FERMA: come costruire una polizza cyber efficace
FERMA (Federation of European Risk Management Associations), che riunisce Risk e Insurance Manager a livello europeo ha pubblicato il report “Prepararsi per la Cyber Insurance”, una fotografia sullo stato delle polizze cyber a livello europeo e un utile strumento per le aziende nel definire gli obiettivi nel processo di assicurazione di questi rischi.
Lo studio è stato redatto da un gruppo di esperti del settore assicurativo e aziendale e presentato in occasione del FERMA Seminar, tenutosi in ottobre 2018 ad Anversa, Belgio.
Il report prende le mosse dai dati della società di consulenza EY, secondo cui solo il 35% delle aziende ha un’assicurazione contro il rischio cyber veramente efficace e calibrata sulle reali esigenze. La guida propone un modus operandi che coinvolge tutte le parti in causa nel processo sottoscrittivo (compagnie, intermediari, aziende).
Il modello proposto si articola nello specifico in due momenti: il primo sottolinea come la cyber security sia una questione interfunzionale, indipendentemente dalle dimensioni dell’azienda. Vale a dire che l’insurance manager – per quanto faticoso questo processo possa essere – deve necessariamente coinvolgere nella fase di analisi dei requisiti di polizza un gran numero di funzioni: dal Finance, per capire come e quanto i rischi informatici impattano sul business, al Legal, per comprendere i possibili risvolti giuridici, anche alla luce delle nuove norme (si pensi al GDPR), fino alle Risorse Umane, dal momento che gli errori del personale sono responsabili di molti attacchi cyber, e ovviamente al reparto IT, per accertarsi di avere adeguate tecnologie e filtri difensivi.
«Quello del Risk Manager non può essere un lavoro solitario – conferma Alessandro De Felice, Presidente ANRA e Chief Risk Officer Prysmian Group – ha un ruolo di trait d’union, dev’essere cioè capace di parlare linguaggi diversi e di comunicare in maniera capillare con tutte le funzioni aziendali. Solo così può creare una robusta struttura per la governance del rischio informatico, che migliori i processi decisionali dell’impresa e garantisca che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati».
Il secondo momento individuato dal modello proposto da FERMA riguarda la valutazione della polizza cyber, che secondo il report dovrebbe basarsi sul punteggio ottenuto in quattro aree: Prevenzione, Assistenza, Operations e Liability, ponderabili in base ad una checklist da utilizzare nel dialogo con l’assicuratore.
Questo modello nasce con l’obiettivo di aiutare tutte le parti in gioco: gli insurance/risk manager e gli insurance buyer riusciranno a valutare più efficacemente le esigenze della propria azienda, gli assicuratori riceveranno informazioni più precise e tecniche sul rischio da coprire e sulle misure di prevenzione e protezione messe in atto, gli intermediari potranno basare la loro ricerca e contrattazione su informazioni più chiare e puntuali.
Oltre a promuovere il dialogo e la trasparenza, lo studio vorrebbe scoraggiare interventi regolatori non necessari. Nel 2017 infatti, un report della European Union Agency for Network and Information Security ha proposto un’armonizzazione dei questionari sulla cyber insurance e sulle coperture. FERMA, al contrario, crede che la risposta sia un aumento del dialogo e dello scambio di informazioni tra le parti in gioco, piuttosto che altre regolamentazioni e lungaggini burocratiche.
