Cyberinsurance

GDPR, rischio multe salate e se le assicurazioni non le coprissero?

di |

Scatterà gradualmente il regime sanzionatorio del nuovo regolamento Ue, ma per le aziende resta da capire se in futuro sarà possibile sottoscrivere cyberpolizze ad hoc contro le multe del nuovo regolamento Ue sulla Data Protection.

Le aziende sono sempre più consapevoli dei rischi connessi al mancato rispetto della Data Protection e delle nuove regole europee in materia di Data Breach, e il GDPR, che entra in vigore fra due giorni, darà certamente una grossa spinta al mercato assicurativo. Resta da capire se in futuro le cyber polizze assicurative potranno coprire anche le sanzioni potenzialmente salatissime previste dal GDPR, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale, se i ricavi aziendali sono più elevati. Oggi in Italia non si può.

Polizze contro il cyber rischio in crescita

Un’analisi della Reuters mostra che le assicurazioni sono in fibrillazione e che il nuovo regolamento Ue sulla Data Protection sarà un traino non certo secondario per spingere la domanda di polizze contro i rischi cyber, già in rampa di lancio per coprire le aziende dal pericolo sempre più concreto di cyberattacchi e virus, basti pensare a quelli più virulenti dello scorso anno come WannaCry e NotPetya.

Le polizze cyber possono coprire diversi aspetti, che vanno dagli interventi di riparazione dei sistemi IT dopo un data breach, passando per le compensazioni elargite per la perdite di business legata ad una perdita o furto di dati, fino ai costi legali e i danni di immagine per incidenti o attacchi.

Lo scorso anno le assicurazioni che fanno capo ai Lloyd’s di Londra hanno registrato una crescita significativa del segmento cyber insurance, che in Europa potrebbe raggiungere 2 miliardi di dollari annui di polizze entro il 2020, in parte dovute al nuovo regolamento GDPR.

I maggiori player del mercato sono AIG e Zurich, insieme agli assicuratori dei Loyd’s Beazley e Hiscox.

Cyberpolizze, spazi di crescita in Europa

Detto questo, oggi soltanto un decimo dei premi assicurativi da 2,5 miliardi di dollari del cyber market arrivano dall’Europa, secondo stime di Betterley Risk Consultants.

L’interesse per le cyber coperture assicurative è comunque in crescita. AIG ha reso noto che il suo cyber business è cresciuto del 50%rispetto a un anno fa. L’Europa rappresenta il 25% del suo cyber portafoglio a fine 2017, a fronte del 5% di tre anni prima.

Mediamente, una polizza completa su 100mila dollari costa dai 1000 ai 3000 dollari, anche se le cyberpolizze possono arrivare a coprire centinaia di milioni di dollari.

GDPR, possibile assicurarsi contro le sanzioni?

Un fattore dirimente che potrebbe trainare la domanda di nuove polizze cyber è la possibilità di assicurare le aziende per la copertura delle multe salate previste dal GDPR, che possono arrivare al 4% del fatturato globale per il mancato rispetto delle norme.

Ma per il momento si tratta ancora di un’area grigia. La scorsa settimana lo studio legale e broker assicurativo AON, in collaborazione con lo studio legale internazionale DLA Piper, in un report ad hoc ha verificato che soltanto due paesi dello Spazio Economico Europeo – vale a dire Norvegia e Finlandia – potrebbero consentire di rendere assicurabili le sanzioni del GDPR.

Di fatto, la decisone finale in materia di cyber assicurazioni per i rischi legati al GDPR dipenderà dai Garanti Privacy nazionali.

E in Italia?

In Italia, secondo il report di AON e DLA Piper, eventuali sanzioni del GDPR non sono assicurabili. Le sanzioni amministrative non sono assicurabili perché si perderebbe l’effetto deterrente delle multe, se il trasgressore potesse trasferire il peso economico sull’assicuratore.

E’ possibile, al contrario, assicurarsi per i costi legati alle indagini su un incidente, sui costi di difesa, sulle cause di terzi (clienti, fornitori, detentori dei dati), per le conseguenze di una perdita o di un furto di dati, per i costi legati alla mitigazione di un evento di data breach, comprese le spese in pubbliche relazioni. L’assicuratore non risponderà del pagamento dell’indennità se la perdita sarà stata causata intenzionalmente dall’assicurato.

Priorità alla compliance

Ma per il momento la priorità delle autorità europee è che le aziende si conformino al nuovo regolamento. “Non c’è nessun riferimento nel GDPR che permetta o proibisca coperture assicurative contro le sanzioni che possano essere elevate elevate dall’ICO (il Garante del Regno Unito) per violazioni del GDPR”, ha detto alla Reuters un portavoce dell’ICO (Information Comissioner’s Office di Londra).

D’altro canto, il nuovo regolamento Ue sulla data Protection rende più facile a gruppi di persone l’avvio di cause collettive (in stile class action) per mancato adeguamento alle nuove regole sulla Data protection, il che potrebbe spingere le aziende a dotarsi di polizze più serie per difendersi.

In sintesi, le aziende al momento faranno bene a concentrarsi sulla compliance e sull’adeguamento al nuovo regolamento, tanto più che il regime sanzionatorio sarà introdotto in maniera graduale, ma viste le premesse in futuro il mercato delle cyber assicurazioni potrebbe certamente fiorire.