Conoscere e saper sfruttare le nuove tecnologie digitali sono ormai abilità ricercate e indispensabili all’interno di ogni azienda
Questa attenzione comporta, però, anche la conoscenza dei rischi legati all’utilizzo di una rete di server e computer, al fine di evitare incidenti di percorso che possono rivelarsi assai costosi. Con il termine cyber risk si intende il pericolo che la rete informatica sia utilizzata a danno dell’azienda o a causa dell’azione di malintenzionati, oppure (nella minoranza di casi) per un semplice errore umano (fonte: studio statistico Netdiligence claims study 2015). Le minacce più frequenti sono rappresentate da malware e attacchi da parte di hacker (entrambi fenomeni in aumento negli ultimi anni) in aziende appartenenti a tutti i settori economici (comprese le pubbliche amministrazioni), con una maggiore incidenza per quanto riguarda quello sanitario e quello finanziario.
Cos’è un malware?
Il termine deriva dalla contrazione della frase che in inglese significa software malevolo, e si tratta di un programma finalizzato ad alterare le normali operazioni di un computer senza essere rilevato dall’utente, se non al termine dei processi per i quali è stato creato. Questa categoria comprende i classici virus informatici, che sono ormai entrati nel linguaggio comune. Lo scopo di questi attacchi – quando è rivolto a imprese o studi di liberi professionisti – è carpire informazioni di valore, che possono consistere inbrevetti,database di fornitori o clienti oppure comunicazioni riservate e altri dati sensibili, per attuare un’estorsione o una sleale concorrenza.
Il World Economic Forum considera questo rischio tra i cinque più pericolosi per l’imprenditore e stima una perdita mondiale pari a 3.000 miliardi di dollari nel 2020.
Mediamente, ogni tre attacchi informatici, uno va a buon fine, con le conseguenze, a carico dell’imprenditore e del responsabile, che saranno analizzate a breve. Solo negli Stati Uniti i casi di attacchi da parte di pirati informatici e malware sono aumentati del 154% dal 2011 al 2013.
Le conseguenze di un attacco hacker
Gli autori di questo tipo di attacchi fanno affidamento sull’innato senso di sicurezza che provano tanti imprenditori, per via dell’apparente carattere astratto della pirateria informatica, quasi fosse un pericolo che riguarda solo i colossi della finanza o della tecnologia. Spesso non ci si rende conto che chiunque, in qualunque momento utilizzi il proprio computer, può essere soggetto ad attività illecite di spionaggio che nemmeno un firewall o un antivirus aggiornato sono in grado di contrastare.
Ogni utente è vulnerabile e raggiungibile da qualunque parte del mondo, e basta una leggera svista o l’apertura di un file allegato ad una mail per attivare il pericoloso intruso e assistere impotenti alla sua azione devastante. Sottovalutare la possibilità di un cyber attacco può esporre l’azienda a una serie di rischi, quali:
- impossibilità di accedere al proprio database o la forzata condivisione dello stesso con utenti ignoti;
- manomissione o perdita definitiva dei dati;
- danno di immagine dell’azienda, che dimostra, in tali circostanze, la propria incompetenza nella gestione dei dati sensibili di cui è in possesso;
- danni economici per l’attività, in conseguenza di quanto elencato fin qui.
Se l’azienda si trova a dover agire quando ormai il danno è stato perpetrato, ha innanzi tutto l’obbligo di legge di dare immediata comunicazione all’Autorità di Controllo, secondo quanto prescritto dal General Data Protection Regulation, il GDPR o Regolamento generale per la protezione dei dati personali. Viene, quindi, aperta un’istruttoria e l’azienda deve dimostrare di essere in regola in materia di protezione dei dati personali.
Si dovrà ricorrere all’intervento di esperti informatici, che cercheranno di ripristinare il sistema e recuperare tutti i dati che non sono stati persi definitivamente. Tale intervento, ovviamente, ha un costo variabile, in rapporto all’entità dell’attacco informatico subìto. Questo si traduce sempre in perdita di fatturato e in distrazione di risorse, a fronte di costi fissi immutati, senza contare il danno ricevuto dalla potenziale irreparabile mancanza definitiva di dati relativi a clienti e fornitori.
Spesso l’azienda si troverà a fronteggiare richieste di risarcimento da parte dei soggetti che in qualche modo sono stati danneggiati dalla sottrazione e/o divulgazione di dati sensibili conservati presso gli archivi digitali dell’azienda.
Come difendersi dagli attacchi informatici
La norma europea Regolamento generale per la protezione dei dati personali (GDPR), entrata in vigore nel 2018, è il principale strumento legislativo in materia di protezione dei dati personali all’interno dell’Unione europea. Dal momento che ogni azienda è esposta a cyber risk, è importante riferirsi a tale Regolamento al fine di attuare tutte le misure preventive e organizzative previste.
Queste misure, tuttavia, non sempre riescono ad eliminare completamente il rischio di un attacco informatico, per cui si può scegliere di sottoscrivere una polizza assicurativa studiata a tale scopo. Queste polizze imprese – generalmente dai costi non elevati e comunque dipendenti dal grado di esposizione al rischio – sono state introdotte sul mercato solo di recente e hanno lo scopo di tutelare le imprese dagli eventuali danni sia da parte di malware che da parte di hackers.
Vengono adattate alle esigenze della singola azienda, e in base al numero di dati trattati e al tipo di struttura informatica della stessa. Le polizze cyber risk possono rispondere alle esigenze anche delle piccole aziende e dei liberi professionisti, due categorie ancora più esposte agli attacchi informatici rispetto ad imprese più strutturate.
Il primo passo consiste nella verifica delle caratteristiche dell’attività di impresa e nella individuazione delle polizze assicurative più convenienti, che siano in grado di comprendere il risarcimento per la perdita di immagine e la copertura dei costi di assistenza sia tecnica che legale.
Nel dettaglio, le polizze cyber risk possono riguardare:
- mancata protezione dei dati che abbia consentito la manomissione o la distruzione di file;
- spese legali in caso di citazione in giudizio da parte dei titolari dei dati divulgati;
- richieste di risarcimento a causa della divulgazione in seguito al furto di dati sensibili, qualora si sia verificato un malfunzionamento dei sistemi informatici o vi siano state mancanze nell’applicazione della policy aziendale in tema di privacy;
- spese per notificare la violazione della privacy al garante e ai titolari, spese per la consulenza di esperti in ambito legale, informatico e in pubbliche relazioni, spese per l’eventuale attività di un call center dedicato e per il monitoraggio dei sistemi;
- spese per una eventuale campagna di comunicazione finalizzata al ripristino del danno di immagine dell’azienda da parte sia dei pirati informatici autori dell’attacco, sia da parte di campagne multimediali volte a calunniare l’azienda, in violazione del diritto alla privacy o del materiale aziendale coperto da copyright;
- indennizzo per mancata attività aziendale dovuto alla sospensione o all’interruzione dei servizi informatici;
- danni dovuti al cosiddetto ransomware , ossia un tipo particolare di malware che impedisce l’accesso ai dati e richiede, in cambio della sua disattivazione, il pagamento di un riscatto;
- spese per l’eventuale sostegno psicologico a terzi.
Alcune compagnie assicurative offrono, inoltre, consulenza su polizze in essere e un’analisi dell’impatto economico dovuto a un’eventuale sospensione delle attività dovute a un attacco informatico.
In conclusione, è facile comprendere l’importanza, per le aziende, di condurre un’analisi interna della propria attività per poterne definire il livello di esposizione ad attacchi informatici. Solo dopo aver quantificato la massima perdita imputabile a un attacco informatico, sarà possibile valutare l’eventuale convenienza e i reali benefici che una polizza cyber risk potrà portare.