È allarme cyber risk nelle assicurazioni: il settore - che sull'onda dei servizi a valore aggiunto abilitati dalle nuove tecnologie sta dando vita a modelli di business innovativi basati sulla raccolta e sull'analisi dei dati - è finito per ovvie ragioni nel mirino di hacker e cybercriminali. Ma le minacce non finiscono qui: con la digitalizzazione dei processi aumentano anche i rischi informatici connessi alla governance, alla compliance e alla gestione di eventuali incidenti.
Per comprendere la gravità della situazione, è sufficiente ricordare che Eiopa (European Insurance and Occupational Pensions Authority), l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali, ha inserito i rischi di digitalizzazione e informatici nel suo Risk dashboard solo recentemente: ebbene, se a gennaio 2022 Eiopa classificava i rischi cyber come “medi”, a metà dell'anno ha dovuto intervenire drasticamente per aggiornarne lo status. La rilevanza di questi rischi per le assicurazioni, secondo la valutazione delle autorità di vigilanza, è aumentata in modo esponenziale in seguito alla crescita dei problemi di sicurezza informatica e al moltiplicarsi dei timori di un conflitto geopolitico condotto anche a livello cyber.
Attualmente, dunque, le esposizioni degli assicuratori ai rischi di digitalizzazione sono considerate le principali preoccupazioni per il settore assicurativo, insieme ai rischi macroeconomici e di mercato, superando di netto altre categorie di rischio, a partire da quelli di redditività e di solvibilità, che si mantengono su livelli medi.
Sono le ragioni per cui, quando si parla di cyber risk e assicurazioni, le società del settore sono chiamate ad attuare un approccio solido e strutturato al risk management, facendo riferimento al regolamento38/2018 dell’Istituto di Vigilanza delle Assicurazioni (Ivass) e alle Linee guida della stessa Eiopa.
In particolare, il regolamento n.38 del 3 luglio 2018, che contiene disposizioni in materia di sistema di governo societario delle imprese, è lo strumento regolatorio con cui l’Ivass ha completato l’adeguamento al framework Solvency II della normativa secondaria di settore. D'altra parte, l’obiettivo delle Linee guida Eiopa è quello di promuovere l’aumento della resilienza operativa delle operazioni digitali delle imprese assicurative. La resilienza operativa è infatti fondamentale nell'ottica di proteggere le risorse e gli asset digitali di cui la società è proprietaria o titolare, a partire dai sistemi che abilitano i processi di business e dai dati dei clienti.
Le norme vigenti tendono dunque a inserire il rischio cyber fra quelli strategici, da valutare e mitigare attraverso l'adozione di best practice e strumenti tecnici abilitanti che non lo riducano a una materia ad appannaggio esclusivo del dipartimento It, ma che lo elevino al contrario al rango di rischio operativo di impresa, da fronteggiare con soluzioni ad hoc.
La situazione è considerata talmente seria che l’Eiopa ha anche raccomandato alle Autorità nazionali competenti di aumentare gli sforzi di supervisione del cyber risk nelle assicurazioni, con particolare riferimento alle organizzazioni che hanno un’esposizione potenzialmente significativa al rischio cyber assicurativo non affermativo e a quelle che non hanno ancora implementato un piano per identificare, monitorare e mitigare il rischio di sottoscrizione informatica.
Gli aspetti messi in evidenza da Eiopa ruotano intorno alla considerazione generale che occorre adottare un approccio risk based alla gestione dei processi, prevedendo in particolare strategie strutturate e top-down, corredate da soluzioni e metodologie per l'identificazione e la misurazione dell’esposizione ai rischi.
Ciò che deve essere chiaro per le società di assicurazione è che una corretta gestione del cyber risk è tutto fuorché un mero adempimento normativo. Si tratta bensì di organizzare e implementare strumenti e best practice in grado non solo di garantire la resilienza operativa e di proteggere gli asset intangibili, ma anche di ottimizzare i processi in modo da minimizzare l'esposizione aziendale a una categoria di rischi che, purtroppo, non farà che aumentare in modo esponenziale.
Topic: IT Risk Management