Colmare le lacune con l’assicurazione cyber
Jesús Pampín, responsabile underwriting nell’assicurazione cose della Vaudoise, aiuta la clientela a prepararsi ai pericoli del mondo digitale. In questa intervista, spiega come possono ancora migliorare anche gli assicuratori e perché possono già svolgere un ruolo di supporto e consulenza in caso di attacchi informatici.
Jesús Pampín, un sondaggio dell’ASA mostra che attualmente solo l'8,7 percento delle aziende è assicurato contro i rischi informatici. La consapevolezza di questi rischi è semplicemente ancora troppo bassa?
La consapevolezza è certamente aumentata negli ultimi anni. Quando nel 2017 abbiamo introdotto l’assicurazione cyber presso la Vaudoise, solo poche PMI sapevano dell’esistenza di soluzioni assicurative in questo settore. Da allora, la sicurezza informatica è diventata un tema importante per i dirigenti di molte aziende. Il problema è che, sebbene molte persone siano consapevoli della minaccia, praticamente nessuno sa come proteggersi nel modo giusto e dove trovare supporto. Inoltre, in tanti non sanno nemmeno in cosa consista un’assicurazione contro i rischi informatici.
Esiste un cliente «tipico» dell’assicurazione cyber o un settore particolarmente sensibile al tema?
Non attribuirei questa particolarità a un settore specifico. Nel settore delle PMI, la nostra clientela spazia da avvocati e studi medici a imprese di artigiani. È però certo che le grandi aziende hanno più capacità per affrontare questo problema. Dispongono di una gestione completa del rischio e reparti IT che si occupano di sicurezza informatica.
Ha assunto un ruolo pionieristico nell’assicurazione cyber: Jesús Pampín.
Qual è la situazione delle aziende che vogliono stipulare un’assicurazione cyber?
È tuttora raro che le aziende ci chiedano specificamente un’assicurazione cyber. La maggior parte delle aziende non è nemmeno a conoscenza di questa offerta. Il nostro compito è quello di informarle in modo proattivo riguardo a questa lacuna assicurativa e spiegare loro esattamente cosa copre l’assicurazione cyber. Ed è proprio questa la sfida per noi assicuratori: anche per noi il rischio è piuttosto nuovo e il nostro compito è quello di creare un know-how nella vendita in grado di offrire un’elevata qualità della consulenza, sia al momento della stipulazione dell’assicurazione sia in caso di sinistro. Un certo processo di maturazione è necessario pure per noi assicuratori. Si aggiunge poi il fatto che per poter stipulare un’assicurazione, un’azienda deve disporre di un minimo di misure di protezione. Potremmo denominare questo aspetto «igiene informatica».
Di quali misure di protezione si tratta?
Insieme ai nostri specialisti IT interni e ai partner esterni, abbiamo sviluppato alcuni standard minimi che ci aspettiamo dalle PMI e che stabiliamo come obblighi nelle polizze. Tra questi ci sono gli aggiornamenti regolari, l’installazione di programmi antivirus, la modifica regolare delle password e, naturalmente, il backup dei dati. Senza queste misure di base, è molto difficile che una PMI trovi un assicuratore.
«Cyber Insurance Summit Switzerland» 2024
Il «Cyber Insurance Summit Switzerland» si terrà a Zurigo l’11 dicembre 2024. I principali attori dei settori dell’assicurazione cyber e della sicurezza informatica si confronteranno sulla resilienza della Svizzera e sugli attuali sviluppi del panorama assicurativo. L’evento è rivolto a persone interessate del settore informatico e assicurativo ed è aperto anche a chi non è affiliato all’ASA.
Si sta tentando in più modi di introdurre standard o marchi per la sicurezza informatica (ad es. Cyber Safe). Ritiene che tali marchi siano utili?
Sì, un marchio del genere potrebbe essere utile. Tuttavia, sarebbe importante concordarsi su un unico marchio che possa essere utilizzato in tutta la Svizzera o in tutta Europa. Al momento sono in circolazione diversi marchi difficili da confrontare. Esiste una certificazione ISO per le grandi aziende, che però per le PMI non funziona e sarebbe troppo costosa. Un marchio cyber dovrebbe funzionare come un nutri-score, che è comprensibile per i consumatori finali.
Dopo che negli ultimi anni i prezzi delle assicurazioni cyber sono aumentati, ora sembra che si stiano stabilizzando. È duratura questa situazione?
Per i «rischi cattivi», ossia i clienti che investono poco nella sicurezza informatica, i prezzi rimangono elevati o addirittura è difficile trovare un assicuratore disposto ad assicurarli. I «rischi buoni», ossia i clienti con misure di prevenzione complete, attualmente hanno talvolta la possibilità di rinnovare le loro polizze a condizioni più favorevoli. I prezzi sono però molto volatili.
«Il rischio informatico è ancora relativamente nuovo e gli assicuratori dispongono di pochi dati e modelli di rischio.»
Questo significa che un grave incidente informatico in Svizzera avrebbe un impatto sui prezzi e sulle capacità?
Sì, ne risentiremmo sicuramente. Gli incidenti come il guasto informatico globale di CrowdStrike fanno lievitare i costi dei sinistri, che a loro volta hanno un impatto sui prezzi, tanto per gli assicuratori quanto per i riassicuratori. Un altro esempio sono gli attacchi alle amministrazioni locali, che hanno portato alcuni assicuratori a ritirarsi da questo settore. Il rischio informatico è ancora relativamente nuovo e gli assicuratori dispongono di pochi dati e modelli di rischio. Ecco perché i prezzi varieranno ancora in questo mercato.
Ci sono rischi difficilmente assicurabili? Perché?
Il rischio informatico può assumere dimensioni simili a quelle di una pandemia. Se un attacco informatico paralizza l’infrastruttura di un intero Paese, gli ingenti danni che ne derivano, come in caso di pandemia, non possono più essere assicurati. Gli assicuratori possono essere d’aiuto nell’evasione dei sinistri e mettere a disposizione la loro rete. Tuttavia, i danni potenziali supererebbero le capacità degli assicuratori.
Rimaniamo sul tema danni: con quali tipi di danni informatici sono perlopiù confrontati i vostri clienti?
Le due minacce principali sono il phishing e il ransomware. Con i ransomware, in particolare, spesso si dimentica che i danni non sono causati solo dagli attacchi ai propri sistemi, ma anche dagli attacchi a fornitori terzi. Prendiamo il caso Winbiz: quando il fornitore di software è stato vittima di un attacco informatico, migliaia di clienti non hanno potuto accedere ai propri sistemi contabili per settimane. Nemmeno le misure di prevenzione individuali possono essere d’aiuto di fronte a queste dipendenze.
«Una buona sicurezza informatica, come un sistema immunitario, può però scongiurare molti attacchi e proteggere così le attività aziendali.»
Ci sono aziende particolarmente a rischio?
Di principio può capitare a tutti. Una buona sicurezza informatica, come un sistema immunitario, può però scongiurare molti attacchi e proteggere così le attività aziendali.
La Svizzera è conosciuta per la sua sicurezza. Questo vale anche per il mondo digitale?
La Svizzera ha uno standard molto elevato quando si tratta di proteggerci dai danni materiali. Dobbiamo raggiungere questo standard anche in ambito informatico, ma, al momento, la Svizzera è ancora molto lontana da questo obiettivo; deve quindi recuperare. Se le aziende in Svizzera non hanno un buon livello di sicurezza, questo pone in svantaggio la piazza economica per l’intero Paese. Le aziende non si insediano in Svizzera se devono lavorare con il timore che i fornitori e i partner siano poco preparati contro i rischi informatici.
Ammettiamo che si verifichi un sinistro. Come devono procedere le aziende?
In caso di attacco informatico, è importante agire rapidamente e adottare le misure necessarie con un fornitore di servizi IT specializzato in sicurezza informatica o tramite la compagnia di assicurazione. In situazioni di emergenza gravi, ci si può rivolgere anche alla polizia, la cui priorità però non è rimediare all’interruzione dell’attività, bensì trovare i colpevoli. Negli ultimi anni, gli assicuratori hanno maturato una certa esperienza e un know-how nella gestione degli attacchi informatici e possono avvalersi di una rete di specialisti. Il nostro settore può e deve svolgere un ruolo di consulenza e di supporto, anche nell’ambito della prevenzione.
Sulla persona
Jesús Pampín ha iniziato la sua carriera nel settore assicurativo svizzero nell’ambito dell’underwriting nel 1997. Dopo 13 anni di esperienza in vari settori assicurativi in Svizzera, ha trascorso diversi mesi a Londra, dove ha familiarizzato con i mercati europei e ha scoperto, nel 2012, il ramo dell’assicurazione cyber. Dopo essere tornato in Svizzera, è passato alla Vaudoise Assicurazioni, dove è tornato a occuparsi di underwriting e, allo stesso tempo, ha assunto un ruolo pionieristico nell’assicurazione cyber. All’interno dell’ASA, Jesús Pampín è membro della commissione cose ed è attivo nel gruppo di lavoro cyber fin dalla sua fondazione.
Forum Assurances
Quest’anno anche il Forum Assurances, l’evento annuale romando dell’ASA che si terrà martedì 29 ottobre a Losanna, affronterà il tema dei rischi informatici dal punto di vista della politica, dell’economia e del settore assicurativo.
