Le assicurazioni sui rischi digitali - le cosiddette "cyber insurance" - sono state per molte aziende uno strumento utile da integrare nella propria strategia di sicurezza IT e di gestione del rischio. Molte compagnie assicurative hanno volentieri sviluppato prodotti e protezioni mirate in questo campo, che è diventato man mano abbastanza dinamico. Ma ora il nuovo scenario geopolitico introdotto dal conflitto russo-ucraino ha cambiato le carte in tavola.

Il segnale che viene dal mercato assicurativo adesso è chiaro: i rischi collegati alla cyber warfare sono troppo elevati per rientrare in una copertura standard. Le cyber insurance sono state pensate per uno scenario tradizionale in cui il rischio digitale derivava in larga prevalenza da attacchi con motivazioni economiche. Se un hacker ostile lancia un attacco ransomware contro una determinata azienda, una polizza cyber può coprire il rischio che l'attacco abbia successo, con le sue conseguenze economiche.

In uno scenario in cui, invece, le aziende possono essere coinvolte in attacchi cyber che non hanno motivazioni economiche ma che fanno parte di una vera e propria guerra digitale tra nazioni, il rischio per le compagnie assicurative diventa troppo elevato. Una valutazione che d'altronde è già stata fatta per i conflitti nel mondo fisico: le polizze standard non coprono danni derivanti da conflitti militari o atti di terrorismo.

Il segnale viene dalla compagnia assicurativa per antonomasia: Lloyd's. Che da fine marzo 2023 attiverà nelle sue polizze cyber alcune clausole di esclusione legate in modo specifico agli impatti delle azioni di cyber warfare. Questo perché, si spiega in un documento, oggi "la capacità che attori ostili hanno di disseminare un attacco", unita alla "dipendenza critica che le società hanno dalle loro infrastrutture IT", fa sì che i danni potenziali legati ad attacchi di cyber warfare "superino notevolmente quanto il mercato assicurativo è in grado di assorbire".

Secondo i Lloyd's le nuove clausole sono necessarie perché, anche quando gli attacchi di cyber warfare non avvengono nell'ambito di un conflitto bellico tradizionale, ossia che avviene anche nel mondo fisico, "i danni che questi attacchi possono causare... creano un rischio sistemico simile per gli assicuratori". Che quindi devono evitare di assumersi responsabilità legate alla copertura di "danni che derivino da quasiasi attacco cyber supportato da uno Stato". Indipendentemente dal fatto che una guerra sia stata formalmente dichiarata o meno.

Un nuovo trend?

È presumibile che la strada intrapresa da Lloyd's sia man mano seguita anche dalle altre principali compagnie assicurative. Complicando ulteriormente la vita delle imprese che hanno puntato sulle cyber insurance come ultima rete di sicurezza per i rischi del digitale. Anche se, a dire il vero, è già da qualche tempo che l'aumento del rischio cyber - guerre digitali a parte - ha spinto le società di assicurazione a diventare più selettive nella scelta delle aziende e degli specifici rischi che sono disposte a coprire.

Va però detto che la decisione dei Lloyd's non risolve, almeno per come è stata formulata al momento, una questione chiave: va bene volersi escludere dalle conseguenze dei (testualmente) "state backed cyber-attack", ma come si fa a definire in maniera indiscutibile che un determinato attacco è stato supportato da un determinato Stato ostile?

È il solito problema dell'attribuzione degli attacchi che gli esperti di cyber warfare già conoscono bene. Un problema che non è stato mai risolto, dato che è praticamente impossibile attribuire un'azione digitale ostile a un Governo. Anche se il buon senso e la digital forensic fanno capire che dietro a un attacco c'è un certo gruppo di hacker ostili e si sa che questo gruppo è collegato a un determinato Governo, queste valutazioni - anche se vere - non hanno un valore legale.

Lo scenario quindi non si semplifica, né per le compagnie di assicurazione né per i loro clienti. Anche se nelle polizze viene specificato chiaramente cosa è coperto e cosa no, nella realtà dei fatti resta ancora ampio spazio per contenziosi. Un segno tra l'altro che il mercato delle cyber insurance ha ancora ampi margini di miglioramento. E sopratutto di standardizzazione.