L’automazione consente alle imprese italiane di rimanere competitive, ma c’è un trend crescente di esclusione dalle coperture assicurativa dei danni materiali e delle lesioni causate da robot e malfunzionamenti informatiche
Il cyber risk è indicato come la minaccia maggiormente percepita dalle imprese a livello globale, ma la maggioranza delle aziende italiane non è preparata a gestirlo ed è sotto assicurata, perché ignora uno degli aspetti principali del rischio cyber: le lesioni e i danni materiali, che non trovano copertura nelle polizze cyber standard.
I malfunzionamenti dei software possono essere, al pari di altri eventi, causa di danni materiali come incendi, allagamenti, danni alla proprietà, oppure lesioni alle persone. In qualità di associazione italiana dei brokers siamo osservatori attenti del settore assicurativo: riscontriamo un gap rispetto ai rischi emergenti delle imprese, sempre più digitalizzate e automatizzate, e la risposta del mercato: eventi simili non trovano copertura né all’interno delle polizze cyber e sempre meno in quelle tradizionali, che normalmente includono danni materiali e lesioni, ma tendono ad escluderli quando a cagionarli sono cause ‘informatiche’.
Le dimensioni del problema
Se si pensa che, in Italia, per ogni 10.000 addetti ci sono 200 robot, con un rapporto macchina-uomo che è il doppio della media mondiale[1], si può facilmente comprendere le dimensioni del fenomeno. Infatti, maggiore è l’automazione dei processi produttivi, maggiore è l’esposizione al rischio che interruzioni o malfunzionamenti dei servizi informatici, anche causati da interventi dell’uomo dolosi o colposi, comportino danni materiali o lesioni a persone.
I settori più esposti sono quindi quelli dove sono stati realizzati i maggiori investimenti in robotica avanzata e Internet of things (Iot), con l’introduzione di robot interconnessi programmabili e tecnologie di comunicazione machine to machine: l’Automotive, dove il 38,2% delle imprese del settore ha investito in Iot e il 27,3% in robotica avanzata, il Biotech e Petrolchimico (rispettivamente 27,1% in robotica e 47,8% in Iot) e quello dell’Energy e delle utilities (40,9% in Iot e 22,9% in robotica)[2].
Ci troviamo nell’epoca dell’Industria 4.0, tuttavia, non c’è ancora la dovuta attenzione da parte delle imprese ai benefici prospettici derivanti da un’accorta strategia di mitigazione dei rischi, anche di quelli cyber. Per quanto riguarda il rischio residuo, che non può essere mitigato e deve essere trasferito al mercato assicurativo, bisogna stimolare l’offerta di nuove soluzioni personalizzate, che includano quelli che al momento sono rischi emergenti e non sempre trasferibili.
Cyber risk sotto i riflettori
Verso il cyber risk il livello di guardia è crescente, come attestato dall’indagine dell’Allianz Risk Barometer: il 39% degli intervistati della survey annuale di AGCS ha indicato proprio la minaccia informatica come principale rischio per l’impresa, più della business interruption (37%) e dei cambiamenti nella legislazione (27%). Anche in Italia il cyber risk è indicato tra i tre rischi maggiormente percepiti dalle aziende[3].
Tale attenzione, però, si concentra in particolare sui fenomeni di violazione dei dati (data breach), che risultano essere molto frequenti – oltre metà delle aziende europee, ha dichiarato di aver affrontato almeno un attacco informatico negli ultimi 24 mesi[4] – e possono essere molto costosi e complessi da gestire. Si calcola infatti che, a livello mondiale, un singolo evento di furto di dati coinvolga in media 25,575 record e comporti un costo medio di 3,92 milioni di dollari (3,52 milioni di dollari in Italia). Un mega breach, cioè un furto di oltre un milione di record, può però arrivare a costare anche 42 milioni di dollari.
Alla consapevolezza dell’esposizione al rischio, però, non sembra far seguito una cultura della risk analisys orientata prima alla mitigazione del rischio, poi alla copertura assicurativa del rischio residuo, soprattutto in Italia. Le PMI italiane, che costituiscono il 92% del tessuto produttivo del Paese[5], investono poco in information security (il 75% del mercato è mosso dalle grandi imprese) e raramente sottoscrivono polizze cyber risk specifiche. Attualmente meno del 20% delle piccole e medie imprese ha affidato la gestione del rischio cyber ad esperti o ha attivato una polizza specifica per il cyber risk[6].
[1] 53° Rapporto sulla situazione sociale del Paese (2019)
[2] 53° Rapporto sulla situazione sociale del Paese (2019)
[3] AGCS, allianz Risk Barometer 2020
[4] Indagine Kaspersky Lab 2019
[5] https://www.infodata.ilsole24ore.com/2019/07/10/40229/
[6] Politecnico di Milano, Osservatorio Information Security & Privacy 2018