Come per i disastri naturali, così per quelli informatici spesso in Italia si accende l’allarme sui rischi catastrofali che si trascinano appresso solo quando si palesano le difficoltà nel prevenirli e controllarli.
Ma la prevenzione non è semplice. Accade per terremoti e alluvioni, così come per gli attacchi hacker che abbiamo vissuto la settimana scorsa contro enti pubblici, banche e società come Tim, Bper e A2A, addirittura in scenari di conflitto web mondiale, legati alle tensioni della guerra russo-ucraina. Secondo il rapporto Clusit, uno degli ultimi dei molti pubblicati di recente sul tema, negli ultimi 5 anni a livello globale gli incidenti informatici sono raddoppiati raggiungendo nel 2022 una media di 190 attacchi al mese. Considerando che sono potenzialmente in grado di mandare in tilt le infrastrutture di un intero Paese, gli investimenti con fondi focalizzati nel digitale e nelle nuove professionalità specializzate con competenze mirate (in Italia ne servono circa 100mila) rappresentano una priorità, per pubblico e privato. Finanza/assicurazioni (+76,7%) sarebbero il terzo settore più colpito dietro multiservizi (+108,3%) e telecomunicazioni (+77,8%).
Il rapporto è perfino ottimista rispetto ad altri che ravvisano scenari perfino peggiori, tutti concordano però nel ritenere che il business globale in questo ambito diventerà trilionario tra qualche anno. “Occorre inserire una previsione sulla cybersecurity in tutti i bandi pubblici e sfruttare le opportunità del Pnrr” suggerisce a proposito Francesco Di Costanzo, presidente della Fondazione Italia Digitale. Negli Stati Uniti due società, Mosaic Insurance e Safe Security, hanno da poco lanciato una piattaforma che aiuta gli underwriter a valutare meglio i rischi informatici per broker e assicurati, e la presenza standard di conformità alla cybersecurity: prima della stipula: i premi delle polizze – secondo Forbes, innalzati nell’ultimo anno dall’impatto dei costi del recupero degli incidenti – risulterebbero così commisurati in maniera più scientifica alla reale esposizione del cliente, collegando su base parametrica misure di sicurezza e copertura assicurativa. È solo un esempio del fermento, anche creativo, che agita ovunque questo campo. Qualcosa di simile è stato implementato il mese scorso da Howden e Yoroi, con il servizio “M&A Cyber Risk Management Solution”.
“Siamo costantemente sotto attacco e non ce ne rendiamo conto – ha detto l’ex generale della Guardia di finanza e Garante della privacy di San Marino, Umberto Rapetto, all’ultimo Leadership Forum Tv Show di EMFgroup -, le banche italiane sono vittime soprattutto di furto di dati e attività fraudolente, che sfruttano l’incompletezza delle procedure“. Per il Cnaipic – l’anticrimine informatico della Polizia postale – il +45% delle denunce per attacchi hacker gravi ai server di pmi e studi professionali italiani, registrato nell’ultimo anno, non rende ancora conto della portata di un fenomeno transnazionale, che spesso va oltre l’estorsione sfociando in spionaggio industriale. Insomma, poche segnalazioni rispetto alle azioni hacker monitorate ogni giorno dalle forze dell’ordine: alcune aziende sono addirittura inconsapevoli dell’attacco subito, altre preferiscono pagare il “pizzo” ai cyber-estorsori per evitare il danno reputazionale derivante dalla comunicazione al Garante della privacy. Tuttavia, contrariamente al rapporto Clusit, per la Polizia Postale i settori «strategici» caratterizzati da importanti investimenti digitali e tecnologici – come appunto banche e assicurazioni – hanno subito solo l’1% di tutti i ramsomware contro il 33% del comparto industriale-manufatturiero.
Secondo l’ultima edizione dell’Osservatorio «Cybersecurity e data protection» del Politecnico di Milano, nel 2022 in Italia sono stati investiti quasi 1,9 miliardi in sicurezza informatica (+18% annuo). Eppure il nostro è l’ultimo dei Paesi del G7, nel rapporto tra investimenti per la difesa digitale e Pil: appena lo 0,1% a fronte dello 0,31% di Usa e Uk, ai vertici della classifica. E anche le polizze assicurative, per coprire i sistemi di protezione di cui già si dispone, sono meno di quante dovrebbero essere. E’ un costo a bilancio, è vero, ma il prezzo da pagare può diventare però incommensurabile se un attacco va a buon fine. Il 50% delle aziende gestisce il rischio con un processo integrato di risk management, il resto esternalizza e poco più del 30% impiega metriche di quantificazione finanziaria del pericolo. Malware e Ddos, che mettono ko i server.
Come abbiamo già osservato su PLTV, ogni soluzione non può prescindere da alcune valutazioni minime: dimensioni e complessità dell’azienda, settore, capacità autonoma di assorbire i costi dell’attacco e controllarne la riservatezza. E un buon prodotto non si limita a proteggere i dati e a coprire l’interruzione di attività e la responsabilità civile, ma copre anche la tecnologia aziendale o operativa, i danni a terzi e i costi operativi al di là del lavoro di recovery. Si tratta di una fattispecie di crimine che punta sui riscatti, diversa dalle truffe nel trading online e negli investimenti in criptovalute. Frodi come phishing, smishing e vishing riguardano più che altro i consumatori, ancora meno propensi a salvaguardarsi dal cyber risk: quello delle polizze private domestiche, associabili magari ad altri servizi per i beni personali, è un business che deve ancora esplodere.
https://www.pltvbroker.it/2023/02/28/machine-learning-iot-big-data-una-finestra-sullinsurtech-2023/