Mettetevi per un attimo nei panni del CEO della Merck, una delle più grandi società farmaceutiche del mondo, con un fatturato di circa 43 miliardi di dollari ed un valore in borsa che supera i 220. Dato che si dispone di decine di migliaia di computer e migliaia di server dislocati nelle vs. filiali in giro per il mondo, da qualche anno avete deciso di sottoscrivere una polizza che copre il vostro gruppo anche dai danni provocati dai cyber attacchi.

Pochissimi avrebbero potuto accusarvi di non essere stati lungimiranti,  alla luce di fatti recenti: nel maggio 2017, il virus NotPetya, ha contaminato uno dei vostri computer in Ucraina, e da lì, in poche settimane la vostra intera rete informatica.

Ogni computer della Merck è stato criptato dal Ramsonware, che chiede un riscatto di 300 dollari (cadauno e naturalmente in Bitcoin ). Risultato finale: per oltre 10 giorni blocco totale dei sistemi IT aziendali e di gran parte della produzione, con un danno di 870 milioni di dollari.

Dopo aver ripristinato con grande fatica il funzionamento, in definitiva si potrebbe tirare un bel sospiro di sollievo : “un attacco dalle conseguenze disastrose, ma per fortuna eravamo assicurati…”. Invece la assicurazione ora non vuole rimborsarvi. E probabilmente, secondo gli esperti, potrebbe avere ragione e non rifondervi mai…

La ragione della contestazione risiede nella natura dell’attacco, che secondo gli assicuratori è assimilabile ad un atto di guerra, cosa ben diversa dal concetto di cyberattacco coperto invece dalla polizza stipulata da Merck .

Secondo molte agenzie di intelligence,  NotPetya è un prodotto della intelligence militare russa (GRU) . Tesi rafforzata dalla Casa Bianca, che nel febbraio 2018 condannò pubblicamente la Russia come mandante del devastante NotPetya, creato per destabilizzare l’Ucraina all’epoca al centro della famosa crisi della Crimea sorta nel 2014.

Si tratta certamente di una querelle legale in atto, che probabilmente farà giurisprudenza e condizionerà il futuro dei contratti assicurativi cyber. Polizze assicurative che esistono da molti anni: già alla fine degli anni 90 molte società avevano infatti assicurato i propri siti di ecommerce dal rischio che un hacker potesse comprometterne la disponibilità.

Un mercato ulteriormente cresciuto negli ultimi anni e non solo per i rischi derivanti dai danni derivanti dalla compromissione degli apparati di produzione e di vendita. A seguito della entrata in vigore della normativa GDPR, le società possono essere sanzionate per non aver protetto adeguatamente i dati dei propri clienti.

Come la British Airways sanzionata a giugno di quest’anno dalla U.K.’s Information Commissioner con una multa da 230 milioni di dollari per un data breach occorso nel 2018 .

Se da un lato cresce la domanda, dall’altro cresce anche la difficoltà del settore assicurativo nel definire modelli di riferimento per il dominio cyber. Stimare il rischio di una polizza che protegge dal rischio grandine un produttore di mele di Trento è relativamente facile, più difficile creare un profilo di rischio derivante da un cyber attack che può avere impatti devastanti.

Come quelli stimati dai Lloyd’s of London, che hanno calcolato che un singolo attacco al sistema informatico che gestisce il traffico cargo di un grande porto asiatico potrebbe costare oltre cento miliardi di dollari,  cifra che corrisponde al 50% dei danni causati globalmente dalle catastrofi naturali durante il 2018 .