I principali freni allo sviluppo del mercato della cyber insurance

I principali freni allo sviluppo del mercato della cyber insurance

14 maggio 2018 0 Di Yuri Poletto

Un recente sondaggio condotto in UK presso brokers e assicuratori specializzati in cyber insurance ha avuto risultati sorprendenti. E’ emerso innanzitutto un problema con i wording delle polizze cyber, che si sono rivelati poco chiari nel definire i rischi coperti e quelli esclusi. In secondo luogo, la capacita’ di misurazione degli effetti economico-finanziari dei rischi cyber è carente sia tra i clienti che tra gli assicuratori stessi. Infine, una serie di eventi informatici catastrofici o un evento informatico sistemico potrebbe modificare drasticamente il modo in cui gli assicuratori misurano il profilo di rischio di ciascun assicurato.

Il sondaggio è stato sponsorizzato da Secure Systems Innovation Corporation (SSIC), la società di gestione del rischio informatico che ha creato X-Analytics, il primo modello di rischio cyber al mondo che quantifica gli aspetti economico-finanzari del rischio.

I principali punti emersi dal sondaggio sono i seguenti:

I rischi cyber “silenti” sono il principale freno alla vendita dei prodotti cyber
Oltre i tre quarti (77%) dei broker e assicuratori intervistati ritengono che il settore assicurativo debba affrontare con urgenza il tema dei rischi cyber “silenti”, ovvero i casi in cui i rischi cyber (come l’interruzione del servizio o la violazione dei dati) non sono esplicitamente inclusi, né esplicitamente esclusi, dal wording di polizza. È stato anche riconosciuto che questo problema non può essere risolto rapidamente, secondo il 22% degli intervistati.

La mancanza di conoscenza dei cyber risk inibisce l’acquisto
Le risposte a una domanda sul motivo per cui l’assicurazione cyber non viene acquistata da più società come mezzo di trasferimento del rischio indica che le società “non comprendono le condizioni di polizza” e “le polizza cyber sono ancora troppo confuse e non si collegano facilmente alle categorie dei cyber risks piu’ noti noti”. Queste sono rispettivamente la seconda e la terza risposta più popolari. Il principale fattore che frena il mercato dal punto di vista dell’acquirente e’ che “le imprese non capiscono le proprie esposizioni al rischio”.

Misurazione inadeguata del rischio informatico da parte dei clienti
I risultati rivelano anche che uno stupefacente 89% degli intervistati sa che i propri clienti hanno un metodo inadeguato per misurare il costo di una violazione dei dati, o non sono sicuri della capacità di misurazione della violazione dei dati dei propri clienti. La stessa percentuale (89%) afferma che i clienti non sono in grado di misurare adeguatamente il potenziale impatto di un evento di cyber estorsione (ad esempio ransomware). Le capacità di misurazione dei clienti rispetto ad altri rischi cyber hanno avuto risultati leggermente migliori. L’87% dei brokers e assicuratori intervistati ha dichiarato che i clienti avevano sistemi di misurazione inadeguati o sconosciuti per il furto di proprietà intellettuale. Inoltre, l’83% degli intervistati ritiene che i clienti non possano misurare il costo di un attacco informatico che interrompe il servizio. Solo uno su sette clienti (14%) ha misurazioni adeguate per eventi cyber/fisici (danni property e casualty causati da incidenti cyber). Solo il 10 per cento degli assicuratori ha indicato che i clienti stanno misurando adeguatamente i probabili costi associati a una potenziale violazione dei dati.

Rischi cyber disconnessi dalle clausole di polizza
Collegato al tema dei rischi cyber silenti, quasi la metà (47%) degli intervistati ha ammesso di non essere in grado di fare una chiara connessione tra i rischi cyber di base e le coperture cyber previste dalle polizze. Solo l’8% degli assicuratori e degli intermediari ritiene che i wording di politizza rispecchino da vicino le cinque principali minacce informatiche più conosciute. Se gli assicuratori non creano un chiaro collegamento tra i rischi cyber chiave e le clausole delle polizze – definendo affermativamente ciò che è esplicitamente coperto o escluso – vi è il reale pericolo che i principali rischi cyber possano non essere coperti.

Eventi catastrofici o sistemici sono destinati a ridefinire il mercato delle assicurazioni cyber
Il 62% degli intervistati concorda sul fatto che una serie di eventi cyber catastrofici o sistemici (azioni singole che impattano su polizze multiple all’interno dei portafogli degli assicuratori) potrebbe modificare drasticamente il modo in cui gli assicuratori misurano il profilo di rischio dei richiedenti di assicurazione cyber.

L’incertezza del rischio aggregato ostacola la crescita del volume dei premi cyber
Il sondaggio ha inoltre evidenziato una mancanza di comprensione e una carenza nella capacita’ di pricing del rischio aggregato. Sei brokers e assicuratori cyber su dieci (60%) hanno concordato o fortemente concordato con l’affermazione che “la mancanza di comprensione del rischio aggregato all’interno dei portafogli di cyber insurance sta ostacolando la crescita del mercato”.

Il coinvolgimento dei Board aziendali è il più grande driver di acquisto
La domanda specifica di coperture cyber da parte dei dirigenti membri dei Board è il principale driver delle nuove vendite di assicurazioni cyber. Le richieste poste ai board per esigenze di due diligence sono al secondo posto. Queste esigenze di due diligence sono probabilmente in grado di spiegare perché “il Board nel suo complesso” è considerato il gruppo decisionale più significativo per le nuove coperture cyber (per il 42% degli intervistati).

Prevenzione, protezione e trasferimento del rischio sono scarsamente compresi
Come per tutti i rischi, anche per fronte ai rischi cyber ci sono tre scelte pratiche: prevenire e proteggersi dal rischio, trasferirlo o ritenerlo. Ciò presuppone che ciascuna organizzazione abbia la capacità di misurare il rischio cyber e trovare un giusto bilanciamento tra prevenzione e protezione dal rischio e il suo trasferimento attraverso una polizza cyber. Quasi i tre quarti (73%) degli intervistati ritengono che la maggior parte delle organizzazioni non capisca la delimitazione tra la prevenzione e protezione dal rischio e il trasferimento come logica da seguire per acquistare l’assicurazione cyber. Ciò implica che la maggior parte delle organizzazioni utilizza l’intuizione per determinare il tipo e il limite della propria copertura informatica.

Inadeguatezza delle attuali modalita’ di assessment del rischi cyber
Solo una piccola minoranza di broker e assicuratori (2,6%) ritiene che le informazioni ricavate da un breve questionario o da uno strumento basato su Internet siano un modo efficace per misurare il profilo di rischio di un’azienda. Tuttavia, l’uso di strumenti basati su Internet “esterni” e brevi questionari continua a dominare. Sorprendentemente, solo il cinque per cento degli assicuratori commissiona regolarmente una valutazione del rischio ad un provider di cyber security specializzato per comprendere meglio il profilo di rischio del richiedente. Questo deve cambiare se gli assicuratori vogliono gestire il loro portafoglio di rischi cyber in modo adeguato.

I broker dovrebbero farsi carico di educare il mercato sui rischi cyber
Più di nove su 10 assicuratori e broker (94%) hanno riscontrato un impellente bisogno di educare l’acquirente durante il processo di prevendita per espandere le opportunità di vendita ed evitare il disallineamento delle polizze cyber alle esigenze dei clienti, con il 65% degli intervistati che pone questo onere di educazione sui brokers. Solo l’11% degli intervistati ritiene che un ente indipendente (sponsorizzato dall’industria assicurativa) debba prendere l’iniziativa. Un altro 11% ritiene che gli assicuratori dovrebbero essere responsabili di questo lavoro di educazione del mercato.

In conclusione, dal questionario emerge come il rischio cyber non sia ancora sufficientemente compreso ne’ misurato. C’e’ una significativa pressione nel mercato per sviluppare modalita’ di underwriting e pricing dei rischi cyber piu’ efficienti, anche se cio’ si scontra con una diffusa incapacità di misurare in modo approfondito il profilo di rischio di un candidato. Ciò genera disallineamenti tra i principi di sottoscrizione desiderati dal mercato e le pratiche prevalenti per la sottoscrizione delle polizze cyber . L’indagine evidenzia anche l’urgente necessità di modellare il rischio informatico “silente”, e di aumentare la comprensione del rischio aggregato all’interno del portafoglio di un assicuratore.
Molti assicuratori sono ora preoccupati che una serie di importanti eventi informatici potrebbero erodere rapidamente il margine dei loro portafogli cyber e testare se ci sia abbastanza capitale per coprire significative richieste relative al cyber entro un anno solare.

Alla survey hanno partecipato 78 tra brokers e assicuratori, in un periodo tra il 9 e il 23 Marzo 2018. I partecipanti alla survey includono brokers (54%), assicuratori (41%), underwriters (4%) e riassicuratori (1%).

Maggiori informazioni possono essere trovate qui.


Iscriviti alla nostra newsletter

Condividi il post