L’amministratore delegato di uno dei maggiori assicuratori europei ha avvertito che gli attacchi informatici, come le catastrofi naturali, non potranno più essere assicurati, in considerazione dell’aumento incontrollato delle attività malevoli degli hackers.
Negli ultimi anni i dirigenti del settore assicurativo hanno lanciato l’allarme sui rischi sistemici, come le pandemie e i cambiamenti climatici, che mettono a dura prova la capacità del settore di fornire adeguata copertura. Per il secondo anno consecutivo, si prevede che i sinistri causati da catastrofi naturali supereranno i 100 miliardi di dollari.
Mario Greco, amministratore delegato dell’assicurazione Zurich, ha dichiarato al Financial Times che il rischio da temere più di tutti è quello informatico: “Ciò che diventerà non più assicurabile sarà il danno da attacco cyber”. Poi enfatizza: “E se qualcuno prendesse il controllo di parti vitali della nostra infrastruttura, quali sarebbero le conseguenze?”.
I recenti attacchi che hanno mandato in tilt ospedali, bloccato oleodotti e preso di mira dipartimenti governativi hanno alimentato la preoccupazione di questo rischio tra i dirigenti del settore. Secondo Greco, concentrarsi sul rischio per la privacy dei singoli individui significa perdere di vista il quadro generale. “Prima di tutto, deve esserci la percezione che non si tratta solo di dati… Si tratta di civiltà. Queste persone possono disturbare gravemente le nostre vite”.
L’aumento vertiginoso delle perdite informatiche ha indotto i sottoscrittori a prendere misure di emergenza per limitare l’esposizione. Oltre a far lievitare i prezzi, alcuni assicuratori hanno risposto alla minaccia modificando le polizze in modo da contenere al massimo le perdite. Esistono esenzioni scritte nelle polizze per alcuni tipi di attacchi. Gli esperti cyber hanno avvertito, però, che l’aumento dei prezzi delle polizze assicurative con tutte queste eccezioni potrebbero scoraggiare, in futuro, l’acquisto di tutele assicurative.
Nel 2019, Zurich ha inizialmente negato una richiesta di risarcimento di 100 milioni di dollari da parte del gruppo alimentare Mondelez, derivante dall’attacco NotPetya, sulla base del fatto che la polizza escludeva l’azione bellica. Le due parti si sono poi accordate.
A settembre, Lloyd’s di Londra ha intrapreso una nuova linea chiedendo che le polizze assicurative stipulate sul mercato prevedano un’esenzione per gli attacchi sostenuti da uno Stato. Una mossa responsabile ma di difficile attuazione perchè è impossibile identificare i responsabili degli attacchi e le loro affiliazioni.
Greco ha detto che c’è, pertanto, un limite a quanto il settore privato può assorbire, in termini di sottoscrizione di tutte le perdite derivanti dagli attacchi informatici. Ha invitato, quindi, i governi a “istituire schemi pubblico-privati per gestire i rischi informatici sistemici che non possono essere quantificati, simili a quelli che esistono in alcune giurisdizioni per i terremoti o gli attacchi terroristici”.
A settembre scorso, il governo degli Stati Uniti si è mosso valutando l’opportunità di una risposta assicurativa federale per gli attacchi cyber, che potrebbe far parte o essere esterna all’attuale programma assicurativo pubblico-privato per gli atti di terrorismo.
A giugno, un rapporto del Government Accountability Office statunitense ha evidenziato la possibilità che gli incidenti informatici si “ripercuotano” su altre imprese collegate. Secondo il rapporto, esempi come l’hacking del Colonial Pipeline, che ha creato temporanee carenze di benzina nel sud-est degli Stati Uniti, dimostrano “la possibilità che un singolo incidente informatico possa ripercuotersi sulle infrastrutture critiche con conseguenze catastrofiche”.