Uno dei principali riassicuratori ha stimato a 6000 miliardi di dollari americani il danno economico glo-bale per il 2022 causato dalla cibercriminalità. Questa cifra corrisponde grosso modo alla somma dei danni causati dalla pandemia e dalle relative misure. Agli assicuratori spetta un ruolo importante nella prevenzione e riduzione dei rischi informatici, anche quando si tratta di supportare le aziende e le au-torità con le loro competenze, afferma Gabor Jaimes, esperto cyber presso l’ASA.
Signor Jaimes, cosa rende il cyber un rischio maggiore alla stregua di una pandemia o di un forte terremoto?
L’Ufficio federale della protezione della popolazione (UFPP) nel suo «Rapporto sui rischi 2020» identifica i pericoli che minacciano la Svizzera. Fra gli altri figurano le catastrofi naturali di ogni tipo, gli attacchi cibernetici su larga scala, le pandemie e la penuria di energia elettrica. Tali rischi maggiori possono comportare immensi danni economici e immateriali per l’economia e la società. A causa della crescente globalizzazione e digitalizzazione, alcuni rischi maggiori oggi possono assumere pro-porzioni maggiori rispetto al passato: possono portare il nostro mondo interconnesso a un parziale arresto, soprattutto nell’ambito cyber.
Il danno economico globale per il 2022, causato dalla cibercriminalità, è stimato a 6000 miliardi di dollari americani: una cifra enorme, di cui, come sappiamo, solo una piccolissima parte è assicurata.
I rischi cyber non conoscono confini cantonali o nazionali e sono rilevanti praticamente per tutti i settori. Per questo motivo è necessaria una cooperazione costruttiva a tutti i livelli: Gabor Jaimes, esperto cyber presso l’ASA.
Perché per contrastare i ciber-rischi è necessaria la collaborazione di diversi attori?
In caso di ciberattacco su scala globale, si parla di un potenziale di danno di cento miliardi di franchi o più in tutto il mondo. Anche ricorrendo ai riassicuratori, per gli assicuratori risulta difficile soddisfare le esigenze di copertura del mercato. Tali rischi sistemici possono essere causa di difficoltà finanziarie anche per gli assicuratori e i riassicuratori attivi a livello globale. Per non compromettere i risarcimenti degli assicuratori in altri ambiti, il settore assicurativo deve tenere sotto controllo questi rischi e gestirli di conseguenza. Tuttavia, per garantire che la nostra economia e la nostra società siano protette al meglio, dobbiamo pensare a soluzioni di partenariato con tutti gli stakeholder, compresa la Confederazione. Solo in questo modo possiamo potenziare la ciber-resilienza. Questo è fondamentale non solo per la nostra società, ma anche per rafforzare a lungo termine la piazza economica svizzera.
L'ambito cyber è inoltre un ramo che funziona diversamente da altri settori. Oltre alle usuali conoscenze assicurative, sono necessarie approfondite competenze digitali.
Quali opportunità si presentano per il settore assicurativo in relazione ai ciber-rischi?
Per gli assicuratori, il cyber offre un enorme potenziale di crescita: da un lato, mediante il «Cyber Protection Gap» e l'ambizione di molte organizzazioni e molti Stati di proteggersi meglio e quindi essere più resilienti; dall’altro, mediante le opportunità che si presentano grazie all’inarrestabile digitalizzazione di numerosi processi dell’attività quotidiana aziendale e privata. Per quanto concerne i premi, entro il 2025 il volume attuale dovrebbe più che raddoppiare, passando da 9 a 22 miliardi di dollari americani. Ciò significa che, in un contesto di mercato ben sviluppato, nel giro di dieci anni l’assicurazione cyber quale ramo può diventare una significativa colonna portante per ogni compagnia di assicurazione e riassicurazione, analogamente a quanto avviene oggi per l’assicurazione cose, veicoli a motore, responsabilità civile o malattia.
Non vanno inoltre sottovalutate le spese annuali per la cibersicurezza stimate a livello mondiale a 300 miliardi di dollari americani. Poiché la prevenzione è un presupposto per la copertura assicurativa, esiste un grande potenziale di partenariato tra assicuratori e fornitori di servizi informatici lungo l’intera catena del valore aggiunto e questo sarà un ulteriore incentivo all’innovazione.
L'ambito cyber è inoltre un ramo che funziona diversamente da altri settori. Oltre alle usuali conoscenze assicurative, sono necessarie approfondite competenze digitali, di cui oggi dispongono soprattutto le giovani generazioni. Per il settore assicurativo si tratta di un’opportunità per conquistare questi talenti a lungo termine e per estendere il nuovo approccio e le nuove soluzioni anche ad altri campi.
Come funziona la collaborazione tra i settori in ambito cyber?
I ciber-rischi non conoscono confini cantonali o nazionali e sono rilevanti praticamente per tutti i settori. Ecco perché l’ambito cyber richiede una collaborazione costruttiva a tutti i livelli, che inizia dal notificare il più rapidamente possibile gli incidenti per prevenire la diffusione, ad esempio di un malware in un'azienda, o almeno per ridurne le conseguenze. La trasparenza è fondamentale, ma allo stesso tempo una sfida, perché a nessuna azienda piace ammettere di essere stata vittima di un ciberattacco. Pertanto, è necessario un «porto sicuro» in cui questo scambio di informazioni possa avvenire tempestivamente e secondo regole chiare.
La Confederazione offre una simile piattaforma con il Centro nazionale per la cibersicurezza (NCSC). L'NCSC è un servizio di contatto a livello federale per privati, aziende, autorità e specialisti IT, dove è possibile segnalare incidenti e vulnerabilità informatiche. Il centro è anche responsabile dell’attuazione coordinata della Strategia nazionale per la protezione (NCS) della Svizzera contro i ciber-rischi. Il settore assicurativo ha potuto dare voce e far confluire le proprie richieste nell'elaborazione dell’NCS 2023 e sostiene questa strategia.
Questo ha fatto sì che anche i fornitori di servizi finanziari hanno unito le forze per dare il loro contributo alla ciber-resilienza in un comune accordo. Con il Swiss Financial Sector Cyber Security Centre (FS-CSC), di cui l’ASA è uno dei membri fondatori, offrono una piattaforma per lo scambio di conoscenze, l'accesso a una rete di contatti e la gestione delle crisi e promuovono la collaborazione interistituzionale tra istituti finanziari e autorità nelle questioni strategiche e operative.
Uno dei compiti del settore assicurativo è quello di sensibilizzare i propri clienti aziendali e privati, ma anche la società, sul tema della cibersicurezza e di richiamare l’attenzione sui comportamenti imprudenti, siano essi consapevoli o inconsapevoli..
Quale ruolo può svolgere il settore assicurativo nella prevenzione o nella lotta alla cibercriminalità?
Nell’ambito dell’assicurazione cyber, non è sufficiente consegnare una polizza che regola il pagamento in caso di sinistro. Uno dei compiti del settore assicurativo è quello di sensibilizzare i propri clienti aziendali e privati, ma anche la società, sul tema della cibersicurezza e di richiamare l’attenzione sui comportamenti imprudenti, siano essi consapevoli o inconsapevoli. Gli assicuratori vogliono innanzitutto accertarsi che i clienti dispongano di un solido sistema di difesa, per poi, in caso di sinistro, supportarli al meglio nel far fronte a un attacco. Una comunicazione tempestiva e collaborativa nel migliore dei casi può contenere il problema, evitare danni gravi e limitare un’eventuale interruzione dell’attività.
Parola chiave: resilienza. Cosa può fare ognuna o ognuno di noi per prevenire i ciberattacchi?
I ciberattacchi spesso puntano sull’inconsapevolezza o sull’imprudenza dei collaboratori. I collaboratori devono conoscere il loro ruolo e sapere come proteggersi, perché sono un importante tassello del mosaico nella lotta contro i ciberattacchi. Come privati non si è immuni da possibili attacchi. Se ad esempio viene attaccato l’account di posta elettronica privato o hackerato il conto bancario, da qui il virus può diffondersi. È necessario assicurarsi che tutti i programmi e le applicazioni vengano aggiornati regolarmente e che la protezione antivirus sia conforme agli standard più attuali. La prevenzione rimane sempre la migliore protezione; in seconda battuta entra in gioco l’assicurazione. Tuttavia, non può sostituire il valore immateriale se, ad esempio, si perdono dei dati personali.
Gabor Jaimes
Gabor Jaimes è Incaricato assicurazione cose, cyber e rischi naturali presso l’Associazione Svizzera d'Assicurazioni ASA. Vanta più di 20 anni di esperienza nel settore della riassicurazione, di cui circa 15 anni presso Swiss Re. Da circa 5 anni lavora intensamente al tema dell’assicurazione cyber ed è membro del comitato direttivo dello Swiss Financial Sector Cyber Security Center (FS-CSC).
