Guai con l’assicurazione se l’attacco cyber è “un atto di guerra”
Mettetevi per un attimo nei panni del CEO della Merck, una delle più grandi società farmaceutiche del mondo, con un fatturato di circa 43 miliardi di dollari ed un valore in borsa che supera i 220. Dato che si dispone di decine di migliaia di computer e migliaia di server dislocati nelle vs. filiali in giro per il mondo, da qualche anno avete deciso di sottoscrivere una polizza che copre il vostro gruppo anche dai danni provocati dai cyber attacchi.
Pochissimi avrebbero potuto accusarvi di non essere stati lungimiranti, alla luce di fatti recenti: nel maggio 2017, il virus NotPetya, ha contaminato uno dei vostri computer in Ucraina, e da lì, in poche settimane la vostra intera rete informatica.
Ogni computer della Merck è stato criptato dal Ramsonware, che chiede un riscatto di 300 dollari (cadauno e naturalmente in Bitcoin ). Risultato finale: per oltre 10 giorni blocco totale dei sistemi IT aziendali e di gran parte della produzione, con un danno di 870 milioni di dollari.
Dopo aver ripristinato con grande fatica il funzionamento, in definitiva si potrebbe tirare un bel sospiro di sollievo : “un attacco dalle conseguenze disastrose, ma per fortuna eravamo assicurati…”. Invece la assicurazione ora non vuole rimborsarvi. E probabilmente, secondo gli esperti, potrebbe avere ragione e non rifondervi mai…
La ragione della contestazione risiede nella natura dell’attacco, che secondo gli assicuratori è assimilabile ad un atto di guerra, cosa ben diversa dal concetto di cyberattacco coperto invece dalla polizza stipulata da Merck .
Secondo molte agenzie di intelligence, NotPetya è un prodotto della intelligence militare russa (GRU) . Tesi rafforzata dalla Casa Bianca, che nel febbraio 2018 condannò pubblicamente la Russia come mandante del devastante NotPetya, creato per destabilizzare l’Ucraina all’epoca al centro della famosa crisi della Crimea sorta nel 2014.
Si tratta certamente di una querelle legale in atto, che probabilmente farà giurisprudenza e condizionerà il futuro dei contratti assicurativi cyber. Polizze assicurative che esistono da molti anni: già alla fine degli anni 90 molte società avevano infatti assicurato i propri siti di ecommerce dal rischio che un hacker potesse comprometterne la disponibilità.
Un mercato ulteriormente cresciuto negli ultimi anni e non solo per i rischi derivanti dai danni derivanti dalla compromissione degli apparati di produzione e di vendita. A seguito della entrata in vigore della normativa GDPR, le società possono essere sanzionate per non aver protetto adeguatamente i dati dei propri clienti.
Come la British Airways sanzionata a giugno di quest’anno dalla U.K.’s Information Commissioner con una multa da 230 milioni di dollari per un data breach occorso nel 2018 .
Se da un lato cresce la domanda, dall’altro cresce anche la difficoltà del settore assicurativo nel definire modelli di riferimento per il dominio cyber. Stimare il rischio di una polizza che protegge dal rischio grandine un produttore di mele di Trento è relativamente facile, più difficile creare un profilo di rischio derivante da un cyber attack che può avere impatti devastanti.
Come quelli stimati dai Lloyd’s of London, che hanno calcolato che un singolo attacco al sistema informatico che gestisce il traffico cargo di un grande porto asiatico potrebbe costare oltre cento miliardi di dollari, cifra che corrisponde al 50% dei danni causati globalmente dalle catastrofi naturali durante il 2018 .
Eugenio Santagata, Andrea MelegariVedi tutti gli articoli
Eugenio Santagata: Laureato in giurisprudenza presso l'Università di Napoli e in Scienze Politiche all'Università di Torino, ha conseguito un MBA alla London Business School e una LL.M alla Hamline University Law School. Ha frequentato la Scuola Militare Nunziatella a Napoli e l'Accademia Militare di Modena. Da ufficiale ha ricoperto ruoli militari operativi per poi entrare nel settore privato dando vita a diverse iniziative nel campo dell'hi-tech. E' stato CEO di CY4Gate e Vice Direttore Generale di Elettronica. Dall’aprile 2021 è CEO di Telsy. --- Andrea Melegari: Laureato in Informatica, ha insegnato per oltre 10 anni all'Accademia Militare di Modena. Dal 2000 si è specializzato nello sviluppo e nell'impiego delle tecnologie di Intelligenza Artificiale in ambito civile e militare. Tra gli incarichi ricoperti SEVP Defense, Intelligence & Security di Expert AI, Chief Marketing & Innovation Officer di CY4Gate. E' stato anche membro del CdA delle società Expert AI, CY4Gate e Expert System USA (Washington DC area). Dal luglio 2021 lavora presso una azienda tecnologica di un importante Gruppo industriale italiano.