Gli attacchi informatici figurano tra i rischi principali. I potenziali bersagli non sono solo le grandi aziende. Anche gli assicuratori hanno riconosciuto da tempo il problema adeguando di conseguenza le proprie offerte.
È una cifra che fa riflettere: da un recente sondaggio dell'istituto di ricerche di mercato e sociali gfs-zürich, in Svizzera una PMI su quattro è già stata presa di mira da un attacco informatico. Non sorprende dunque che anche il settore assicurativo si occupi di questo tema. La Mobiliare ha ad esempio istituito un Centro di competenza Cyber Risk che mira a sensibilizzare le aziende sui pericoli che esistono in rete. Un attacco informatico può manifestarsi sotto forma di virus, di furto di dati o di sovraccarico di rete indotto deliberatamente. «Questi attacchi stanno diventando sempre più professionali», spiega Andreas Hölzli, direttore del Centro di competenza Cyber Risk. Per Hölzli non è un caso che le PMI siano spesso bersaglio di attacchi informatici: «Le aziende più piccole godono spesso di una protezione meno efficace rispetto alle grandi aziende». Forse perché non sono consapevoli del pericolo, o forse perché semplicemente mancano i fondi per realizzare una difesa efficiente contro questo tipo di attacchi. Per i criminali queste aziende sono un bersaglio ideale: «Di principio ad essere minacciate sono tutte le aziende che usano un sistema informatico e che sono collegate a Internet» spiega Hölzli. «Proprio per questa ragione ampliamo costantemente la nostra gamma di prodotti e sviluppiamo rispettivi servizi nel settore della gestione dei rischi.» La Mobiliare offre ad esempio ai propri clienti un servizio per sensibilizzare i collaboratori nella gestione dei rischi informatici simulando anche attacchi di phishing con valutazione della reazione dei dipendenti.
Nella lotta alla cibercriminalità la prevenzione è un fattore decisivo. Anche Maya Bundt, Head Cyber & Digital Solutions presso il riassicuratore Swiss Re, è di questo avviso. «Spesso si tratta in primo luogo di creare la consapevolezza del rischio.» In tutto il mondo gli esperti informatici di Swiss Re lavorano per riconoscere i pericoli più attuali. «I rischi informatici sono il lato oscuro della digitalizzazione» spiega Bundt. «Maggiore è il progresso tecnologico, più rapidamente aumenta anche il rischio – su scala mondiale – in questo ambito.» Anche il Centro nazionale per la cibersicurezza (NCSC) segue da vicino questa evoluzione. «Negli ultimi anni la cibersicurezza ha acquisito maggiore importanza a tutti i livelli» sottolinea Max Klaus, capo sostituto della sezione Cibersicurezza operativa. Il fatto che molte aziende credano ancora oggi di non essere abbastanza interessanti per un attacco è però un grande errore. «Ogni azienda ha dei dati interessanti. Possono essere informazioni sui collaboratori, dati finanziari o dati sensibili relativi ai clienti. Per chi effettua l'attacco non è importante sapere quali dati sono interessati. Non appena i dati hanno un valore economico o emotivo per i bersagli, essi sono probabilmente disposti a pagare un riscatto». Gli attacchi informatici avvengono spesso sulla base di un ricatto. Ciò avviene ad esempio introducendo un cosiddetto «trojan a criptazione» in una rete aziendale, ovvero un malware in grado di crittografare tutti i dati dell'azienda tenendoli «in ostaggio» fino al pagamento di un riscatto. Se si ricevono richieste di questo tipo, la raccomandazione del NCSC è chiara: non pagare! «Non vi è alcuna garanzia che una volta pagato il riscatto sarà possibile ripristinare i dati» spiega Max Klaus. L'attacco va invece denunciato alla polizia.
«Di principio ad essere minacciate sono tutte le aziende che usano un sistema informatico e che sono collegate a Internet»
Se nonostante le precauzioni adottate si è comunque bersaglio di un attacco informatico, la maggior parte delle assicurazioni offre ormai buone coperture. Per Andreas Hölzli queste prestazioni si possono suddividere in tre ambiti: danni propri, danni a terzi e protezione giuridica. Le assicurazioni offrono ad esempio un indennizzo in caso di perdita di dati o di interruzione d'esercizio. Gli assicuratori forniscono inoltre consulenza ai loro clienti nella valutazione del rischio di attacchi informatici e di potenziali punti deboli. «Spesso basta una buona protezione di base per evitare gli attacchi» sottolinea Hölzli. Una cosa è certa: la dinamica e la crescente complessità dei cyber-rischi saranno un tema di cui le assicurazioni dovranno occuparsi anche in futuro.
«Attualmente osserviamo una vera e propria competizione tra chi può sferrare attacchi e i potenziali bersagli» spiega Andreas Hölzli de La Mobiliare.
Indicazione: con il modulo di segnalazione del Centro nazionale per la cibersicurezza è possibile registrare e notificare attacchi informatici.
Il coronavirus ne è una prova: quando accade qualcosa per cui la società non è sufficientemente preparata, le conseguenze possono essere molto serie. Questo vale per le pandemie tanto quanto per gli altri rischi. A giugno 2020, l’ASA ha deciso di creare una matrice di rischio settoriale per quegli eventi che espongono i settori a rischi non assicurati contrattualmente. Tale matrice dovrebbe facilitare l’identificazione e la classificazione tempestiva dei rischi. Come inizio degli eventi, l’ASA ha definito tre categorie: a breve termine (inizio entro un anno), a medio termine (inizio entro unotre anni) nonché a lungo termine (inizio dopo tre anni). Il potenziale di danno è stato suddiviso in basso, medio e alto, tenendo conto del coinvolgimento di singole società nonché del coinvolgimento parziale o completo dei settori. È emerso che ciascuna categoria presenta rischi essenziali, che per l’assicurazione saranno di fondamentale importanza. Tra i principali grandi rischi sono stati identificati le pandemie e gli attacchi informatici. Sulla base dei riscontri dei comitati, in futuro l’ASA concentrerà maggiormente i suoi sforzi per contribuire a giungere ad una comprensione comune attraverso l’identificazione e la classificazione di rischi emergenti e trasversali. Ciò implica anche lo sviluppo di misure mitigative (scambio di informazioni, aumento della resilienza) come pure, all’occorrenza, l’attivo coordinamento nella loro attuazione.