I dati dell’Allianz Risk Barometer 2020, nona edizione del sondaggio annuale di AGCS sui rischi aziendali maggiormente percepiti a livello globale
Allianz Global Corporate & Specialty (AGCS) ha pubblicato la nona edizione dell’Allianz Risk Barometer, sondaggio annuale sui rischi aziendali maggiormente percepiti a livello globale. Per questa edizione sono stati coinvolti 2.700 esperti del rischio (CEO, risk manager, broker, esperti assicurativi) provenienti da 102 paesi e per la prima volta, il cyber risk è stato indicato come maggior rischio percepito dal 39% degli intervistati, occupando il primo posto nella classifica stilata all’interno del report e superando la business interruption che, con il 37% delle risposte, passa al secondo posto. La classifica completa vede i cambiamenti normativi e regolamentari al terzo posto con il 27% di risposte, seguiti dalle catastrofi naturali (21%), gli sviluppi dei mercati (21%), gli incendi (20%), il cambiamento climatico e l’accresciuta volatilità delle condizioni meteo (17%), la perdita della reputazione o del valore del brand (15%), l’avvento di nuove tecnologie (13%), gli sviluppi macroeconomici (11%).
Se si sposta il focus a livello locale, concentrandosi sull’Italia, si può notare che la percezione dei rischi aziendali è in linea con quanto avviene a livello globale. Infatti, i tre rischi maggiormente percepiti dalle aziende secondo gli intervistati del cluster “Italia” sono la business interruption, indicata nel 51% delle risposte, seguita dal cyber risk, che scresce dal 38% dell’anno scorso al 49 % dell’ultima survey, e dal danno reputazionale o d’immagine (29%), che ha scalato due posizioni in classifica, superando le catastrofi naturali, solo quarte con il 20%.
Cyber risk
Nel 2013 la minaccia informatica occupava solo il quindicesimo posto della classifica del Risk Barometer, indicata solo dal 6% degli intervistati. Oggi è al primo posto a livello globale e in molti dei paesi presi in considerazione nella survey (come Regno Unito, Stati Uniti e Sud Africa) mentre è al secondo posto in Italia. La trasformazione digitale delle aziende, con l’ingresso dei Big Data e sistemi IT nei processi produttivi, ha fatto rapidamente crescere la consapevolezza verso i rischi informatici. L’etichetta “cyber risk” ricomprende al suo interno un numero crescente di sfide che vanno dalla violazione dei dati, all’aumento di ransomware e incidenti di compromissione della posta elettronica aziendale (c.d. spoofing), fino alle ripercussioni legali, come l’aumento di contenziosi in tema di data privacy. Tra le cause di questi eventi, non vi sono soltanto attacchi haker o la diffusione di malware. In più della metà dei casi la responsabilità è attribuibile ad agenti involontari, come dipendenti che ricevono e-mail di phishing o sono veicoli di virus informatici tramite il proprio pc o smartphone o, ancora, che perdono i propri dispositivi o ne subiscono il furto.
I rischi informatici, in particolare la violazione dei dati, sono tra i più costosi per le aziende. Il Cost of a Data Breach Report 2019 di IBM Security e Ponemon calcola che, a livello mondiale, un singolo evento di furto di dati coinvolga in media 25,575 records e comporti un costo medio di 3,92 milioni di dollari. Un mega breach, cioè un furto di oltre un milione di record, può arrivare a costare anche 42 milioni di dollari. Se si guarda al ranking mondiale dei costi per incidenti cyber, gli Stati Uniti sono al primo posto con un costo medio di 8,19 milioni di dollari. L’Italia, invece, si situa all’ottavo posto, con un costo medio per violazione aumentato da 2,75 milioni di dollari nel 2018 a 3,52 milioni di dollari nel 2019. Per quanto riguarda i settori, il più esposto quello sanitario, dove una violazione costa in media 6,45 milioni di dollari.
A influire sul costo sono diversi fattori. Tra i principali, le aziende devono sopportare il danno reputazionale e le sanzioni normative che, dopo l’entrata in vigore della normativa europea sulla protezione dei dati (GDPR), possono consistere in multe che vanno dal 4% del fatturato fino ai 20 milioni di euro. Individuare e contenere un evento di data breach comporta un costo notevole anche in termini di tempo: si stima che all’azienda siano necessari in media 279 giorni per ristabilirsi (nel 2018 erano 266). La survey dell’Allianz Risk Barometer ha interrogato gli esperti del rischio anche sulle migliori modalità per la gestione della minaccia informatica e lo sviluppo di una maggior resilienza da parte delle aziende. Il 55% degli intervistati ha indicato la necessità di approcciarsi al cyber risk come ad un rischio chiave, inserendolo all’interno del piano generale di gestione dei rischi; il 52% ritiene fondamentale un investimento in test continui di verifica e controllo della sicurezza dei sistemi; il 45% indica come necessari anche training e corsi di aggiornamento per i dipendenti.
La Business Interruption
Gli incidenti informatici, soprattutto quelli che riguardano le supply chain digitali, possono a loro volta incidere sulla capacità di un’organizzazione di continuare a erogare prodotti o servizi. Sono infatti indicati tra le principali cause di business interruption (BI), rischio al secondo posto a livello globale nella classifica del Risk Barometer. Tra le altre cause frequenti di business interruption, gli intervistati nella survey di AGCS indicano gli incendi (30%), i temporali (21%), gli allagamenti (12%), i guasti dei macchinari (5%) e le inondazioni (4%). Anche il cambiamento climatico, considerato dal punto di vista dell’intensificarsi dei fenomeni atmosferici e dell’aumento della frequenza di eventi catastrofali, può essere dunque annoverato tra le cause di business interruption.
Gli impatti finanziari di una business interruption stanno diventando sempre più ampi, anche per via del sempre maggior grado di interdipendenza tra aziende: la stretta correlazione e integrazione delle supply chain fa sì che gli effetti siano molto maggiori quanto non avveniva 10 o 20 anni fa, con ripercussioni di eventi locali sui mercati di tutto il mondo. Il costo medio a livello globale dell’interruzione della produzione o del servizio per un’impresa è di 4,5 milioni di dollari (circa 4 milioni di euro). Tale costo, però, può variare di molto a seconda della causa, arrivando a 6,7 milioni di dollari (poco meno di 6 milioni di euro) nel caso di BI causata da incendi o esplosioni.
Anche disordini civili, scioperi, attacchi militari e terroristici possono avere grandi impatti sulla business continuity delle imprese, sia multinazionali, sia locali, sempre più esposte anche a danni alle proprietà, e, in generale, a perdita di reddito. Questi eventi incidono su disparati settori di business, dai supermercati, alle strutture turistiche: in Cile, ad esempio, durante le manifestazioni anti-governative molti supermercati sono stati saccheggiati e distrutti, mentre ad Hong Kong le recenti proteste della popolazione contro la legge sull’estradizione hanno non solo causato un calo di visitatori per motivi turistici del 40%, ma hanno anche comportato l’impossibilità di diversi lavoratori di recarsi sul posto di lavoro.
Cambiamenti nella legislazione
Il 2019 è stato un altro annus horribilis per le relazioni economiche internazionali. La saga infinita di Brexit e la guerra commerciale tra gli Stati uniti e la Cina, le 1300 nuove barriere commerciali in forma di dazi o sanzioni, hanno fatto crescere il livello di guardia delle imprese verso i cambiamenti della legislazione e della regolamentazione. Questi rischi, infatti, sono al terzo posto della classifica dell’Allianz Risk Barometer, guadagnando una posizione rispetto all’anno precedente. Anche il 2020 si preannuncia essere un anno di sfide, in particolare sul lato della sostenibilità: le aziende saranno infatti chiamate a conformarsi alla normativa europea, sviluppando politiche e strategie ESG e, soprattutto, diminuendo o eliminando l’utilizzo del carbone e dei suoi derivati nel processo produttivo.
I cambiamenti climatici
Sebbene abbiano guadagnato alcune posizioni nella classifica dei rischi percepiti, piazzandosi al settimo posto, e siano considerati come cause o concause di altri rischi (business interruption, cyber risk) i cambiamenti climatici come fattore di rischio sono forse ancora largamente sottovalutati.
Le aziende devono infatti considerare un’intera gamma di rischi associati ai cambiamenti climatici: oltre a comportare una più alta probabilità di danni alla proprietà causati da eventi atmosferici intensi o catastrofi naturali, infatti, hanno una serie di impatti sul versante reputazionale, normativo e operativo, come la necessità di delocalizzazione delle strutture.
A questi, si aggiunge un rischio di trasformazione del modello di business per diminuire gli impatti della produzione sul clima, conformandosi alle indicazioni dell’Accordo di Parigi delle Nazioni Unite, che ha posto l’obiettivo di mantenere il riscaldamento globale al di sotto della soglia dei +2°C rispetto ai livelli preindustriali. Per far questo, le imprese sono chiamate “decarbonizzare” i propri modelli di business, ossia a trasformarli per ridurre o eliminare l’utilizzo del carbone e dei suoi derivati nella produzione. Complessivamente, si stima che rispondere alle sfide poste dai cambiamenti climatici potrebbe costare alle aziende di tutto il mondo ben 2,5 migliaia di miliardi di dollari nei prossimi 10 anni. Il settore che avrà il costo più alto per la transizione “green” è quello energetico, ma l’impatto sarà notevole su svariate industry, tra cui l’automotive, il chimico e l’industria agricola.
Il motivo per cui il cambiamento climatico come fattore di rischio è spesso sottovalutato è che si continua a guardare ad esso come un problema futuro, che dispiegherà i suoi effetti alla fine di questo secolo. È sempre più chiaro che la situazione è ben diversa, che la crisi climatica è attuale e presenta già il suo conto, non solo in termini di risorse economiche: il recente Climate Transparency Report, che prende in considerazione i Paesi del G20, stima che gli eventi metereologici estremi mietano 16.000 vittime e abbiano un impatto economico di 142 miliardi di dollari l’anno.