell’EIOPA.

Ti potrebbe interessare anche

Approfondimenti N.19 – Marzo 2024
7 min

La creazione di un mercato digitale unico europeo passa dal Data Act

Articolo a cura di Elisabetta Ronzoni addetta Area studi e aggiornamenti di AIBALa strategia europea di creazione di un mercato...

Leggi tutto
Approfondimenti N.19 – Marzo 2024
4 min

Danni all’ambiente: 7 su 10 si possono evitare con le opportune misure

Ogni anno sono più di 1.000 i casi di danno all’ambiente che si verificano in Italia. La gran parte di...

Leggi tutto
Approfondimenti N.19 – Marzo 2024
14 min

Obbligo copertura NatCat per imprese: la parola al Segretario Generale Pietro Negri

A chi si rivolge l’obbligo di copertura? Anche alle imprese che hanno i capannoni in affitto?Dal lato soggettivo la norma si rivolge espressamente...

Leggi tutto
Approfondimenti N.19 – Marzo 2024
3 min

Mezz’ora coi soci: il nuovo format di aggiornamento sulle attività associative

Conoscere più da vicino il lavoro svolto dall’Associazione e presentare le novità di rilievo e le attività in corso. Sono...

Leggi tutto
Approfondimenti N.18 – Dicembre 2023
5 min

AIBA in audizione alla Commissione Ambiente alla Camera

A fine ottobre AIBA è stata ricevuta in audizione presso la Commissione Ambiente della Camera dei Deputati in merito al...

Leggi tutto
Approfondimenti N.18 – Dicembre 2023
6 min

DdL Bilancio 2024: fare cassa o garantire la consulenza alla clientela?

Esercitando la propria funzione di rappresentanza, AIBA ha recentemente manifestato agli stakeholder del mondo politico e istituzionale la propria preoccupazione...

Leggi tutto
Approfondimenti N.18 – Dicembre 2023
2 min

Michele Pasinetti è il nuovo Presidente di AIBA Giovani

Michele Pasinetti è il nuovo Presidente di AIBA Giovani, eletto nelle scorse settimane durante la riunione del Gruppo Omogeneo dei...

Leggi tutto
Approfondimenti N.17 – Ottobre 2023
5 min

Cyber: rischi normativi e reputazionali al centro dei timori delle imprese

Negli ultimi giorni, uno studio approfondito di Deloitte su un campione di dirigenti italiani ha fornito un quadro aggiornato sulla...

Leggi tutto
Approfondimenti N.17 – Ottobre 2023
5 min

La cultura del rischio nel Mese dell’Educazione Finanziaria

Ottobre è il Mese dell’Educazione Finanziaria, l’iniziativa promossa dal Comitato per la programmazione e il coordinamento delle attività di educazione...

Leggi tutto
Usiamo i cookie per darti la migliore esperienza d'uso possibile.
Privacy Policy