Archivio opinioni
Il Cyber Risk: cos’è e come difendersi
Paolo Tetto
Sommario
1 Premessa
2 Da dove nasce il cyber risk
3 Caratteristiche dell’attacco informatico
4 La gestione del rischio cyber
5 Le polizze assicurative cyber risk
6 Struttura giuridica del contratto
1 Premessa
Con lo sviluppo delle tecnologie digitali, le aziende si trovano a dover gestire un’ampia gamma di dati ed informazioni che riguardano sia il proprio know how ed i dipartimenti interni e sia i propri clienti e fornitori. A tale profonda rivoluzione digitale è connesso il c.d. rischio informatico, il quale può essere definito come il pericolo di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, da intendersi sia quali rischi impliciti della tecnologia stessa e sia quali rischi derivanti dall’automazione dei processi operativi. Tale è il fenomeno del Cyber Risk il quale ormai da anni sta dilagando in tutti gli ambiti professionali e privati.
Il fenomeno in questione, trova la sua origine nell’informatizzazione delle procedure di produzione e delle comunicazioni che, pur costituendo un notevole beneficio per le imprese, sono, allo stesso tempo, causa dell’utilizzo abusivo da parte di taluni soggetti delle connessioni informatiche dell’impresa. Il tutto con lo scopo, o di danneggiare l’impresa sul mercato oppure di entrare in possesso di informazioni sensibili legale all’asset aziendale. Di talché diviene di vitale importanza la gestione del rischio informatico, gestione che può essere riassunta attraverso l’attuazione di quattro passaggi fondamentali: 1) identificazione del rischio; 2) individuazione delle minacce; 3) individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione e 4) identificazione delle possibili contromisure. Tuttavia non sempre le aziende sono in grado di fronteggiare in autonomia tale pericolo, motivo per cui negli ultimi anni vi è stato un importante incremento di sottoscrizione di apposite polizze assicurative al cui interno viene prevista una sorta di responsabilità civile in caso di richieste risarcitorie e crediti di terzi legati alla criminalità informatica ed a cui può essere aggiunta una eventuale copertura delle perdite di fatturato nel caso di interruzioni di esercizio.
2 Da dove nasce il cyber risk
Come accennavamo nelle premesse, il rischio informatico, o cyber risk, è quel tipo pericolo operativo associato alle perdite economiche inflitte ad una organizzazione dalla mancata confidenzialità, disponibilità di integrità di informazioni e/o sistemi informativi, propri o di terzi.
La sua origine può essere di duplice natura: accidentale o deliberata.
La prima ipotesi riguarda eventi che si verificano indipendentemente dalla volontà dei soggetti coinvolti. Tali casi generano il cosiddetto rischio IT, che consiste in tutte quelle conseguenze che derivano da danni accidentali ai sistemi informatici. Si pensi al caso di un incendio, un corto circuito, o perché no, anche a una decisione sbagliata od a un’imprecisione del tecnico informatico di riferimento, o alla più banale delle occorrenze, nel caso dovesse saltare la corrente.
Nel caso invece di natura deliberata del rischio ci troveremo di fronte ad eventi che deriveranno da azioni volontarie di taluni soggetti comunemente definiti hacker. Si tratta quindi di un vero e proprio cyber crime, un reato informatico, che si configura per l’appunto dinnanzi a vere e proprie attività criminali messe in atto ai danni della vittima, sia essa un’impresa o un semplice utente privato, per mano di un soggetto terzo.
Questi fenomeni criminali sono legati il più delle volte alle ipotesi di pirateria informatica, frodi informatiche, danni a dati, programmi e archivi, intercettazioni non autorizzate, fino alla riproduzione non autorizzata di programmi e documenti protetti.
3 Caratteristiche dell’attacco informatico
Diverse sono le fattispecie che rientrano nella sfera del rischio cibernetico, differenziate tra loro sulla base delle conseguenze che ne derivino, conseguenze che possono essere racchiuse in due categorie: danneggiamento e raccolta abusiva di dati.
Nel primo caso ci troveremo difronte al c.d. hacking, definito come quell’insieme di metodi e tecniche volti alla ricerca e lo sfruttamento di eventuali punti deboli del sistema informatico. Altra ipotesi potrebbe essere ad esempio la violazione del copyright posta in essere attraverso il c.d. craking, ovvero la tecnica per il tramite della quale viene alterato il software posto alla base della protezione di una opere intellettuale.
L’ipotesi invece di raccolta abusiva dei dati, il più della volte consiste nel c.d. phishing, un tipo di truffa informatica che può essere definita come quel tentativo di estorcere informazioni personali alla vittima, tra cui dati sensibili come password o codici di accesso, fingendosi un ente affidabile, con il fine di accedere, ad esempio, ai conti correnti del soggetto colpito dall’attacco.
Il crimine cibernetico di cui qui si tratta tuttavia può trovare la sua fonte anche nelle seguenti condotte illecite:
Malware: indentificato a livello informatico come quel tipo di programma che viene utilizzato per creare un disagio all’utente del computer. In buona sostanza consiste nel c.d. virus utilizzato dagli hacker al fine di introdursi in un dispositivo terzo per la raccolta fraudolenta di informazioni private, per creare malfunzionamenti o criptare dati sensibili;
Ransomware: rappresenta un sorta di evoluzione del malwere. È difatti un programma informatico che, infettando il dispositivo, ne impedisce l’accesso all’utente obbligandolo al pagamento di un “riscatto” per potervi accedere nuovamente. Il più delle volte questa pratica viene posta in essere per il tramite dell’invio di una semplice mail al cui interno viene inserito un allegato, un link o un banner pubblicitario su cui l’utente potrebbe accidentalmente accedervi innescando il meccanismo di ricatto.
4 La gestione del rischio cyber
Dinnanzi alla sempre più crescente evoluzione del mondo digitale diventa fondamentale porre in essere un accurata gestione del rischio informatico, di tal modo permettendo una maggiore prevenzione dei danni derivanti da uno degli attacchi di cui abbiamo parlato al precedente punto 3).
La gestione del rischio rappresenta dunque quel processo attraverso il quale si misura o si stima il pericolo derivante da un eventuale attacco, con lo scopo di sviluppare eventuali strategie per fronteggiarlo.
Questo processo di contrasto può essere suddiviso in cinque fasi:
1 Identificazione dei rischi, ovvero l’individuazione delle possibili fonti e degli scenari di rischio cyber che possono colpire l’azienda;
2 Classificazione e stima dei rischi, consistente nella valutazione delle due componenti di rischio/probabilità di accadimento (frequenza con la quale si presuppone che un dato evento possa verificarsi) e gravità/impatto (severità delle conseguenze causate dallo scenario di pericolo);
3 Valutazione dei rischi, posta in essere tramite il confronto tra la possibilità di accadimento e i criteri di appetibilità dell’impresa, e ciò al fine di capire l’effettivo impatto che un attacco informatico potrebbe avere sull’organizzazione aziendale;
4 Trattamento e mitigazione dei rischi, ovvero la pianificazione e attuazione di misure per modificare le due componenti di rischio sopra indicate in modo che possano rientrare nei parametri di sostenibilità aziendali;
5 Trasferimento del rischio attraverso il ricorso a polizze di cyber risk insurance per trasferire a terze parti il pericolo residuo.
Appare chiaro dunque quanto diventi di fondamentale importanza una corretta individuazione delle tecniche di contrasto e gestione del evento dannoso. Nella prassi le soluzioni maggiormente utilizzate dai tecnici di settore variano dalla modifica periodica dei processi informatico-produttivi, delle modalità di gestione ed amministrazione dei dati, alla riduzione attraverso processi di controllo e verifica della probabile causa del rischio al fine di limitarne la gravità delle conseguenze.
Tuttavia, come meglio diremo nel prosieguo, negli ultimi anni stanno sempre più prendendo piede le tutele assicurative per il tramite dell’emissione di apposite polizze di cyber risk insurance.
5 Le polizze assicurative cyber risk
La Polizza Cyber Risk ha dunque la funzione di proteggere le imprese ed i professionisti dalle responsabilità derivanti dalla violazione dei dispositivi di sicurezza e dalla violazione della privacy relativa alla perdita o diffusione non autorizzata dei dati appartenenti a terzi.
Nello specifico tali polizze assicurano copertura:
a in merito alla responsabilità civile e delle spese derivanti dalla violazione della sicurezza della rete e violazione della normativa in materia di protezione dei dati personali e dati aziendali;
b in merito alla responsabilità civile derivante dalla raccolta non autorizzata di dati e mancato invio di adeguata informativa;
c sui costi che l’azienda deve sostenere a seguito di attacchi informatici per ripristinare i dati o per porre rimedio a furti, estorsioni informatiche ecc.;
d sulle perdite di fatturato nel caso di interruzioni di esercizio ed anche la gestione di crisi conseguenti ad attacchi informatici.
Le polizze per il rischio informatico sono stipulate con la forma “all risks” la quale, a differenza delle polizze tradizionali (chiamate “a rischio nominato”) in cui la copertura è prevista solamente per i rischi esplicitati nel contratto, nelle polizze “all risks” viene garantita la copertura per qualsiasi evento dannoso, ad eccezione per quelli espressamente esclusi dal contratto.
Tuttavia, la polizza qui in esame presenta anche talune criticità operative quali ad esempio la corretta individuazione del rischio e la valutazione del danno.
Il primo aspetto, sebbene in alcuni settori assicurativi sia di facile individuazione, nel campo del cyber risulta essere molto più complesso laddove le compagnie assicurative non dispongono ancora di statistiche sufficientemente accurate per essere utilizzate come base per la valutazione del pericolo. E ciò anche in considerazione della rapidissima evoluzione delle tecnologie informatiche e dei modelli di business ad esse collegate.
Di talché, l’esatta portata del rischio informatico viene affidata alla compilazione da parte del futuro assicurato di un questionario talvolta molto complesso e composto da numerosissime domande.
L’altra criticità riguarda invece la corretta valutazione del danno effettivamente subito dall’assicurato a seguito di un incidente o di un attacco informatico.
Orbene, come abbiamo accennato in precedenza, obiettivo dell’attacco cibernetico è quello di sottrarre dati sensibili dell’utenza, sottrazione da cui potrebbero derivare effetti estremamente molto pesanti che non sono di semplice valutazione.
Si consideri ad esempio il danno reputazionale causato dalla pubblicazione di tutti i dati relativi ai clienti di un istituto bancario, di uno studio legale o di una clinica privata. L’orientamento attuale relativo alla determinazione del danno in casi di “data leak” prevede la valorizzazione del singolo dato, e la successiva moltiplicazione per il numero dei dati persi o resi pubblici.
Tuttavia, una simile metodologia di valutazione, in ragione della sua complessità, non permette di individuare una metro di giudizio del danno univoco, lasciando libero spazio a differenti interpretazioni.
6 Struttura giuridica del contratto
Le polizze Cyber, rientranti nella fattispecie dei contratti di assicurazione, trovano le loro linee guide nelle disposizioni contenute nell’artt. 1882 e ss. del Codice Civile.
In particolare, l’art. 1882 c.c., dispone che “l’assicurazione è il contratto col quale l’assicuratore, verso il pagamento di un premio, si obbliga a rivalere l’assicurato, entro i limiti convenuti, del danno ad esso prodotto da un sinistro, ovvero a pagare un capitale o una rendita al verificarsi di un evento attinente alla vita umana”.
La disposizione appena richiamata evidenzia dunque il funzionamento del contratto di assicurazione che deve essere individuato nel trasferimento del rischio dall’assicurato all’assicuratore, identificabile in quel soggetto in grado di sopportare l’evento dannoso per il tramite di quel meccanismo di suddivisione tra tutti gli assicurati definito “comunione dei rischi” e che comporta l’ottenimento di un vantaggio economico.
L’impostazione della norma surichiamata evidenzia dunque come il contratto qui in esame rientri tra quelli c.d. “a prestazioni corrispettive”, che vede da un lato l’assicurato obbligato al versamento del premio e dall’assicuratore obbligato a prestare la garanzia del proprio patrimonio per il ristoro dei danni subiti dall’assicurato a seguito dell’evento dannoso oggetto della polizza.
È inoltre essenziale individuare la causa del contratto di assicurazione al quale, come ad ogni altro contratto, si applica l’art. 1418 c.c., che chiarisce l’essenzialità del requisito della causa del contratto, come degli altri requisiti elencati dall’art. 1325 c.c., ai fini della validità del contratto stesso.
Viene sicuramente d’aiuto definire cosa si debba intendere con il concetto di causa contratto. Nella sua definizione più comune può essere definita come quella funzione economico-sociale del contratto la quale, distinguendosi dall’oggetto del contratto che indica il contenuto dell’accordo, sarà destinata ad essere assimilata nell’individuazione dell’interesse giuridicamente rilevante da soddisfare, e dunque costituendo di fatto il fondamento giuridico del contratto stesso.
Ed allora appare chiaro come, nel caso qui in esame, la causa della polizza Cyber Risk debba essere identificata nella effettiva titolarità del rischio in capo all’assicurato con la sua esposizione ai danni causati dall’eventuale sinistro ed il conseguente interesse dello stesso a vedersi tutelato economicamente dinnanzi agli eventuali danni derivanti dell’evento de quo.
L’esistenza dell’interesse giuridicamente rilevante è fondamentale ai fini della validità del contratto stesso. Ricordiamo infatti che, l’art. 1904 c.c. dispone che il contratto di assicurazione contro i danni è nullo se, nel momento in cui l’assicurazione deve avere inizio, non esiste un interesse dell’assicurato al risarcimento del danno.
Non ci resta infine che analizzare il contenuto minimo che il contratto qui in esame debba avere ai fini della sua validità.
Come ogni contratto assicurativo che si rispetti, anche la polizza cyber risk dovrà contenere al suo interno quelle clausole specifiche volte ad indicare l’oggetto del contratto, cioè la descrizione del rischio da assicurare o il valore assicurato, la durata e il termine entro il quale l’evento assicurato deve verificarsi ed essere eventualmente “denunciato” alla compagnia, il massimale e la presenza di eventuali limitazioni di garanzia, gli eventuali ripensamenti, riscatti e riduzioni; le regole di liquidazione dei sinistri ed infine, gli strumenti di tutela in caso di insoddisfazione o contenzioso.