Lo sviluppo del mercato cyber insurance in Italia e in Europa

12 Marzo 2019 0 Di Yuri Poletto

Con l’aumento della frequenza e della magnitudo dei danni provocati dai data breach, avere una polizza cyber insurance non è mai stato cosí importante (Immagine Shutterstock)

 

(Articolo originariamente pubblicato sulla rivista Insurance Daily il 16 Gennaio 2019)

 

La storia degli attacchi cyber risale al Novembre 1988, quando Robert Morris Jr., uno studente della Cornell University creò un programma chiamato “Worm” per testare il livello di sicurezza di Internet. Il test andò ben oltre le aspettative di Morris, il suo worm infatti si propagò ad un ritmo molto superiore a quanto immaginato ed arrivò ad infettare e bloccare circa 6000 macchine (un numero considerevole per l’epoca), provocando danni tra gli altri a università, strutture di ricerca medica e siti militari.

Come dimostrato dal worm di Morris, l’evoluzione tecnologica portò con sé anche l’aumento dei rischi ad essa connessi. In particolare l’evoluzione della tecnologia subì un’accelerazione negli anni ’90, e fu proprio in quel periodo che nacquero negli Stati Uniti le prime polizze cyber insurance. Inizialmente le polizze cyber erano un’evoluzione delle polizze RC Professionale di software house e media companies, e furono create per soddisfare l’esigenza di queste società di tutelarsi dai rischi derivanti da possibili danni a terzi in conseguenza di malfunzionamenti dei software o di danni reputazionali conseguenti alla diffusione di contenuti media nel web. Con il passare degli anni, e con la crescita della frequenza e dei danni provocati dagli incidenti informatici, le polizze cyber si sono evolute, comprendendo dapprima i rischi legati all’utilizzo di internet (network security, accessi non autorizzati e danni da virus informatici) e successivamente i danni subiti direttamente dall’assicurato come le cyber estorsioni e le interruzioni di attività.

Nel corso dei suoi quasi vent’anni di storia, la cyber insurance ha fatto notevoli progressi. Gli Stati Uniti rimangono il primo mercato mondiale, e l’Europa il secondo, con l’Asia in forte crescita. In pochi anni i premi sono arrivati a raggiungere il valore di quasi $3 Miliardi a livello globale (1), di cui circa il 90% sottoscritto negli USA e approssimativamente tra il 5% e il 9% in Europa (2). Londra e’ uno dei principali mercati mondiali, con circa il 25% dei premi globali sottoscritti da sindacati Lloyd’s nel 2017 (3). Le previsioni sono molto incoraggianti: secondo una previsione di Munich Re il volume premi cyber raggiungerà il valore di $8-$10 Miliardi entro il 2020 (4) , e di $20 Miliardi entro il 2025 secondo previsioni di Allianz (5).

Con la crescita dell’interesse per la cyber insurance cresce anche la necessità per assicuratori, clienti e istituzioni di elevare il livello di conoscenza dei rischi ad essa connessi. Per farlo può essere utile analizzare i quattro principali aspetti di questo mercato: la domanda, l’offerta, le sfide, le opportunità.

Domanda – In Europa (e globalmente) la richiesta di protezione verso i rischi cyber è in rapidissima crescita. L’accresciuta consapevolezza dei rischi in seguito ai devastanti attacchi degli ultimi anni, e le nuove regolamentazioni come il GDPR, stanno infatti portando questo tema in cima alle agende dei board di tutte le aziende ed organizzazioni. In Europa gli acquirenti di polizze cyber sono prevalentemente le grandi aziende, in particolare quelle che processano grandi quantità di dati come quelle operanti nei settori delle telecomunicazioni e media, nel settore sanitario e dell’educazione. Da parte delle piccole e medie aziende c’è un interesse crescente, che però spesso non si trasforma nell’acquisto di una polizza (si stima che meno del 10% delle PMI in UK abbia una polizza cyber) (6). In particolare sono tre i principali fattori che spiegano i bassi tassi di conversione delle PMI: una scarsa conoscenza (e spesso la sottovalutazione) delle proprie esposizioni, derivante dalla carenza di risorse e competenze interne adibite alla loro valutazione; una scarsa comprensione delle coperture, derivante da un ancora basso livello di standardizzazione dei wording delle polizze e talvolta anche dall’impreparazione degli intermediari assicurativi su questi rischi; e infine i costi delle polizze, che sono ancora troppo elevati, per la prudenza degli assicuratori nella sottoscrizione di questi rischi (ne vedremo più avanti i motivi). C’è infine un trend interessante che riguarda la linea persone e famiglie, sempre piu’ esposte a rischi come le truffe informatiche e i furti d’identità. Un segmento, questo, ritenuto molto interessante e sul quale in Europa hanno iniziato ad entrare assicuratori come Chubb e Munich Re.

Offerta – Le coperture cyber vengono offerte in due modalità: come add-on ad altre polizze tradizionali, tipicamente polizze RC Professionali e polizze multirischio per le PMI; o come contratti stand-alone. Un caso interessante nel settore delle polizze cyber stand-alone è rappresentato da Beazley, gruppo assicurativo americano e uno dei principali assicuratori cyber a livello mondiale. Nel mercato europeo Beazley è presente con tre linee di prodotti: una polizza standardizzata per il settore PMI, la quale offre servizi per la gestione delle fasi immediatamente successive ad un incidente cyber, una fase critica che spesso le PMI non sono in grado di gestire autonomamente per carenza di risorse e competenze interne; una polizza con un basso livello di standardizzazione per aziende medie e grandi, che offre una serie di servizi specialistici come servizi legali e investigazioni forensi; e infine una polizza per grandi aziende, offerta in partnership con Munich Re, che viene totalmente personalizzata sulla base delle coperture già detenute dal cliente e dei gap di copertura identificati durante la fase di risk assessment.

Le principali coperture offerte dalle polizze cyber nel mercato europeo sono le seguenti:

Sfide – Pur essendo il mercato della cyber insurance cresciuto notevolmente negli ultimi anni, il livello di sottoassicurazione è ancora molto elevato. Per avere un ordine di grandezza, basti pensare che nel 2017 le catastrofi naturali e i danni cagionati dall’uomo hanno provocato globalmente danni per $337 miliardi (7), il 40% dei quali era assicurato; nello stesso periodo gli attacchi e incidenti cyber hanno provocato globalmente danni per $1,5 Trilioni (8) (cinque volte tanto), di cui si stima che solo lo 0,03% ($400 milioni) erano assicurati (9). Le cause di questo gap sono riconducibili a problematiche sia dal lato della domanda che dell’offerta. Focalizzandoci sul lato dell’offerta, ci sono tre ordini di problemi che frenano l’appetito assuntivo degli assicuratori per questi rischi: 1. Una bassa sofisticazione e precisione dei modelli di assessment e pricing; 2. La scarsità di strumenti e modelli analitici per monitorare i cumuli di rischio; 3. Un quadro normativo non favorevole.

  1. Come visto, i rischi cyber sono presenti da poco tempo nelle agende degli assicuratori, ed evolvono ad un ritmo incessante di pari passo con l’evoluzione della tecnologia. Le informazioni e i dati sugli incidenti cyber sono poi tenuti confidenziali dagli operatori di settore, per non offrire vantaggi competitivi ai propri competitor e per motivi di privacy, e questo frena l’evoluzione del mercato. La combinazione di questi fattori (scarsità di dati storici ed estrema variabilità dei rischi) rende molto complicato per gli assicuratori creare modelli predittivi efficaci ed affidabili, e ciò li porta ad essere molto cauti nella sottoscrizione di questi rischi. Warren Buffet ha recentemente preso posizione su questo tema, dichiarando “Non penso che noi né qualcun altro sappiamo davvero cosa stiamo facendo quando assumiamo rischi cyber” (10) .
  2. Il secondo ordine di problemi riguarda la difficoltà degli assicuratori di monitorare le proprie esposizioni. I rischi cyber hanno per loro natura un potenziale di diffusione globale (un attacco lanciato da un server in Russia può colpire simultaneamente computer in qualsiasi parte del mondo), il che li rende molto piu’ difficili da assicurare rispetto ad esempio alle catastrofi naturali, che fanno danni di magnitudo molto elevata ma sono maggiormente prevedibili e colpiscono in zone circoscritte. A questo si aggiunge un problema che gli assicuratori hanno iniziato recentemente ad affrontare, quello dei rischi cyber “silenti”, ovvero potenziali sinistri, derivanti da incidenti cyber, registrati in polizze property o liability non pensate per coprire tali rischi e che quindi non escludono né comprendono esplicitamente i rischi cyber. Uno degli scenari più frequentemente presi in considerazione dagli assicuratori è quello di possibili sinistri su polizze property derivanti da un attacco cyber ad una rete elettrica pubblica. Le difficoltà di valutare le reali esposizioni contribuisce a rendere questi rischi meno appetibili agli occhi degli assicuratori.
  3. Il compito degli assicuratori potrebbe essere agevolato da normative più uniformi a livello globale o continentale, e dalla riduzione dei disincentivi alla condivisione e diffusione di informazioni sugli incidenti. Un ruolo più proattivo delle istituzioni nella copertura di eventi cyber catastrofali, come avviene con le catastrofi naturali, potrebbe infine aumentare la propensione degli assicuratori ad assumere questa tipologia di rischi.

Opportunità – L’ingresso nel mercato di nuovi player tecnologici, che normalmente vengono visti dagli assicuratori come una minaccia, nel caso della cyber insurance potrebbe invece rivelarsi un’opportunità (11). La collaborazione da parte degli assicuratori con start-up e società tecnologiche specializzate nell’analisi, mitigazione e gestione dei rischi cyber, può contribuire ad aumentare la consapevolezza e l’educazione sui rischi cyber da parte dei potenziali clienti, accrescendo così la loro propensione all’acquisto delle polizze cyber. Da queste collaborazioni gli assicuratori possono poi acquisire quei dati sugli attacchi cyber e sui danni da essi provocati che sono la base su cui elaborare modelli predittivi e di risk assessment. Grazie ad accordi di distribuzione con queste terze parti, gli assicuratori possono poi offrire ai loro clienti l’opportunità di utilizzare innovativi strumenti di prevenzione e mitigazione dei rischi, ottenendo cosí un doppio risultato: un aumento del valore della propria offerta (servizi a valore aggiunto abbinati alla polizza) e una maggiore protezione degli assicurati dai rischi cyber, con ricadute positive sulla Loss Ratio. Ci sono già numerosi casi di partnership di questo tipo, come quelle realizzate dalle americane CyberPolicy e AtBay , e dalla britannica Dynarisk, che offre i propri strumenti ad assicuratori come Hiscox e Chubb.

 

In conclusione, la gestione dei rischi cyber diventerà un elemento sempre più importante nelle vite delle persone e delle organizzazioni. Non è un tema semplice da affrontare, e non ci sono scorciatoie, ma rappresenta per l’industria assicurativa un’enorme opportunità per affiancare i propri clienti nella prevenzione, misurazione e gestione di questi rischi. La crescita di questo mercato dipenderà dalla disponibilità di strumenti per misurare e gestire i rischi e le esposizioni. La nascita di una nuova generazione di società tecnologiche specializzate in questa tipologia di rischi rappresenta per gli assicuratori un’enorme opportunità per abbattere le barriere esistenti e posizionarsi in un mercato che può garantire loro una crescita sostenuta nei prossimi decenni.

 

(1) The Geneva Association – Cyber insurance as a risk mitigation strategy (2018)
(2) EIOPA (2018)
(3) Nostre stime sulla base di varie fonti (OECD, Marsh, AON)
(4) Insurance Business Mag (2018)
(5) Insurance Business Mag (2018)
(6) Ponemon Institute (2018)
(7) Swiss Re (Sigma 2018)
(8) M. Grant (2018)
(9) Carrier Management (2018)
(10) Bloomberg (2018)
(11) EIOPA (2018)


Iscriviti alla nostra newsletter

Condividi il post