Assicurazioni
16/03/2020

L’assicurazione cyber risk: una priorità per EIOPA

di David Marino, Partner, Angelo Borselli, Lawyer, DLA Piper

Con il cyber risk ricompreso tra i rischi in assoluto più temuti dalle imprese, non sorprende che l’esigenza di sviluppare e promuovere un mercato per l’assicurazione di tale rischio sia oggi sempre più avvertita.

In un nostro precedente contributo[1] avevamo posto l’accento sulla funzione complementare che l’assicurazione cyber risk ha rispetto alle regole e procedure interne di risk management. Mentre queste ultime sono dirette a prevenire e gestire il verificarsi di un evento di cyber risk, l’assicurazione interviene nel caso di verificazione del rischio, trasferendone le conseguenze dannose a un soggetto terzo, l’assicuratore appunto, a fronte del pagamento di un premio.

Il ruolo dell’assicurazione in tale ambito si apprezza in termini di indennizzo (sia per business interruption che per risarcimento danni nei confronti di terzi) ma anche per una serie di possibili servizi di assistenza accessori: dalla valutazione delle conseguenze dell’evento all’attuazione di misure di pronto intervento per la mitigazione dei danni e il ripristino della normale operatività, dal coinvolgimento di esperti di investigazione forense al supporto nella comunicazione all’esterno ad autorità, clienti e stakeholders più in generale[2].

È in tale prospettiva che la sottoscrizione di polizze cyber risk si configura sempre più come una best practice ed emerge così la necessità per gli amministratori di società di considerare se, in relazione alla società da essi amministrata, si renda necessaria la sottoscrizione di un’assicurazione specifica, a tal fine verificando anche, nell’ambito dei programmi assicurativi in essere, l’esistenza di eventuali “buchi” di copertura rispetto a questo tipo di rischio.

EIOPA ha di recente riaffermato l’importanza del tema, ponendo tra le sue priorità strategiche proprio la creazione di un solido mercato per l’assicurazione del cyber risk, obiettivo questo considerato quale presupposto necessario per favorire l’ulteriore sviluppo dell’economia digitale.

La strategia, che l’Autorità ha riassunto in un report[3] dello scorso febbraio, si fonda essenzialmente da un lato su un’azione catalizzatrice da parte di EIOPA per favorire (anche tramite l’organizzazione di workshops e altre occasioni di incontro) un dialogo continuo tra assicuratori e assicurati rispetto alle esigenze di copertura e alla comprensione delle condizioni d’assicurazione, dall’altro lato su un’attività di supervisione volta a garantire pratiche appropriate di sottoscrizione del rischio.

Sotto quest’ultimo profilo, in particolare, EIOPA avverte come il cyber risk venga sempre più considerato alla stregua di un rischio sistemico, e da qui la necessità di un attento monitoraggio ma anche l’importanza di un confronto che veda protagonisti tra l’altro l’industria assicurativa, la Commissione europea e l’ESRB per considerare eventuali misure di protezione per il caso di attacchi con rilevanza sistemica.

D’interesse è inoltre l’intenzione dell’Autorità europea di considerare insieme agli assicuratori e alla Commissione europea l’opportunità di definire un ramo assicurativo specifico per l’assicurazione del cyber risk, al fine di conseguire una migliore chiarezza sulla copertura assicurativa che viene fornita e consentire altresì una migliore valutazione del rischio.

A completamento della strategia, EIOPA rileva la necessità che vengano raccolti a livello europeo dati su cyber incidents,di quantità e qualità adeguata, anche tramite la creazione di un database anonimo centralizzato, che ne permetta la tassonomia e condivisione, a supporto della sottoscrizione appropriata di questo tipo di rischio.

Da ultimo, preme segnalare che il tema del cyber underwriting rimarrà al centro del dialogo in materia assicurativa tra Europa e Stati Uniti, nell’ambito del più generale EU-U.S. Insurance Dialogue Project avviato nel 2012, e ciò al fine di condividere tra i due lati dell’Atlantico conoscenze ed esperienze sullo stato di sviluppo del mercato dell’assicurazione per il cyber risk, nella consapevolezza che di fronte a rischi di natura globale si impongono convergenze di risposte.




[1] D. Marino, A. Borselli, L’assicurazione cyber risk tra le priorità? Le linee guida ISO su rischi informatici e copertura assicurativa, in Dirittobancario.it, 21 giugno 2019, disponibile al link http://www.dirittobancario.it/news/assicurazioni/assicurazione-cyber-ris....

[2] Si pensi, per esempio, all’obbligo imposto dal GDPR di comunicare all’autorità competente le violazioni di dati personali che comportino rischi per i diritti e le libertà delle persone fisiche.

[3] EIOPA, Strategy on cyber underwriting, disponibile al link: https://www.eiopa.europa.eu/content/cyber-underwriting-strategy_en.

Comments

Inserisci un nuovo commento

CAPTCHA
Questo passaggio serve per prevenire azioni di spam.