Mai come in questa settimana abbiamo capito che la Rete non è un luogo sicuro. Truffe, hacker, attentati ai siti di banche e istituzioni da parte di collettivi filorussi… Conviene proteggersi. Ma da quali cyber risk ci proteggono le assicurazioni? Risponde uno dei massimi esperti del settore, Josephine Wolff
Cybercrime: in Italia e nel mondo sono in costante crescita. Ne avevamo parlato pochi giorni fa qui con un focus sui reati che passano dalla rete e coinvolgono i minori. E poi questa settimana il problema è deflagrato, con l’attacco del collettivo russo a siti di banche e istituzioni. Ma, purtroppo, a fare i conti con i criminali del web sono tutti coloro che navigano nel web: il 64,4% della popolazione mondiale (secondo i dati emergono dal report annuale “Digital 2023”). Proprio su queste pagine un vero esperto della materia come Raoul Chiesa, torinese, classe 1973, hacker pentito, ci ha raccontato come siano proprio i nostri comportamenti a esporci al rischio di essere fregati. Che fare?
A protezione della propria privacy online, con l’obiettivo di ridurne i rischi associati, la cyberinsurance gioca un ruolo molto importante. È una materia ancora poco studiata ma permette di assicurare la responsabilità civile per i servizi informatici con un contratto che le imprese possono acquistare. In questo modo, la cyberinsurance copre la responsabilità dell’organizzazione contro la maggior parte delle violazioni dei dati causate da un incidente di cybersecurity. Ma riesce davvero a proteggere da tutti i danni legati al mondo cyber? Abbiamo approfondito l’argomento con la dottoressa Josephine Wolff, professore associato di Cybersecurity alla Fletcher School della Tufts University dal 2019 e autrice di due pubblicazioni di approfondimento del tema: “You’ll See This Message When It Is Too Late: The Legal and Economic Aftermath of Cybersecurity Breaches”, del 2018 e “Cyberinsurance Policy: Rethinking Risk in an Age of Ransomware, Computer Fraud , Data Breaches, and Cyberattacks”, pubblicato lo scorso anno.
Leggi anche: Cybercrime: cosa sono i wiper, perché bisogna starci attenti e cosa c’entrano con la guerra in Ucraina
Professoressa Wolff, perché è importante dedicare tempo alla cyberinsurance?
Il settore della cyberinsurance è oggi molto importante perché gli incidenti di sicurezza informatica – che vanno dalla violazione dei dati personali alla negazione della possibilità di utilizzare un determinato servizio fino alle frodi informatiche e ai ransomware – sono sempre più comuni.
A che punto siamo nella valutazione dell’assicurazione del rischio?
Siamo in carenza di dati certi sui rischi informatici. Di conseguenza, i modi in cui queste politiche vengono prezzate e progettate è molto a istinto o “a tentoni”, ci si basa sui pochi dati certi che abbiamo. Poiché non ci sono obblighi di segnalare gli incidenti di sicurezza che avvengono online, oltre alle violazioni di informazioni personali, non abbiamo a disposizione dati solidi. Questo quadro rende tutti questi modelli molto instabili. E senza una buona base di dati per quantificare i rischi informatici, le compagnie di assicurazioni sono diventate molto scettiche nei confronti di questo settore. Quando ci siamo trovati di fronte, ad esempio, al picco di ransomware nel 2020, le stesse compagnie di assicurazione non sono state sicure dei propri metodi di modellazione e quantificazione del rischio informatico.
“Abbiamo a disposizione pochi dati certi”
Quali sono gli altri temi che ha voluto far emergere nel libro?
Un altro punto centrale che ho voluto evidenziare nel libro è che anche la valutazione della sicurezza informatica dei contraenti è molto incerta. Per lo più le assicurazioni inviano lunghi questionari alle aziende chiedendo: “Usi l’autenticazione a più fattori? Hai un firewall?“. Le aziende rispondono di sì ma, in realtà, molte di queste domande non presuppongono una risposta binaria con un “sì” o un “no”; pertanto si presenta questa ulteriore complicazione nella quale tu stai chiedendo alle persone quanto è buona la loro sicurezza ma le domande che fai non catturano tutta la sfumatura e la complessità dei sistemi di cybersecurity. É, quindi, stato davvero difficile per gli assicuratori cercare di sfruttare le loro politiche per migliorare la cybersecurity dei clienti perché non hanno un feedback preciso di come siano protetti quei sistemi e le aziende non sempre sanno quali siano le pratiche migliori da richiedere ai loro clienti. Ottieni una sorta di immagine in cui né la modellazione del rischio da parte dell’assicurazione né la valutazione del rischio sono davvero efficaci come si vorrebbe. Infine, l’ultimo punto che vorrei sottolineare è che c’è ancora una buona parte di ambiguità su cosa le politiche di cyber assicurazione copriranno e non copriranno. In una sezione del libro elenco le controversie. Ad esempio molte persone hanno chiesto: “Vorrei che la mia assicurazione cyber coprisse questo”. E le assicurazioni hanno detto: “No, non copriamo quello“. C’è ancora molta incertezza per i contraenti della polizza. Ci si chiede, ad esempio, se la propria assicurazione copra anche un crimine informatico basato su phishing. Siamo ancora in uno stato confusionale.
Ma quale potrebbero essere, quindi, il futuro di questo settore?
Penso che ci siano due visioni molto divergenti. Una è che il rischio cyber nel settore privato venga gestito dalle assicurazioni che si occupano di questo e, quindi, diventi un settore assicurativo di enormi dimensioni. L’altra faccia della medaglia è che, a un certo punto, ci si renda conto che il rischio cyber non è assicurabile. Tutti smetteranno di offrirlo, allora, perché è troppo rischioso e dovremo trovare un altro modo. E il mio sospetto è che, probabilmente, il futuro di questo settore stia un po’ nel mezzo a queste due visioni: ci saranno certi tipi di rischio cyber che le assicurazioni possono gestire in modo ragionevolmente efficace, ma anche tipi di rischio cyber, attacchi più grandi e catastrofici difficili da prevedere, dove questo non sarà possibile. E dovremo trovare modelli alternativi. Quindi penso che il futuro dell’assicurazione cyber se la giochi nel capire quali tipi di rischio cyber pensiamo di poter gestire.
“Le assicurazioni dovranno capire quali rischi cyber pensano di poter gestire”
Quale è il consiglio che si sente di dare a chi non è uno specialista informatico ma vuole proteggersi dai cyberattack?
Stare molto attenti alla navigazione online. Controllare sempre quali siti web si stanno consultando e quali app si stanno utilizzando. Ci si deve sempre chiedere: “Se sto utilizzando un motore di ricerca o un provider di posta elettronica, cosa sto cedendo?“. E poi si deve prestare attenzione alle opzioni di personalizzazione. Molte piattaforme e applicazioni ora hanno diverse opzioni per i loro clienti; che cosa si vuole condividere con quella determinata app? Penso, quindi, che, invece di concentrarsi sui termini e le condizioni di utilizzo, che sono lunghi, noiosi e snervanti, sia molto più utile prendersi un po’ di tempo per controllare le impostazioni e la privacy.
Josephine Wolff
“Controllare sempre le impostazioni e la privacy”
Come si è appassionata al settore della cyberinsurance?
Prima di scrivere questo libro stavo lavorando su un progetto sulla responsabilità per gli incidenti informatici e chi ne avrebbe dovuto pagare le conseguenze. E mentre lavoravo a quel progetto, molte persone mi hanno detto che questo argomento è una cosa molto complicata. “Chi paga davvero per gli incidenti di sicurezza informatica?”, mi sono chiesta. Questa è stata la domanda di partenza che mi ha spinta a scrivere il libro. Oggi credo che, comunque, sia una questione di tempo. Tra 5/10 anni gli assicuratori, sulla base di una raccolta dati più ampia e approfondita, saranno in grado di formulare nuovi modelli efficaci per la protezione del rischio.
Da quanti anni si occupa di cyberinsurance?
Da dieci anni. In questo lasso di tempo, la politica assicurativa è cambiata. Ci sono sono più clienti, quindi il mercato cresce abbastanza rapidamente e oggi le policies coprono molte più tipologie di rischi informatici. A partire dal 2016 c’è stata una grande richiesta non solo per l’assicurazione contro le violazioni dei dati, ma anche per il ransomware, per le interruzioni, i servizi cloud. Le polizze si sono evolute, coprendo una vasta gamma di rischi informatici, e questo, a sua volta, permette loro di fare affidamento sull’assicurazione. In ultima analisi, direi che ciò che abbiamo visto in questi anni è un mercato assicurativo informatico che è diventato sempre più ampio e maturo con prodotti e servizi in costante crescita.
“Il mercato assicurativo informatico è più ampio e maturo”
In tema di cyberinsurance, la situazione è nella stessa nei paesi dell’Unione Europea rispetto al resto del mondo?Nell‘Unione Europea il mercato della cyber assicurazione è cresciuto molto lentamente e molte persone avevano previsto che, con l‘entrata in vigore del GDPR, ci sarebbe stata una grande spinta per le aziende ad acquistare un’assicurazione cyber. E posso dire che c’è stata una certa crescita dopo l’approvazione del GDPR, ma non come prevedevano gli assicuratori. Credo che ci siano due spiegazioni per questo. Una è che, semplicemente, è un momento sfortunato per acquistare una cyber assicurazione perché sta diventando molto più costosa. Inoltre, gli assicuratori sottovalutano un po’ il fatto che l’UE è un luogo “poco litigioso”; per meglio dire è molto meno probabile che tu venga citato in giudizio per una violazione dei dati. Oppure, se c’è una grande sanzione del GDPR, spesso non è permesso che le assicurazioni coprano quella multa. Pertanto c’è più reticenza a stipulare una polizza assicurativa di questo tipo nell’Unione Europea rispetto, ad esempio, all’America dove le aziende sono molto più preoccupate per i rischi ai quali possono andare incontro.
