Cyber insurance: intervista con Alessandro Lezzi di Beazley

Cyber insurance: intervista con Alessandro Lezzi di Beazley

5 luglio 2018 0 Di Yuri Poletto

Abbiamo avuto il piacere di incontrare nella City di Londra, per un’intervista sulla cyber insurance, Alessandro Lezzi, Team Leader International Technology, Media and Business Service di Beazley.

 

Ciao Alessandro, come prima cosa ti ringrazio per il tempo che ci stai dedicando. Direi di iniziare con una tua presentazione, chi e’ Alessandro Lezzi e qual’e’ la tua esperienza professionale.
Ciao Yuri, grazie a te per questa intervista. Ho iniziato il mio percorso professionale nel mondo assicurativo a Londra nel 1999 come broker Commercial Lines presso Willis. Dopo 4 anni mi sono spostato a Barcellona per andare a ricoprire il ruolo di underwriter D&O e PI Financial Lines per Sud Europa e Sud America in HCC ora Tokio Marine. Nel 2005 sono tornato a Londra dove per circa 4 anni ho ricoperto il ruolo di underwriter Financial Lines in Beazley, con un focus su MGA e coverholders. Nel 2009 ho lasciato Beazley per andare in Markel a fare l’underwriter Financial Lines con focus sui large clients. Nel 2011 sono infine tornato in Beazley dove ho iniziato ad occuparmi di cyber insurance. In quella fase del mio percorso professionale, dovendo scegliere tra rimanere in un mercato commodity come PI e D&O che gia’ conoscevo bene o accettare una sfida su una linea di business che non conoscevo ma che prometteva grandi margini di crescita ho preferito accettare la sfida, prendendomi un rischio. A distanza di qualche anno posso dire che ne e’ valsa assolutamente la pena. Nel primo periodo di attivita’ sulla cyber insurance mi sono focalizzato sulla definizione dell’offerta per UK e Europa, e per fare questo ho trascorso molto tempo incontrando brokers e clienti per capire il mercato, le criticita’ e le esigenze delle aziende, il che mi ha consentito di acquisire un bagaglio di conoscenze che mi sono poi servite negli anni a venire.

Ci puoi spiegare come sta evolvendo il mercato della cyber insurance in Europa e in Italia?
In UK e Francia il mercato e’ stato fin da subito molto ricettivo verso la cyber insurance, e il nostro portafoglio ha iniziato a crescere rapidamente. In UK ci sono dinamiche molto simili agli USA, dove la cyber insurance e’ una linea di business ormai consolidata. La Francia e’ tradizionalmente un “early adopter” di prodotti assicurativi all’avanguardia, essendo stato ad esempio uno dei primi mercati europei delle polizze D&O quando questa tipologia di polizza era ancora semi-sconosciuta in molti altri paesi europei.
Negli ultimi 2/3 anni, anche grazie alla spinta della GDPR il mercato della cyber insurance in Europa e’ diventato piu’ di domanda: aziende e brokers stanno diventando piu’ consapevoli dei rischi e quindi sono spesso loro a venire da noi per cercare soluzioni alle loro esigenze di protezione.
Venendo all’Italia, il mercato della cyber insurance ha iniziato a crescere nel 2017. Le societa’ medio-grandi (banche, societa’ di distribuzione, e piu’ in generale le organizzazioni che detengono e maneggiano ingenti quantita’ di dati) sono state le prime ad acquistare il prodotto. In Italia abbiamo grandi account nel portafoglio, e iniziamo a vedere interesse verso la cyber insurance anche nel middle market. La previsione e’ che la crescita continui anche nei prossimi anni, a tassi anche superiori ad altri mercati visto che l’Italia in questo momento deve recuperare terreno. Un aspetto particolarmente interessante del mercato italiano della cyber insurance e’ la presenza di tantissime piccole e medie imprese, moltissime delle quali sotto-assicurate, che negli anni a venire non potranno fare a meno di una polizza cyber dal momento che la digitalizzazione e i rischi informatici ormai riguardano aziende di ogni dimensione.
L’introduzione del GDPR sta dando una spinta alla crescita di questo mercato: negli incontri che abbiamo fatto nell’ultimo anno con imprenditori e risk managers di aziende italiane, alla domanda “cosa ti preoccupa di piu’” la prima risposta e’ stata quasi sempre “GDPR”. Chiaramente ci sono alcuni settori, come le banche, che sono piu’ preparate, ma molti altri non lo sono ancora: il nostro compito come assicuratori e’ quello di aiutare queste aziende in caso di sinistro, ma anche e soprattutto collaborare con loro aiutandoli a capire le loro esposizioni e offrendo loro soluzioni adeguate. A questo scopo stiamo organizzando varie iniziative rivolte a brokers e clienti, ad esempio abbiamo organizzato dei workshop sulla GDPR e sul tema dei pagamenti elettronici, oltre ad eventi dedicati in cui abbiamo affiancato aziende nostre clienti a fare un assessment delle loro vulnerabilita’ informatiche, un’iniziativa che e’ stata molto apprezzata.

Quindi possiamo dire che Beazley ha un approccio cliente-centrico, non vi limitate a fare gli assicuratori intesi in senso tradizionale ma vi proponete come un vero e proprio partner per aiutare i vostri clienti a valutare e gestire i loro rischi cyber.
Esatto, questo e’ il nostro approccio e riteniamo che sia il migliore per trattare questa tipologia di rischi. Negli oltre 8000 sinistri cyber insurance gestiti finora dal mio team a livello globale abbiamo riscontrato che la maggior parte di essi sono stati causati da errori umani, spesso banali ed evitabili: proprio oggi ho avuto due meeting su due sinistri, entrambi causati dal “fattore umano”, password non sufficientemente sicure o non cambiate regolarmente. In futuro ci sara’ un legame sempre piu’ stretto tra il comparto assicurativo e service provider esterni (in particolare di servizi tecnici e legali) , grazie alle quali saremo sempre piu’ capaci di aiutare i nostri clienti non solo in caso di sinistro ma anche in fase di prevenzione. Naturalmente questo compito non e’ semplice, ci sono talvolta delle resistenze da parte dei clienti, che noi capiamo perfettamente in quanto siamo consapevoli che stiamo affrontando un tema nuovo e per di piu’ adottando un approccio innovativo. Nella nostra esperienza e’ capitato spesso, parlando di cyber insurance ai clienti, che la loro prima reazione sia di pensare “questi vogliono fare il mio lavoro”. Nostro compito e’ spiegargli che non vogliamo fare il lavoro del loro IT ma vogliamo aiutarli integrando le nostre competenze ed esperienza con le loro per rafforzare le loro difese dalle minacce cyber. Una volta che questa prima “barriera” viene superata, il rapporto con il cliente diventa molto piu’ forte, perche’ il cliente sa che una volta che capita l’incidente noi siamo li per aiutarlo.

Ci puoi spiegare come opera Beazley in Italia?
Beazley e’ innanzitutto un Lloyd’s Syndicate, quindi operiamo attraverso la piattaforma dei Lloyd’s in Italia con la classica catena di intermediari che prevede un Lloyd’s broker, un coverholder e un intermediario finale sia esso broker o agente. Parallelamente abbiamo anche una service company che si chiama Beazley Solutions, che opera come coverholder captive di Beazley, la quale ci consente di fare business direttamente con i brokers locali attraverso una piattaforma informatica dedicata. Dall’anno scorso poi, anche in previsione dell’entrata in vigore della Brexit, abbiamo cambiato la ragione sociale della nostra societa’ di riassicurazione a Dublino, ampliandone la licenza da riass a diretto. Questa societa’ puo’ operare in LPS in tutti i paesi Europei, al momento abbiamo branches in UK, Francia, Germania e Spagna , non ancora in Italia.

Venendo ai vostri prodotti cyber insurance, ci puoi spiegare quali sono le loro caratteristiche e i loro punti di forza?
La nostra offerta e’ segmentata in base alla grandezza del cliente e all’esposizione.
Abbiamo un prodotto che si chiama Beazley Breach Response, il quale nasce per assicurare la cyber liability, e il cui punto di forza e’ la gamma di servizi di breach response come assistenza informatica, legal forensics, servizi di comunicazione, e altri. Quando capita un incidente, la cosa piu’ importante e’ aiutare il cliente nella gestione mettendogli a disposizione tutti i servizi e l’esperienza di cui ha bisogno. Il cliente si appoggia molto a noi grazie a questi servizi, il che ci consente di avere accesso a informazioni molto importanti sugli incidenti cyber, sulla base delle quali possiamo migliorare la nostra offerta e la qualita’ dei nostri servizi. Questo modello e’ stato studiato per i clienti medio-piccoli, i quali di norma non hanno risorse interne adeguate per la gestione di un attacco informatico. Noi mettiamo a disposizione di questi clienti una serie di servizi ad elevato valore aggiunto e la nostra pluriennale esperienza nella gestione dei sinistri cyber.
I clienti piu’ grandi, con fatturato tra 500 milioni e 1 miliardo di Euro, solitamente dispongono gia’ di adeguate capabilities interne per gestire le minacce e le intrusioni informatiche. Per questo segmento di clientela abbiamo un altro prodotto cyber insurance che si chiama InfoSec. Il nostro approccio con questi clienti e’ quello di lasciare a loro, se lo preferiscono, il coordinamento della gestione dell’incidente, mentre noi gli forniamo tutti quei servizi specialistici di cui loro non dispongono, come ad esempio un ufficio legale in un altro paese, piuttosto che uno specialista in cyber security o in legal forensics.
Infine, per i clienti ancora piu’ grandi (tipicamente oltre 1 miliardo di Euro di fatturato) abbiamo creato una soluzione in partnership con Munich Re che si chiama Vector, la quale ci consente di offrire limiti di indennizzo fino a 100 milioni di Euro. L’approccio in questo caso non e’ tanto quello di offrire un prodotto cyber insurance preconfezionato, quanto piuttosto quello di partire dalle coperture gia’ possedute dal cliente, andandole ad integrare con garanzie e servizi specifici. In aziende di questo tipo solitamente le questioni di cyber security arrivano all’attenzione del top management e del CDA, i quali vogliono capire se l’azienda e’ sufficientemente protetta contro i rischi cyber. Rispondere a questa domanda puo’ essere non semplice, perche’ normalmente aziende di queste dimensioni sono gia’ ampiamente assicurate ed e’ difficile quindi riuscire ad avee una visione d’insieme se non si e’ degli specialisti. In questi casi noi offriamo coperture cyber insurance che integrano quelle esistenti, indipendentemente che siano Property, Liability, Inquinamento, o di altro tipo. Con i massimali che possiamo offrire (fino a 100 milioni di Euro appunto) la ritenzione che chiediamo al cliente e’ abbastanza alta, da 1 milione di Euro a salire. Questo prodotto sta riscuotendo un buon successo in Europa, soprattutto per clienti come banche, grandi societa’ di logistica, oltre ad aziende operanti nei settori manufatturiero e oil & gas, che non hanno grandi esposizioni sui dati ma su piu’ su responsabilita’ civile e business interruption.

Ci hai spiegato che assicurate molti grandi clienti, ma che siete molto interessati al settore PMI. In questi casi, visto che spesso si tratta di micro imprese, il tema del premio diventa critico. Qual’e’ la vostra politica di pricing per questi rischi?
In Beazley siamo organizzati per dipartimenti in base alla dimensione del cliente. Io mi occupo dei large clients, nel mio portafoglio la polizza cyber insurance con il premio piu’ basso si aggira intorno ai 5000 Euro. Abbiamo poi un altro team, guidato dalla mia collega Michela Murgia, che si occupa delle PMI. Le logiche sottoscrittive e i premi sono pensati per venire incontro alle esigenze dello specifico segmento di clientela che vogliamo servire. Abbiamo riscontrato, per esempio, che un modo per assicurare i rischi cyber dei professionisti e’ proporre una garanzia cyber insurance in aggiunta ad una copertura PI. In questo caso i processi assuntivi e di emissione della copertura cyber sono snelli e veloci, e il premio della copertura puo’ anche essere molto vantaggioso, nell’ordine di poche centinaia di Euro.
Abbiamo poi un altro dipartimento che si occupa di riassicurazione, che opera anche in Italia, che ha la possibilita’ di offrire a compagnie italiane la riassicurazione dei soli rischi cyber. Questo sta riscontrando un buon successo, visto che i rischi cyber sono poco conosciuti e una compagnia che acquista da noi la riassicurazione puo’ avvalersi della nostra esperienza nel settore. Ti posso citare ad esempio un caso particolare e interessante di una mutua di medici alla quale noi forniamo la riassicurazione per i soli rischi cyber. Questa mutua, che propone ai suoi associati gia’ una gamma di prodotti assicurativi, propone una piccola copertura cyber insurance in modalita’ embedded assieme ad altre coperture. Il modello sta riscuotendo un buon successo, operiamo cosi’ in vari paesi inclusa l’Italia, e in questi casi la sottoscrizione e’ fatta a livello di portafoglio e non di singolo rischio: il massimale e’ basso (tipicamente 50 mila Euro), il premio e’ basso anch’esso (intorno ai 50/100 Euro). Questo modello naturalmente funziona se fai tanti volumi, e se viene proposto in modalita’ opt-out piu’ che opt-in.

Per quanto riguarda il vostro modello distributivo, con quali tipologie di intermediari operate in Italia, e quali sono i vostri progetti per il mercato italiano?
Lavoriamo prevalentemente con brokers medio-grandi, tuttavia se c’e’ un’opportunita’ di business interessante lavoriamo anche con intermediari di dimensioni medio-piccole, e in questi casi facciamo accordi diretti o ricorriamo ad accordi intermediati da aggregation point come i coverholders. L’Italia e’ un mercato per noi molto interessante, il nostro obiettivo e’ di accrescere la nostra presenza in Italia aumentando la nostra quota di mercato nel comparto della cyber insurance, e per fare questo siamo interessati ad allargare il numero delle nostre collaborazioni con brokers e intermediari in generale. In particolare siamo molto interessati al settore delle PMI, per una serie di validi motivi: le PMI costituiscono il grosso del tessuto imprenditoriale italiano, quindi c’e’ un grosso potenziale di sviluppo; la retention e’ mediamente piu’ alta rispetto ai grandi clienti, perche’ questi ultimi sono molto ambiti e quindi c’e’ molta concorrenza con altri assicuratori; la performance delle PMI sui sinistri poi e’ meno volatile e piu’ prevedibile, e quindi ci offre maggiori margini di profitto.

Entrando in un aspetto un po piu’ tecnico, ci puoi spiegare quali sono i principali elementi che prendete in considerazione in fase di assunzione di un rischio?
Abbiamo innanzitutto un questionario, con il quale raccogliamo informazioni generali sull’azienda, la sua attivita’ e il suo livello di cyber security. E’ un questionario piuttosto snello e semplice da compilare. Quando ci viene proposto un rischio ci accertiamo innanzitutto che l’azienda rispetti dei requisiti minimi di cyber security, e una volta appurato questo ci focalizziamo soprattutto sulla cultura dell’azienda e in particolare vogliamo capire il suo approccio alla gestione dei cyber risk. Come dicevamo prima, molto spesso gli incidenti cyber sono causati da errori umani spesso banali. Ci interessa quindi capire quali sono le procedure che l’azienda ha implementato per evitare l’insorgenza di questi errori, quindi chiediamo ad esempio se vengono fatti training ai dipendenti su temi di cyber security, e se esistono e se sono conosciute ed adottate procedure interne per la gestione degli incidenti cyber. Questi approfondimenti non riguardano solo l’IT ma toccano piu’ aree aziendali, dal Risk Management, al Legal al Marketing alle PR: i cyber risk infatti non vanno trattati come rischi tipici del reparto IT, e nella gestione degli incidenti e’ spesso necessario il coinvolgimento di piu’ dipartimenti aziendali (si pensi ad esempio all’importanza che il tema della comunicazione degli incidenti ha assunto con l’entrata in vigore del GDPR).

In base alla tua esperienza, quali sono le principali criticita’ che si incontrano quando si deve introdurre il tema della cyber insurance con un’azienda?
Le aziende tendono ad avere un primo approccio conservativo, essendo spesso convinte di essere immuni ai rischi cyber grazie alle misure di cyber security che hanno implementato. Il messaggio che cerchiamo di far passare e’ che per quanto ben protetta possa essere un’azienda esistono sempre aree di rischio residuali non coperte, e una polizza cyber insurance aiuta nella gestione di queste aree di scopertura.
Un altro ostacolo da superare e’ quello delle altre polizze gia’ possedute dal cliente. E’ il caso di polizze Property o Liability, che a volte possono coprire anche la business interruption o avere una piccola copertura cyber insurance. In questi casi cerchiamo di far capire al cliente, anche con l’aiuto dell’intermediario, che nel caso dei rischi cyber e’ opportuno avere una copertura dedicata, perche’ le coperture cyber offerte all’interno di polizze Property o Liability spesso non sono aggiornate e quindi non sono adeguate allo scenario di rischio attuale. Una polizza cyber insurance stand alone offre una serie di coperture specialistiche, come quelle relative alla gestione degli incidenti, alla comunicazione ai clienti e alle investigazioni legali, che sono fondamentali per una corretta gestione degli incidenti e che non sono comprese in altre polizze che il cliente puo’ gia’ possedere.
Altre volte i clienti sono convinti che il problema dei cyber risk sia un problema che riguarda di piu’ le aziende americane perche’ piu’ presenti su internet e quindi piu’ esposte, cosa invece non piu’ vera (ammesso che lo sia mai stata) dopo l’entrata in vigore del GDPR. La nuova normativa Europea entrata in vigore il 25 Maggio e’ ancora piu’ stringente rispetto a quelli in vigore negli USA, e impone a chiunque detenga dati di cittadini europei di adottare adeguate misure di sicurezza, sia che si tratti di una multinazionale che di un piccolo studio professionale.
Le aziende di piccole e medie dimensioni poi sono portate a pensare di essere troppo piccole per essere un target degli hacker. Questo purtroppo non e’ vero, in quanto attacchi su larga scala possono colpire tutti, soprattutto chi ha difese non adeguate. Inoltre, le aziende fornitrici di servizi per aziende piu’ grandi vengono spesso prese di mira sfruttando le loro vulnerabilita’ per penetrare nei sistemi dei loro clienti piu’ grandi.

Un’ultima domanda prima di lasciarti. Il 25 Maggio e’ entrato in vigore il GDPR, secondo te avere una polizza cyber insurance puo’ aiutare le aziende a rispettare la nuova normativa?
Decisamente si. Come detto, noi di Beazley siamo molto attivi nel fornire servizi legati alla GDPR, in UK ad esempio abbiamo creato una hotline con degli esperti rispondono alle domande dei nostri clienti sulla GDPR.
Per quanto riguarda la gestione degli incidenti, la GDPR pone in capo a chi detiene dati di cittadini europei una serie di incombenze e noi, con la nostra esperienza, siamo in grado di supportare al meglio i nostri clienti per far si che siano preparati. Grazie ai nostri servizi specialistici, un’organizzazione che fosse stata colpita da un’attacco informatico riesce a gestire l’evento e a superare l’investigazione delle autorita’, riducendo cosi’ i rischi di ricevere multe salate previste dal GDPR che possono mettere in grossa difficolta’ qualsiasi organizzazione.
Il messaggio che ci tengo a far passare quindi e’ che quando si parla di cyber risk non e’ sufficiente accertarsi di aver implementato adeguati sistemi di prevenzione e protezione, ma e’ fondamentale accertarsi di disporre di risorse e capabilities adeguate per gestire l’incidente quando capitera’. Grazie ad una buona gestione dell’incidente, un’azienda puo’ uscire da una crisi anche piu’ forte di prima. Per farlo e’ pero’ necessario potersi avvalere di competenze e conoscenze adeguate, cosa che un assicuratore come Beazley e’ in grado di offrire.

 

Grazie Alessandro per il tempo che ci hai dedicato e per aver condiviso con noi la tua esperienza. Auguriamo a te e a Beazley i migliori successi.

 


Iscriviti alla nostra newsletter

Condividi il post