Il presente contributo analizza la posizione dell’EIOPA nei suoi due nuovi Supervisory Statement relativi all’esclusione degli eventi sistemici e alla gestione del cyber risk nei prodotti assicurativi.
Come è noto, EIOPA, autorità di vigilanza delle assicurazioni e delle pensioni aziendali o professionali, è un organo indipendente che fornisce pareri alla Commissione europea, al Parlamento europeo e al Consiglio dell’UE e che fa parte del sistema europeo di vigilanza finanziaria.
EIOPA contribuisce attivamente a creare una cultura comune a livello dell’Unione Europea nonché a sviluppare strumenti pratici di convergenza e prassi comuni in materia di vigilanza[1].
Nell’adempimento del proprio mandato, il 22 settembre 2022 EIOPA ha pubblicato due nuovi Supervisory Statement aventi ad oggetto: (i) le esclusioni relative agli eventi sistemici e (ii) la gestione del “non-affirmative” cyber risk[2].
Tali Statement, rivolti alle Autorità di vigilanza degli Stati membri dell’Unione, pur non essendo dotati di efficacia vincolante, giocano un ruolo chiave nella creazione di un quadro normativo e regolamentare comune oltre ad offrire importanti indicazioni ai players del mercato su come strutturare i propri prodotti.
Nel seguito, una breve panoramica del contenuto delle raccomandazioni in esame.
1. Le esclusioni di copertura dei rischi derivanti da eventi sistemici
1.1. Gli eventi sistemici e i prodotti assicurativi
In via generale, comprendere cosa ricada nell’ambito del rischio “assicurato”, di quello “escluso” (i.e. astrattamente rientrante nel rischio assicurato, ma escluso per espressa previsione di polizza) e di quello “non compreso” (cioè avente ad oggetto eventi diversi da quelli assicurati)[3] rappresenta una delle questioni più problematiche nell’interpretazione di un contratto assicurativo.
Ad esempio, in più di un’occasione i tribunali italiani, in assenza di specifiche esclusioni di copertura, si sono spinti ad estendere l’ambito applicativo di contratti di assicurazione di RC professionale anche a casi non espressamente contemplati nella polizza, laddove il sinistro si fosse comunque verificato nell’esercizio di attività tipicamente esercitabili dal professionista[4].
La descrizione puntuale del perimetro del rischio oggetto di assicurazione diviene dirimente quando si verificano eventi sistemici.
Per eventi sistemici si intendono eventi in grado di causare dissesti su larga scala tali da ripercuotersi sull’economia, sul sistema sanitario, sulla sicurezza pubblica, etc. Eventi quali la pandemia da Covid-19, il climate change, il conflitto Russia/Ucraina e i sempre più frequenti cyber-attacks sono solo alcuni tra i possibili accadimenti in grado di trasformarsi in eventi sistemici.
Tali eventi si ripercuotono inevitabilmente anche sulle polizze, i cui testi, soprattutto in termini di “esclusioni di copertura”, non sempre sono impeccabili.
Ciò comporta:
- da un lato, l’esigenza delle compagnie assicurative di contenere la propria esposizione, introducendo, spesso ex post, nuove esclusioni (sia che eventi sistemici fossero ritenuti “inclusi” sin dal principio, sia nelle ipotesi in cui non fossero né inclusi né tantomeno esclusi);
- dall’altro, l’inevitabile incremento del numero dei reclami e dei contenziosi.
Per rendersi conto di quanto tali temi siano attuali, basti pensare all’impatto (in termini di incertezze interpretative) che la pandemia ha avuto sulle coperture business interruption e sulle più comuni polizze travel, entrambi prodotti che, prima della diffusione del Covid-19, il più delle volte non contemplavano nel perimetro di copertura gli eventi pandemici.
Tale carenza è stata infatti oggetto di scrutinio da parte delle più autorevoli Corti internazionali, le quali, a seconda dell’approccio adottato, sono giunte a conclusioni opposte.
Si pensi, ad esempio, alla nota pronuncia della Corte Suprema inglese emessa nel gennaio 2021 a seguito dell’azione promossa dalla FCA (i.e. Financial Conduct Authority) nei confronti di alcuni assicuratori volta a chiarire dubbi sull’applicazione al contesto pandemico di alcune clausole ricorrenti delle polizze di business interruption[5]. In tale pronuncia la Suprema Corte ha concluso per un’interpretazione estensiva delle clausole in questione, ampliando sostanzialmente il perimetro della copertura.
Al contrario, la Corte Federale australiana[6] in una recente sentenza del 21 febbraio 2022, attenendosi ad un’interpretazione più letterale e restrittiva, ha accolto diverse eccezioni di copertura sollevate dagli assicuratori ritenendo, ad esempio, che gli ordini restrittivi emessi dal governo per fronteggiare la pandemia non fossero di per sé sufficienti a dimostrare l’esistenza di un nesso causale tra la business interruption e la perdita subita dall’assicurato, dovendo dimostrarsi, al contrario, che la misura restrittiva adottata fosse la diretta conseguenza di una condizione insorta presso o nelle vicinanze delle proprietà assicurate.
Secondo l’analisi condotta da Eiopa, gli effetti della pandemia sul mercato assicurativo hanno determinato non solo un incremento dei contenziosi bensì anche un più generale impatto negativo sulla percezione del prodotto da parte dell’assicurato il quale, sempre più spesso, a fronte di un testo non chiaro seguito da un diniego (ancorché legittimo) di copertura, perde fiducia nello strumento assicurativo, reputandolo inidoneo a soddisfare le proprie esigenze.
Seppur tali eventi impattino le differenti classi di rischio in maniera diversa, esistono tuttavia alcune criticità ricorrenti:
- una inadeguata applicazione delle procedure POG[7] nell’ambito della revisione dei testi di polizza successiva al verificarsi di eventi sistemici che si traduce nella mancata valutazione delle effettive esigenze e caratteristiche del target market di riferimento e,
- la distribuzione di nuovi prodotti ad hoc nel periodo immediatamente successivo al verificarsi dell’evento sistemico con limiti ed esclusioni di copertura che non sono sufficientemente chiari a causa dell’utilizzo di tecniche di comunicazione in alcuni casi fuorvianti.
1.2. Le aspettative di Eiopa
L’obiettivo di Eiopa è quello di creare un approccio comune da parte di tutte le Autorità di vigilanza nazionali rispetto agli eventi sistemici, dapprima vigilando sull’effettiva verifica da parte delle compagnie – ovvero dei manufacturer de facto[8] – sulla chiarezza, precisione e sufficiente determinatezza delle esclusioni contenute nei contratti assicurativi e, in secondo luogo, sulla corretta applicazione delle procedure POG, laddove l’ambiguità dei testi richieda una loro revisione.
In particolare, nel Supervisory Statement oggetto di esame Eiopa delinea una sorta di vademecum delle attività reputate imprescindibili al fine raggiungere l’obiettivo sopra descritto, tra cui:
- l’incremento della qualità e della quantità delle informazioni, anche in fase precontrattuale, relative alle esclusioni applicabili, per permettere ai potenziali assicurati di comprendere appieno il perimetro del rischio assicurato prima della stipulazione del contratto;
- l’utilizzo di un linguaggio semplice, chiaro ma nel contempo preciso e dettagliato, evitando espressioni vaghe o fuorvianti;
- la redazione accurata dei DIP[9] oltre che di tutta la documentazione precontrattuale, avendo cura di consegnarla all’assicurato almeno qualche giorno prima della sottoscrizione della polizza;
- la predisposizione e l’aggiornamento – ovvero la revisione periodica – delle esclusioni contenute nei testi di polizza nel rispetto delle procedure POG, tenendo bene a mente quale sia il mercato di riferimento ed effettuando tutti i test e tutte le verifiche necessarie alla modifica sostanziale di un prodotto, così da fare emergere, per tempo, eventuali problematiche o incertezze interpretative.
Proprio su tale ultimo aspetto sembra concentrarsi l’attenzione di Eiopa, confermando ancora una volta l’importanza crescente che i sistemi POG ricoprono nel panorama assicurativo attuale e sui quali continuerà, con ogni probabilità, ad essere focalizzata l’attenzione delle Autorità nazionali di vigilanza nel prossimo futuro.
2. La gestione del non-affirmative cyber risk
2.1. Il cyber risk nel panorama attuale
Negli ultimi anni abbiamo assistito ad un incremento esponenziale della quantità e portata degli attacchi cyber, in termini di modalità, frequenza e soggetti destinatari[10]. L’accelerazione significativa dei processi di digitalizzazione anche a causa della pandemia e l’instabilità economico – finanziaria conseguente al conflitto Russia/Ucraina hanno influenzato ulteriormente tale scenario.
Eiopa ritiene che il settore assicurativo, e ancor di più quello riassicurativo, giochino un ruolo chiave nel mercato ai fini della gestione e mitigazione dell’impatto del rischio cyber.
Tuttavia, affinché tale gestione sia efficiente ed efficace è di fondamentale importanza che le condizioni di assicurazioni siano redatte in maniera chiara e non fuorviante e che la “terminologia cyber” sia utilizzata in modo uniforme in tutti i prodotti.
Ciò vale non solo per i prodotti specificamente pensati e sviluppati per la copertura del rischio cyber ma anche per tutte quelle polizze che potrebbero essere impattate, anche indirettamente, da tali eventi.
L’esposizione al rischio cyber per gli assicuratori, infatti, potrebbe derivare anche da prodotti assicurativi nei quali tale rischio non è stato né espressamente escluso né tantomeno incluso (il cd. “non affirmative cyber risk” o rischio cyber “silente”). In tali ipotesi, il verificarsi di un attacco informatico si tradurrebbe inevitabilmente in una situazione di incertezza.
Per evitarla è di primaria importanza, secondo Eiopa, che le compagnie assicurative e riassicurative implementino adeguate procedure di sottoscrizione e gestione del rischio cyber (soprattutto se silente) e che, nel contempo, le Autorità di vigilanza nazionali incrementino la propria attività di controllo e supervisione.
2.2. Le aspettative di Eiopa
Sono vari gli aspetti sui quali Eiopa ritiene che debbano concentrarsi le Autorità di vigilanza nazionali.
In primo luogo, assicurare che le compagnie adottino procedure volte a valutare e ponderare adeguatamente la propensione alla sottoscrizione di rischi cyber nel più ampio quadro della strategia di assunzione dei rischi e che tali policy siano oggetto di una specifica attività di monitoraggio da parte degli organi di gestione e controllo dell’impresa stessa.
Inoltre, le compagnie dovranno efficacemente identificare, gestire e monitorare la propria esposizione a potenziali rischi cyber silenti e, in ogni caso, prediligere testi di polizza in cui sia assunta una posizione specifica con riferimento a tale rischio (i.e. escludendolo o includendolo espressamente) ovvero rivedere tempestivamente i propri prodotti qualora si rivelino inadeguati sotto tale aspetto.
Ancora una volta Eiopa ribadisce l’importanza di redigere condizioni di assicurazioni chiare e del loro costante aggiornamento, auspicando, ad esempio, una revisione delle tradizionali esclusioni degli eventi di guerra e terrorismo le quali, a fronte della crescente digitalizzazione, potrebbero non risultare più attuali e condurre ad incertezze interpretative.
Eiopa conclude lo Statement sottolineando l’importanza che il settore riassicurativo ricopre nella gestione del cyber risk, esortando le Autorità di vigilanza nazionali ad accertarsi che le compagnie siano in grado di rivolgersi al mercato riassicurativo avendo adeguatamente ponderato la propria propensione al rischio.
[1] Cfr. Reg. (UE) n. 1094/2010.
[2] Consultabili entrambi al seguente link: https://www.eiopa.europa.eu/document-library/supervisory-statement/supervisory-statement-management-of-non-affirmative-cyber_en.
[3] Cfr. M. Rossetti, Il Diritto delle Assicurazioni, v. I.
[4] Cfr. cfr. Cass. civ. 15030/2005 e Cass. civ. 2460/2009.
[5] Sul punto si veda anche: https://www.dlapiper.com/it/italy/insights/publications/2021/01/uk-supreme-court-judgment-in-the-fca-covid-19-business-interruption-insurance/
[6] Sul punto si veda anche: https://www.dlapiper.com/en/italy/insights/publications/2022/03/second-australian-covid-19-bi-test-case-appeal-judgment-summary/#:~:text=The%20judgment%20relates%20to%20appeal,by%20Justice%20Jagot%20in%202021.
[7] Product Oversight Governance, con tale espressione si intendono le procedure in materia di governo e controllo dei prodotti assicurativi introdotte dalla IDD.
[8] L’intermediario assicurativo che sia nella realizzazione di un nuovo prodotto sia nella modifica di un prodotto esistente, ne determini autonomamente gli elementi significativi.
[9] Documento Informativo Precontrattuale Danni, introdotto dal Reg. UE 2017/1469 dell’11 agosto 2017 e parte dell’informativa precontrattuale dei prodotti assicurativi.
[10] Dall’analisi condotta da Eiopa è emerso che, oltre alle grandi società, da sempre nel mirino degli hackers, sono aumentati gli attacchi anche nei confronti delle PMI le quali, molto spesso, sono dotate di sistemi di cybersicurezza meno avanzati.
