Polizze cyber e clausola claims made
Prima parte - La struttura delle coperture “a richiesta fatta” si adatta al rischio informatico, caratterizzato da “un’infezione” dei sistemi che può restare silenziosa per periodi anche molto lunghi senza che la vittima ne possa essere consapevole. Ma è proprio la lunghezza del tempo di incubazione che può invalidare il contratto assicurativo
17/01/2018
La Cassazione è ritornata più di una volta sul controverso tema delle clausole claims made. Data per pacifica la non vessatorietà delle claims made cosiddette pure, gli ermellini si sono incentrati sulle claims made “spurie”, cioè quelle che limitano la retroattività della polizza, garantendo l’indennizzo solo per sinistri verificatisi a partire dal momento della stipula o anche per un periodo determinato anteriore ad essa.
In particolare, con sentenza dello scorso 26 aprile 2017, n. 10.506, la terza sezione civile della Suprema Corte ha applicato il principio di meritevolezza della tutela ex art. 1322, comma secondo, codice civile, a una clausola di polizza che subordinava la copertura al presupposto che tanto il danno, quanto la richiesta di risarcimento, avvengano nel periodo di durata dell’assicurazione, per negarne l’efficacia.
Nel caso di specie, la Suprema Corte ha statuito che: “La clausola c.d. claims made, inserita in un contratto di assicurazione della responsabilità civile stipulato da un’azienda ospedaliera, per effetto della quale la copertura esclusiva è prestata solo se tanto il danno causato dall’assicurato, quanto la richiesta di risarcimento formulata dal terzo, avvengano nel periodo di durata dell’assicurazione, è un patto atipico immeritevole di tutela ai sensi dell’art. 1.322, comma secondo, C.C., in quanto realizza un ingiusto e sproporzionato vantaggio dell’assicuratore, e pone l’assicurato in una condizione di indeterminata e non controllabile soggezione”.
L’analisi di Ania sulla loss occurence
Da notare che Ania era già intervenuta sull’argomento a favore della clausola claims made con un position paper nell’ottobre 2014, enucleando i problemi delle tradizionali clausole loss occurrence.
Nell’occasione, Ania ha rilevato che nei sinistri a manifestazione ritardata (long tail claims) o di lunga latenza, il regime di garanzia loss occurrence non appare efficiente e comporta numerose problematiche.
In particolare, la tipologia loss occurrence:
Le forme di aggressione più riconosciute dalle polizze
Premesso quanto sopra, potrebbe essere interessante applicare i principi del nuovo regime claims made di elaborazione giurisprudenziale alle polizze assicurative dei rischi cibernetici (o cyber risks policies). L’analisi che ne segue è tecnica, prima ancora che giuridica.
Si ricorda che i triggers di polizza più comuni nelle polizze italiane sono:
“The unauthorized acquisition, access, use or disclosure of, or the loss or theft of personal data, which compromises the security or privacy of that information such that it poses a significant risk of financial harm to the data subject; or any unauthorized acquisition, access, use or disclosure of personal data which triggers your obligations under any statute, law or regulation to make any notification of such unauthorized acquisition, access, use or disclosure”.
Le polizze cyber sono generalmente prestate nella forma claims made, salvo ove diversamente previsto. Il problema principale generato dall’invalidità della clausola claims made in una tipica polizza cyber, risiede nel periodo di incubazione del malware e del virus informatico. Più breve è detto periodo di incubazione, più veloce sarà l’acquisizione di consapevolezza da parte dell’assicurato circa il verificarsi di una intrusione non autorizzata di ignoti nel proprio sistema informatico, che potrà essere denunciata agli assicuratori come circostanza o come danno a seconda delle condizioni di polizza e dei triggers in vigore. Al contrario, più lungo è il tempo di incubazione, maggiore sarà l’interesse dell’assicurato (non dell’assicuratore) a condizioni assicurative che gli consentano di “cristallizzare” la copertura assicurativa, in attesa di una richiesta di risarcimento che necessariamente non potrà che essere futura ed eventuale.
In particolare, con sentenza dello scorso 26 aprile 2017, n. 10.506, la terza sezione civile della Suprema Corte ha applicato il principio di meritevolezza della tutela ex art. 1322, comma secondo, codice civile, a una clausola di polizza che subordinava la copertura al presupposto che tanto il danno, quanto la richiesta di risarcimento, avvengano nel periodo di durata dell’assicurazione, per negarne l’efficacia.
Nel caso di specie, la Suprema Corte ha statuito che: “La clausola c.d. claims made, inserita in un contratto di assicurazione della responsabilità civile stipulato da un’azienda ospedaliera, per effetto della quale la copertura esclusiva è prestata solo se tanto il danno causato dall’assicurato, quanto la richiesta di risarcimento formulata dal terzo, avvengano nel periodo di durata dell’assicurazione, è un patto atipico immeritevole di tutela ai sensi dell’art. 1.322, comma secondo, C.C., in quanto realizza un ingiusto e sproporzionato vantaggio dell’assicuratore, e pone l’assicurato in una condizione di indeterminata e non controllabile soggezione”.
L’analisi di Ania sulla loss occurence
Da notare che Ania era già intervenuta sull’argomento a favore della clausola claims made con un position paper nell’ottobre 2014, enucleando i problemi delle tradizionali clausole loss occurrence.
Nell’occasione, Ania ha rilevato che nei sinistri a manifestazione ritardata (long tail claims) o di lunga latenza, il regime di garanzia loss occurrence non appare efficiente e comporta numerose problematiche.
In particolare, la tipologia loss occurrence:
- impone alle imprese di stimare un importo di risarcimento sulla base di criteri valutativi non necessariamente in uso al momento della tariffazione;
- origina il fenomeno dell’Ibnr (incurred but not reported, sinistri che sono avvenuti ma che non sono stati ancora denunciati), con la conseguenza che se un’impresa decidesse di uscire dal mercato dovrebbe fare i conti con le difficoltà che ne conseguono;
- comporta la necessità per l’assicuratore di effettuare proiezioni statistico-attuariali relative alla sinistralità tardiva, i cui eventuali errori di stima gravano su annualità di bilancio future rispetto a quella della polizza attivata;
- implica che l’assicurato non possa prevedere se al momento della denuncia di sinistro la compagnia sarà attiva e operante sul mercato: è infatti possibile che la polizza sia stata rilasciata da una compagnia non solida, oppure che le condizioni del mercato siano cambiate in modo così radicale da comprometterne la stabilità;
- comporta la difficoltà di fissare nel tempo il momento esatto che rende operante la garanzia;
- non esclude la possibilità che siano astrattamente attivabili più coperture prestate da diversi assicuratori nei distinti momenti del processo di sviluppo del rischio da danno potenziale a danno effettivo e manifesto.
Le forme di aggressione più riconosciute dalle polizze
Premesso quanto sopra, potrebbe essere interessante applicare i principi del nuovo regime claims made di elaborazione giurisprudenziale alle polizze assicurative dei rischi cibernetici (o cyber risks policies). L’analisi che ne segue è tecnica, prima ancora che giuridica.
Si ricorda che i triggers di polizza più comuni nelle polizze italiane sono:
- l’accesso non autorizzato o la trasmissione non autorizzata di dati personali per i quali la società assicurata è responsabile (responsabile del trattamento o titolare del trattamento – Legge privacy);
- intrusione dovuta a difetto di sicurezza del sistema informatico della società assicurata (inclusi: accesso e uso non autorizzato, un attacco che provochi interruzione di servizio o di accesso, la ricezione o trasmissione di un codice che esegue operazioni nocive, di software nocivi o virus…);
- un attacco cyber di terzi e/o qualsiasi effettivo o presunto atto, errore, omissione, negligenza o violazione colposa di doveri, attuale o asserita, da parte di un assicurato che abbia determinato:
- il furto, l’alterazione o la distruzione di dati elettronici di terzi;
- l’accesso non autorizzato;
- il rifiuto di accesso al sistema informatico da parte di un utente autorizzato;
- alterazioni del sistema informatico che determinino guasti e/o danni a sistemi informatici di terzi;
- la trasmissione di un malware al sistema informatico di un terzo.
“The unauthorized acquisition, access, use or disclosure of, or the loss or theft of personal data, which compromises the security or privacy of that information such that it poses a significant risk of financial harm to the data subject; or any unauthorized acquisition, access, use or disclosure of personal data which triggers your obligations under any statute, law or regulation to make any notification of such unauthorized acquisition, access, use or disclosure”.
Le polizze cyber sono generalmente prestate nella forma claims made, salvo ove diversamente previsto. Il problema principale generato dall’invalidità della clausola claims made in una tipica polizza cyber, risiede nel periodo di incubazione del malware e del virus informatico. Più breve è detto periodo di incubazione, più veloce sarà l’acquisizione di consapevolezza da parte dell’assicurato circa il verificarsi di una intrusione non autorizzata di ignoti nel proprio sistema informatico, che potrà essere denunciata agli assicuratori come circostanza o come danno a seconda delle condizioni di polizza e dei triggers in vigore. Al contrario, più lungo è il tempo di incubazione, maggiore sarà l’interesse dell’assicurato (non dell’assicuratore) a condizioni assicurative che gli consentano di “cristallizzare” la copertura assicurativa, in attesa di una richiesta di risarcimento che necessariamente non potrà che essere futura ed eventuale.
© RIPRODUZIONE RISERVATA