Cyber insurance 2.0
Poco meno di un mese fa, in questo blog, mi soffermavo sull'evoluzione, o meglio, la rivoluzione, delle polizze per tutelarsi dai cyber risks. Uno dei punti di forza sui cui mi soffermavo per tracciare la linea di confine tra il successo o l'insuccesso di questo business era stato la capacità delle compagnie di sviluppare e innovare nuovi prodotti, sempre più specializzati.
Il mercato assicurativo statunitense, sempre rapido a recepire le esigenze dei grandi clienti, non ha tardato a reagire. Ecco allora che AIG ha lanciato una nuova tipologia di prodotto, con l'obiettivo non solo di proteggere i dati e la continuità del business di chi subisce l'intrusione" di un hacker. Ma di coprire anche gli eventuali danni materiali a cose e persone che potrebbero scaturire da un attacco informatico.
Mi sono fermato a pensare. Per capire quali conseguenze potrebbe avere un cyber attacco su un'azienda o sulle persone che vi lavorano. Mi è subito venuto in mente il mistero del volo Malaysia Airlines MH370, scomparso dai radar l'8 marzo scorso e ancora non ritrovato. Inizialmente si era pensato, tra le varie ipotesi, a una manomissione della strumentazione di bordo attraverso un sofisticato attacco informatico. Uno scenario futuristico, ma non troppo lontano dalla realtà.
Come avrebbe reagito, quindi, il mercato assicurativo, se si fosse realmente trattato di un attacco hacker? Sono le domande che si sono posti AIG e i suoi clienti corporate, sulla scia di un'iniziativa del governo americano che sta ridisegnando gli standard di sicurezza informatica operativi nel Paese. Un'operazione di grande portata, supportata dal National Institute of Standards and Technology (NIST), ma che richiede anche un ruolo attivo da parte del mercato assicurativo.
Agli assicuratori si muove la critica di non essere rimasti al passo coi tempi. Mentre le armi nelle mani dei criminali aumentavano, le coperture si standardizzavano e si concentravano solamente sulla protezione dei dati e della privacy. Senza realizzare che ormai molti dei prodotti commercializzati dagli assicurati fanno affidamento su internet e sono una facile preda per gli hacker.
Per AIG non è stato semplice muoversi e creare un prodotto efficiente. I dati statistici su questa tipologia di rischio non erano sufficienti e il mercato è relativamente giovane. Si è quindi fatto affidamento sui dati attuariali provenienti da altre linee di business simili a quella cyber e si è riusciti a raggiungere il miglior risultato possibile. Per tutelare i clienti da rischi considerati ancora di nicchia, ma che sono al centro delle preoccupazioni delle maggiori multinazionali, in particolare nel settore dell'energia e dei trasporti. E' risaputo, infatti, che esistono virus capaci di entrare nei sistemi di controllo degli stabilimenti, o di smistamento del traffico su rotaie.
Altri esempi. Nel campo dei supporti medici, i produttori di pacemaker sono consapevoli che è possibile modificare la frequenza degli apparecchi collegati a internet, con l'obiettivo di danneggiare volontariamente i pazienti. Queste tragiche conseguenze, in un momento d'instabilità politica globale, nel quale l'allerta terrorismo è alta, sono al centro dell'attenzione degli assicuratori. Per i quali però rimane difficile quantificare i danni e costruire modelli adeguati. Il governo americano, il NIST e AIG hanno dato il via a un processo lungo e a tratti incerto, ma praticabile.
Ormai viviamo connessi e perennemente a carte scoperte. Proteggersi e bluffare rimane l'unica carta percorribile prima che sia troppo tardi.
Matteo Cominelli
Esperto mercato assicurativo e Consulente con sede a Londra
Il mercato assicurativo statunitense, sempre rapido a recepire le esigenze dei grandi clienti, non ha tardato a reagire. Ecco allora che AIG ha lanciato una nuova tipologia di prodotto, con l'obiettivo non solo di proteggere i dati e la continuità del business di chi subisce l'intrusione" di un hacker. Ma di coprire anche gli eventuali danni materiali a cose e persone che potrebbero scaturire da un attacco informatico.
Mi sono fermato a pensare. Per capire quali conseguenze potrebbe avere un cyber attacco su un'azienda o sulle persone che vi lavorano. Mi è subito venuto in mente il mistero del volo Malaysia Airlines MH370, scomparso dai radar l'8 marzo scorso e ancora non ritrovato. Inizialmente si era pensato, tra le varie ipotesi, a una manomissione della strumentazione di bordo attraverso un sofisticato attacco informatico. Uno scenario futuristico, ma non troppo lontano dalla realtà.
Come avrebbe reagito, quindi, il mercato assicurativo, se si fosse realmente trattato di un attacco hacker? Sono le domande che si sono posti AIG e i suoi clienti corporate, sulla scia di un'iniziativa del governo americano che sta ridisegnando gli standard di sicurezza informatica operativi nel Paese. Un'operazione di grande portata, supportata dal National Institute of Standards and Technology (NIST), ma che richiede anche un ruolo attivo da parte del mercato assicurativo.
Agli assicuratori si muove la critica di non essere rimasti al passo coi tempi. Mentre le armi nelle mani dei criminali aumentavano, le coperture si standardizzavano e si concentravano solamente sulla protezione dei dati e della privacy. Senza realizzare che ormai molti dei prodotti commercializzati dagli assicurati fanno affidamento su internet e sono una facile preda per gli hacker.
Per AIG non è stato semplice muoversi e creare un prodotto efficiente. I dati statistici su questa tipologia di rischio non erano sufficienti e il mercato è relativamente giovane. Si è quindi fatto affidamento sui dati attuariali provenienti da altre linee di business simili a quella cyber e si è riusciti a raggiungere il miglior risultato possibile. Per tutelare i clienti da rischi considerati ancora di nicchia, ma che sono al centro delle preoccupazioni delle maggiori multinazionali, in particolare nel settore dell'energia e dei trasporti. E' risaputo, infatti, che esistono virus capaci di entrare nei sistemi di controllo degli stabilimenti, o di smistamento del traffico su rotaie.
Altri esempi. Nel campo dei supporti medici, i produttori di pacemaker sono consapevoli che è possibile modificare la frequenza degli apparecchi collegati a internet, con l'obiettivo di danneggiare volontariamente i pazienti. Queste tragiche conseguenze, in un momento d'instabilità politica globale, nel quale l'allerta terrorismo è alta, sono al centro dell'attenzione degli assicuratori. Per i quali però rimane difficile quantificare i danni e costruire modelli adeguati. Il governo americano, il NIST e AIG hanno dato il via a un processo lungo e a tratti incerto, ma praticabile.
Ormai viviamo connessi e perennemente a carte scoperte. Proteggersi e bluffare rimane l'unica carta percorribile prima che sia troppo tardi.
Matteo Cominelli
Esperto mercato assicurativo e Consulente con sede a Londra
© RIPRODUZIONE RISERVATA
👥