Uno studio pubblicato di recente sull’impatto economico sostenuto dalle PMI per gli incidenti informatici in Italia rivela un importo di poco inferiore ai 100.000 Euro e di poco inferiore al milione di Euro per le grandi aziende. Un valore statistico in crescita anche alla luce del nuovo provvedimento del Garante, che, anticipando il nuovo Regolamento europeo, impone agli operatori economici e alla PA di comunicare tempestivamente le violazioni o gli incidenti informatici subiti. Costi a cui si aggiungeranno le nuove pesanti sanzioni introdotte dal GDPR.

Tenendo conto che grazie all’avvento del cloud, molte PMI ad oggi non sanno di quanti e quali dati dispongano esattamente e dove essi risiedano fisicamente, è importante essere consci del fatto che ai sensi del nuovo GDPR concorre ad una potenziale inadempienza anche l’eventuale vulnerabilità dell’infrastruttura di aziende a cui si sono commissionati servizi che richiedono la condivisione di dati riservati (come nel caso di sistemi di gestione della clientela ospitati nel cloud o dei dati forniti agli operatori privati del mercato postale nazionale dai rispettivi committenti).

In caso di incidente, le conseguenze ricadono in primis quasi interamente sul titolare del trattamento, ossia l’azienda, spesso impreparata ad affrontare tali danni. Le imprese non dovrebbero quindi preoccuparsi solo dei rischi legati alla propria sicurezza, ma anche dell’intrinseca debolezza dei processi legati al trattamento e all’elaborazione dei dati rispetto alle esigenze normative. L’accresciuto rischio di una potenziale inadempienza complica la situazione ed espone a conseguenze economiche difficilmente prevedibili.

Qui entra in gioco la Cyber Insurance, ma un’assicurazione da sola non può sostituirsi ad una gestione o “Governance” dei dati che preveda adeguate politiche di protezione e sia integrata nel più generale processo di gestione del rischio d'impresa. G DATA individua nel principio della Data Protection by design e della Accountability i due elementi chiave del nuovo Regolamento europeo. 

La progressiva digitalizzazione dell’attività aziendale contribuisce ad aumentare l’esposizione dei dati ai rischi informatici e le aziende a danni inaspettati. Solo una polizza cyber ben strutturata e direttamente collegata ad una soluzione di sicurezza di nuova generazione, in grado di prevenire attivamente le minacce informatiche mettendo in sicurezza il dato e l’infrastruttura preposta alla sua elaborazione, può rivelarsi l’arma vincente per le aziende che, nella fase di transizione e a posteriori dell’entrata in vigore del GDPR, desiderano ridurre attivamente il rischio informatico e avvalersi nel contempo di strumenti per il trasferimento del rischio residuo proteggendosi contro imprevisti finanziari.

Per questo motivo, G DATA ha sviluppato con Reale Mutua e il noto broker padovano Margas una soluzione Insurtech che integra tecnologie di sicurezza (Data Protection by design) con una polizza assicurativa per la Responsabilità Civile (Accountability). Denominata Privacy & Cyber Risk, la nuova RC è dedicata alle PMI, che avranno così modo di prepararsi efficacemente al GDPR e di intraprendere più serenamente il percorso virtuoso che li porterà alla piena compliance normativa.

Il GDPR chiama ogni organizzazione a mettere in atto tutte le azioni necessarie per prevenire l'accesso non autorizzato alle proprie risorse per evitare ingenti danni finanziari. La vera sfida posta dal GDPR alle aziende è guardare a se stesse in maniera olistica, con un approccio che incorpori le persone, i processi e le informazioni. L'errore classico delle PMI è di considerare la sicurezza come un semplice problema tecnologico, quindi di non rendersi conto che l’attuale contesto di relativa insicurezza ha e avrà un impatto sempre crescente sulle casse aziendali. “Ma questa non è solo la nostra opinione”, commenta Giulio Vada, Country Manager di G DATA Italia.

Secondo Gartner Gartner (vedi "Predicts 2018: Security and Risk Management Programs) entro il 2022 l’importanza del rating sulla sicurezza IT di un’azienda assumerà lo stesso livello di un rating finanziario ai fini della valutazione dei rischi di una nuova relazione commerciale e non solo sarà condizione sine qua non per la chiusura di un numero crescente di accordi ma anche parte della documentazione standard obbligatoria per operatori e fornitori di servizi. I punteggi ottenuti in termini di cybersecurity avranno un impatto sul grado di coinvolgimento delle altre aziende in business ad alto valore con l’organizzazione oltre che sulla fruibilità di una cyber insurance.