Dopo due anni la pandemia non fa più così paura alle aziende. O, perlomeno, le preoccupa meno rispetto a rischi informatici e business interruption. È quanto emerge dall’ultima edizione dell’Allianz Risk Barometer 2022, che ogni anno raccoglie le opinioni di oltre 2.600 esperti tra cui ceo, risk manager, broker ed esperti assicurativi, provenienti da 89 Paesi. Industria Italiana ne ha parlato con Strategica Group, società italiana di Risk Management e brokeraggio assicurativo.
Far West digitale
Una situazione da Far West digitale: così il Clusit ad ottobre 2021 aveva descritto la crescita drammatica degli attacchi informatici in tutto il mondo negli ultimi due anni, con perdite stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 2021. Dinamiche deleterie, che rappresentano un’emergenza globale concreta e incidono ormai per una percentuale significativa del Gdp mondiale, con un tasso di peggioramento annuale a 2 cifre e un valore pari a 3 volte il Pil italiano. Sempre secondo i dati raccolti dal Clusit, l’Europa è la regione in cui si è registrato l’incremento percentuale maggiore del numero di vittime, passate dal 15% al 25%. Non sorprende dunque che i rischi informatici si posizionino in cima all’Allianz Risk Barometer con il 44% delle risposte – un risultato ottenuto solo per la seconda volta nella storia del sondaggio.
Si fa presto a dire Cyber Risk
Il driver principale del risultato sono in particolare gli attacchi ransomware, ossia quelli che inibiscono l’accesso ai dati contenuti sul dispositivo infettato richiedendo un riscatto per il loro rilascio, confermati dagli intervistati (57%) come la minaccia principale per il prossimo anno. Il cyber risk è infatti un rischio multiforme, che può manifestarsi in diverse casistiche. «Il più noto, e più diffuso, è il cybercrime, reato informatico che si sostanzia in una attività criminosa perpetrata grazie all’abuso di tecnologia dell’informazione (sia lato hardware che software) – spiega Paola Radaelli, senior risk management consultant di Strategica Group – con diversi fini: le attività di hackeraggio posso avere scopi di estorsione, di spionaggio o sabotaggio aziendale, di sottrazione indebita di informazioni. Così, a seconda delle metodologie e delle finalità, possiamo affrontare casi di ransomware, data breach, phishing, social engineering».
Nessun settore è immune
Così come sono diverse le modalità, diversi sono i target degli attacchi cyber: «È interessante notare i settori che, più di frequente, sono vittime di questi episodi. Innanzitutto i comparti meno protetti, come le istituzioni pubbliche e di governo, tendenzialmente più lente rispetto alle aziende del settore privato ad adottare soluzioni di difesa innovative ed efficienti a causa di apparati burocratici più imponenti», afferma Radaelli. «Quello dell’healthcare è un altro esempio di settore divenuto obiettivo di attacchi informatici, specie con la pandemia, quando la rapida digitalizzazione a cui è stato sottoposto l’ha reso più vulnerabile. La crescita della consulenza medica online e la condivisione su larga scala di informazioni sensibili dovrebbero spingere gli istituti sia privati sia pubblici verso maggiori investimenti in gestione dei rischi e sicurezza informatica. Osservato speciale è poi il comparto finanziario, che attraversa una fase di disruption profonda, diviso tra modello tradizionale e digitalizzazione. In generale nessuno è immune dalla portata del rischio di cyber attacchi – sottolinea Radaelli – tutti i comparti sono sempre più digitalizzati e fanno maggiore affidamento a tecnologie come il cloud. C’è quindi bisogno di una maggiore sensibilizzazione verso i rischi informatici che, di conseguenza, porti ad investire nella loro gestione».
Diverse finalità, molteplici conseguenze
Sebbene la finalità economica sia quella che più di frequente muove le azioni dei criminali informatici, alla base di un attacco cyber possono esserci anche motivazioni di diverso tipo, quali ad esempio geopolitiche. «Ne è un esempio l’attacco ransomware del maggio 2021 a Colonial Pipeline, l’operatore del più grande oleodotto tra il Texas e New York, che provocando un blocco degli approvvigionamenti per giorni ha spinto il prezzo del gas negli Usa ai massimi dal 2014, ha destabilizzato il governo e l’ha costretto a coinvolgere persino l’Fbi», racconta Radaelli. Anche le conseguenze, dirette e indirette, possono essere molteplici: sanzioni, interruzione dell’attività, indisponibilità o perdita di informazioni proprie o di terzi, spese legate al ripristino dei dati e alla gestione di una eventuale crisi reputazionale, piuttosto che ad inadempimenti contrattuali.
Il rischio di Business Interruption sotto i riflettori
Al secondo posto nella classifica dell’Allianz Risk Barometer si posiziona la Business Interruption, con il 42% delle risposte. Un risultato che si ricollega al rischio di cui abbiamo appena parlato, considerando che secondo il sondaggio la causa più temuta di interruzione d’attività sono proprio gli incidenti informatici (seguiti da catastrofi naturali e pandemia).
Quanto avvenuto negli ultimi due anni ha acceso i riflettori sul tema della business interruption: il Covid-19 ha colto la gran parte delle imprese impreparate, costringendole prima a fare i conti con un blocco pressoché totale delle attività, poi con impennate della domanda che si sono sovrapposte a interruzioni della produzione e della logistica per problemi alle supply chain. Ad aggravare la situazione sono intervenuti poi avvenimenti come il blocco del canale di Suez e la carenza globale di semiconduttori.
Le imprese italiane ancora sottoassicurate
«Questi avvenimenti hanno evidenziato quanto le moderne supply chain siano interconnesse, e hanno dimostrato come eventi non correlati o distanti possano mettere seriamente in crisi qualsiasi azienda». conferma Marco Accinelli, account executive multinational di Strategica Group. «Ciononostante, si tratta ancora di un rischio sottostimato: in Italia, secondo uno studio realizzato da Cerved, solo il 3% delle piccole e medie imprese è assicurato contro il rischio di BI».
Il livello di copertura sale con il crescere delle dimensioni dell’azienda, ma ancora non arriva ai livelli di altri Paesi europei che hanno una sensibilità maggiore in termini di gestione dei rischi. «Il problema principale – spiega Accinelli – è che spesso le imprese considerano non solo estremamente bassa la probabilità ma anche basso l’impatto di un evento di questo tipo, ritenendo di avere le risorse sufficienti a potervi far fronte, senza ridurre l’operatività ma solo con una maggiorazione dei costi. Purtroppo – i casi reali lo dimostrano – si tratta di una sottostima del rischio e di una mancata comprensione dello stesso, e le conseguenze per un’impresa possono essere catastrofiche».
Come tutelarsi da Cyber Risk …
«Come per ogni tipologia di rischio, il primo passo contro i rischi informatici è un’analisi del profilo di rischio dell’azienda e la sua maturità nel gestire i rischi in generale», spiega Radaelli. «Si procede poi valutando le azioni di prevenzione e protezione da mettere in atto: assicurare la messa in sicurezza delle strutture organizzative, informatiche e di business continuity è infatti fondamentale e vanno previsti investimenti mirati per ottimizzare i processi e i sistemi dell’impresa. Infine, si cerca la copertura assicurativa più adatta e si trasferisce il rischio residuo al mercato».
… e Business Interruption
Se il mercato assicurativo mostra già una buona maturità in ambito cyber, assicurare il rischio di business interruption è un discorso più complesso. «Nella formulazione classica, le polizze BI intervengono in seguito a un evento che provoca un danno materiale fisico, ad esempio un evento naturale estremo, un incendio o un’esplosione», spiega Accinelli. «Il loro limite è proprio questo: non intervengono se l’interruzione è dovuta a un accadimento che non causa danno fisico, come è appunto accaduto con il Covid19. Esistono delle coperture molto specifiche che lo fanno (le Non Damage Business Interruption), ma sono ancora poco diffuse e molto costose, perché la scarsità di statistiche e dati storici (contrariamente a quelli che abbiamo ad esempio per eventi naturali e incendi) rende il processo di valutazione del rischio e di relativa tariffazione estremamente difficile. In ogni caso, la pandemia ha indotto anche il mercato assicurativo ad approfondire nuove soluzioni, che sono allo studio».
Prevenzione e mitigazione del rischio per ovviare alle carenze del mercato assicurativo
Le attività di prevenzione e mitigazione del rischio sono dunque ancora più fondamentali per la business interruption: «Vanno individuati in primis gli elementi di vulnerabilità: siti a rischio idrogeologico, dipendenza da fornitori critici, possibile scarsità di materie prime indispensabili, solo per fare alcuni esempi. In base al risultato, ove possibile si strutturano piani di prevenzione mirati a limitare la probabilità di accadimento e la magnitudo di eventi critici», conferma Accinelli. «Le azioni di mitigazione comprendono invece attività quali la strutturazione di un piano di incident response e business continuity, che permettono di agire nell’immediato per limitare i danni e salvaguardare parte dell’operatività, l’istituzione di un team di crisis management e la creazione di un programma dettagliato di business recovery, per tornare alla normale attività nel più breve tempo possibile».
Nella top six dell’Allianz Risk Barometer anche catastrofi naturali e cambiamento climatico
Proseguendo nella classifica dell’Allianz Risk Barometer, troviamo al terzo posto le catastrofi naturali (25%), al quarto la pandemia (22%), al quinto i cambiamenti nello scenario legislativo e regolamentare (19%) e al sesto il cambiamento climatico (17%).
