La Parola agli Under 30 | Cyber Risk: coperture assicurative per la P.A. in Italia

Recentemente si sono lette informazioni e commenti sull'attacco informatico subito dalla Regione Lazio.

Contemporaneamente, in molti ci siamo altresì domandati come sia stato possibile che un ente di tale importanza venisse informaticamente violato da un attacco ransomware, phishing e come potesse sussistere una tale  vulnerabilità della rete.

Mentre siamo in attesa di conoscere maggiori dettagli sulla vicenda specifica, ad oggi in rete non ho trovato articoli atti a sensibilizzare culturalmente circa la necessità di sottoscrivere una polizza cyber risk.

Perché se è vero che da un lato vi è la necessità di fare un costante training al personale coinvolto, è altrettanto vero che l'errore umano non può essere azzerato anzi, può celarsi e concretizzarsi anche sotto al mouse del dipendente più formato.

Ed è proprio per tale motivo che tra i vari suggerimenti preventivi dovrebbe esserci la sensibilizzazione degli enti pubblici, che trattano dati sensibili e magari legati anche a profili sanitari, ad adoperarsi nel sottoscrivere assicurazioni specifiche.

Difatti, seppur i dati del rapporto Clusit 2021 sulla sicurezza ICT in Italia mostrino come il numero degli attacchi informatici globali sia in costante aumento (+12% nel 2020) e di come questi gravino sui bilanci pubblici (circa 7mld di euro secondo un recente reportage di Repubblica), appare altresì evidente come nella nostra cultura assicurativa vi sia ancora questo gap di conoscenza.

Ritornando all'attacco hacker subito dalla regione Lazio, attualmente sembrerebbe che nessun dato personale e sanitario di terzi sia stato violato. Fortuna? Può darsi!

Tuttavia, quello che dovremmo imparare e anche in maniera piuttosto rapida, è che la fortuna non è eterna.

Se ipotizzassimo che fossero stati sottratti dati personali e sanitari o che visite mediche importanti fossero state rimandate a date da destinarsi (con conseguente peggioramento dello stato di salute), sarebbe stata possibile una class action popolare? A che tipo di entità di danno sarebbe stato esposto un ente come la Regione? Ma soprattutto, come avrebbe gestito questo danno senza una copertura appropriata?

In aggiunta a ciò, come riporta l'articolo del sito web cybersecurity360.it, la sanità regionale rientra tra le Infrastrutture critiche nazionali ed è soggetta alla Direttiva NIS (Direttiva 2016/1148 dell’Unione Europea sulla sicurezza delle reti e dei sistemi informativi) nonché al Perimetro di sicurezza nazionale cibernetica.

Appare pertanto ancor più evidente l'indispensabile necessità che tali enti oltre a mantenere costantemente aggiornate le proprie architetture di rete, hardware e personale dipendente, debbano in ogni modo tutelare il patrimonio economico della Pubblica Amministrazione nonché i dati dei propri cittadini così come anche richiesto dal regolamento dell’UE GDPR - 2016/679.

Un contratto assicurativo adeguato può fornire anche assistenza sin dal primo istante in cui si venga a conoscenza di una violazione della rete. Come? Spesso attraverso un team di crisis management dedicato e a costo zero poiché già compreso nel contratto assicurativo stipulato.

Diversamente, in caso di violazione di dati personali e sanitari di terzi, sempre nella medesima tipologia contrattuale sono previste garanzie specifiche di responsabilità civile nei confronti dei terzi danneggiati. E ancora, garanzie  preventive (consulenze con esperti di comunicazione, simulazioni di crisi, ecc…) e successive (spese per la pubblicità, stampa, campagne social, ecc…) da attivare a seguito di un danno alla brand reputation.

Insomma, è sempre bene tutelarsi, magari ritagliando nei propri bilanci economici degli importi ad hoc che possano essere destinati per stipulare contratti per rischi specifici a volte erroneamente sottovalutati: la commercializzazione di computer quantistici renderà, negli anni a venire, ancora più facile la possibilità di subire reati informatici.