La necessità di coniugare le misure anti Covid-19 – in particolare, la riduzione di contatti diretti – con l’esigenza di continuare a svolgere attività lavorative e scolastiche ha incrementato la propensione all’uso del digitale, dando impulso a un trend già in corso.
Già nel 2019, in effetti, oltre il 50% della popolazione mondiale era online1 e ben 5,2 miliardi di persone (il 66% del totale) possedevano un dispositivo mobile2. Dopo Covid-19, questo processo è destinato ad accelerare: la connettività e l’uso di dispositivi tecnologici sono diventati una vera e propria necessità anche in settori in cui l’impiego di tecnologie digitali procedeva più a rilento, come l’ambito sanitario, quello scolastico e la Pubblica Amministrazione, dove prima lo smart-working era meno praticato.
Tuttavia, la digitalizzazione porta con sé non solo grandi opportunità, ma anche il rischio di vulnerabilità rispetto ad errori ed attacchi cyber, per cui è necessario prevedere un sistema di sicurezza che chiama in campo direttamente anche il mondo dell’Insurance.
Cyber Risk, l’altra faccia della digitalizzazione
Con Cyber Risk si intende il rischio che eventi accidentali o azioni dolose legate all’uso del sistema informatico (infrastrutture IT, software, data base) possa provocare perdite economiche e reputazionali.
Si tratta di un fenomeno complesso, che deriva dal fatto che ogni device è potenzialmente una porta d’ingresso per errori o, peggio, intrusioni deliberate che possono mettere a rischio il funzionamento dei dispositivi e la protezione di dati, con danni ingenti.
Secondo il World Economic Forum3, gli attacchi informatici sono diventati un pericolo comune per individui e aziende, tanto da essere classificati come il settimo rischio più probabile e l’ottavo con maggiore impatto, e il secondo rischio più preoccupante a livello globale per i prossimi 10 anni per chi opera nel settore economico.
Gli attacchi informatici (Cyber Crime) possono arrivare sotto forma di virus, malware o da deliberate azioni di hackeraggio o di data breach. Tecniche sempre più sofisticate possono mettere a repentaglio anche i sistemi di sicurezza: è il caso dello zero-day che implica un attacco in grado di sfruttare vulnerabilità non ancora note o irrisolte.
Sarebbe sbagliato, tuttavia, ridurre il Cyber Risk solo ad attacchi dolosi di terze parti. Nell’uso delle tecnologie digitali è infatti insito il rischio IT puro, che implica errori umani, eventi accidentali (ad esempio un incendio o un guasto elettrico), problematiche dei software. Secondo il rapporto dell’Enisa4, Agenzia europea per la Cyber-Security, tra gli incidenti registrati nel 2019 i guasti di sistema sono stati la causa più frequente ed hanno rappresentato quasi la metà (48%) del totale del miliardo di ore/utente perse; pesano anche gli errori umani, che sono cresciuti inoltre del 50% rispetto al 2019.
Qualunque sia la causa di un danno al sistema informatico, le conseguenze possono essere molto gravi. Ad esempio, un server danneggiato potrebbe rimanere inutilizzabile per diversi giorni, interrompendo l’attività con perdite economiche ingenti. Se si verificano perdite o furti di dati che mettono a repentaglio la privacy di clienti, c’è inoltre il rischio di dover essere chiamati a risarcire danni a terzi, oltre che di veder danneggiata la reputazione.
Secondo Cybersecurity Ventures, nel 2021 i danni causati dal crimine informatico potrebbero raggiungere i 6 bilioni di dollari5, una cifra superiore al PIL del Giappone, la terza economia mondiale.
Come cambia il Cyber Risk con Covid-19
Il Cyber Risk è sostanzialmente connaturato con la tecnologia: è nato con essa e si può dire che ne abbia seguito lo sviluppo.
Non deve stupire, dunque, che l’emergenza sanitaria da Covid-19, che ha inciso sulla diffusione di tecnologie digitali, abbia inciso anche sull’evoluzione del Cyber Risk.
Attacchi informatici in aumento
Innanzitutto, il ricorso massiccio al digitale per lavorare e studiare ha portato ad un incremento del numero di attacchi cyber: la presenza sempre più numerosa di dispositivi in collegamento tra di loro significa un aumento di “porte’” d’accesso per attacchi informatici.
Secondo l’osservatorio sulla cybersecurity di Exprivia6, in Italia, nel secondo trimestre del 2020 si è registrato un incremento degli attacchi informatici di oltre il 250% rispetto ai primi tre mesi del 2020. Per gli esperti di Exprivia, l’emergenza ha influito, in maniera decisiva, sulla sicurezza informatica a causa dell’incremento dello smart working e della maggiore connessione ai social network. La diffusa mancanza di cultura digitale, anche nei singoli cittadini, e l’inadeguatezza con cui aziende ed enti pubblici proteggono dati sensibili e sistemi informatici hanno reso fertile il terreno per il Cyber Crime.
Il 60% degli eventi ha provocato il furto dei dati con una crescita del 361% rispetto al primo trimestre 2020, superando in maniera significativa sia le violazioni della privacy (11% dei casi) che le perdite di denaro (7%). Termini come “corona antivirus” e simili sono stati utilizzati per introdurre software malevoli nei computer delle vittime, compromettendone il funzionamento.
Nel mirino sono finiti anche i router domestici, preziosi per lo smart-working: a settembre del 2019 gli attacchi per compromettere i log in dei router erano stati 23 milioni, mentre a marzo 2020 si sono attestati sui 194 milioni.
Sanità, il nuovo target
Durante l’emergenza Covid, si è notato anche un cambiamento nel target preso di mira dal Cyber Crime, indirizzato sempre più verso il mondo dell’Health.
Il 24 febbraio, ad esempio, l’Oms ha comunicato l’allerta “Phishing”, a causa di messaggi di posta elettronica sospetti che tentano di trarre vantaggio dall’emergenza del nuovo coronavirus7.
Ad aprile, invece, è stata l’Interpol Europea8 a lanciare l’allarme, sottolineando come i cyber criminali stessero prendendo di mira istituzioni dell’Healthcare, diventate centrali per il ruolo giocato a livello mondiale.
La stessa Oms è stata bersaglio di attacchi cyber9, come anche centri di ricerca del settore sanitario e del farmaco, organizzazioni umanitarie, strutture sanitarie, tutti bersagli diventati appetibili perché in possesso di informazioni di valore inestimabile, come ricerche in corso sulle cure al coronavirus, vaccini e test.
Sicurezza, parola chiave per la digitalizzazione
Le reti IT sono sempre più strategiche per i Governi nazionali: se la corsa alla digitalizzazione è inarrestabile, tuttavia, l’uso diffuso del mobile per funzioni essenziali quali l’istruzione e la salute pubblica dovrà essere accompagnato da solidi interventi a tutela della sicurezza della rete.
Senza sicurezza non sarà possibile beneficiare delle opportunità che le tecnologie digitali offrono sia sul fronte delle imprese private che delle Pubbliche Amministrazioni.
In questo contesto, l’Insurance potrà giocare un ruolo chiave, non solo per ristorare i danni eventualmente subiti, ma anche per supportare processi di prevenzione.
Rispetto ai normali rischi coperti dall’Insurance, il Cyber Risk richiede un passo in più perché quando si ha a che fare con un incidente che danneggia la rete IT o si incappa in un attacco cyber, la posta in gioco può essere molto più elevata del valore economico del danno provocato. Pensiamo, ad esempio, al rischio che cyber-criminali mettano le mani su dati sensibili o informazioni necessarie per la sicurezza nazionale.
Per affrontare il Cyber Risk, però, servono esperienza, competenza e capacità di aggiornamento costante. Il gruppo Allianz, di cui fa parte Darta Saving, è in prima fila in questo impegno con Allianz Global Corporate & Specialty (AGCS), che ha più di un decennio di esperienza nell’assicurazione informatica, nella protezione delle organizzazioni contro la criminalità informatica e le minacce digitali.
Il valore aggiunto delle soluzioni Allianz è la capacità di offrire non solo il risarcimento per perdite finanziarie potenzialmente significative, ma anche prevenzione e risposta agli incidenti attraverso servizi specifici (compresi esperti forensi IT), in grado di migliorare la resilienza informatica dell’assicurato e mitigare gli impatti negativi dopo un incidente.
1. “Measuring digital development. Facts and figures 2019”, ITU (International Telecommunication Union), 2019
2. “How many smartphones are in the world?”, A. Turner, 2019, Bankmycell.com
3. “Wild Wide Web. Consequences of Digital Fragmentation”, 2020, Reports.weforum.org
4. Comunicato stampa su www.enisa.europa.eu
5. “Wild Wide Web. Consequences of Digital Fragmentation”, 2020, Reports.weforum.org
6. Comunicato stampa su www.exprivia.it
7. “Covid-19: Oms denuncia cybertruffa che sfrutta l’emergenza nuovo coronavirus”, 2020, www.salute.gov.it
8. “Cybercriminals targeting critical healthcare institutions with ransomware”, 4 aprile 2020, www.interpol.int
9. “Exclusive: Elite hackers target WHO as coronavirus cyberattacks spike”, R. Satter, J. Stubbs, C. Bing, 23 marzo 2020, www.reuters.com