Gli assicuratori hanno discusso con il governo del Regno Unito sull’opportunità che il suo schema di riassicurazione contro il terrorismo debba coprire gli attacchi informatici sostenuti dallo stato, tra la crescente preoccupazione per i buchi nella rete di sicurezza fornita dal settore privato.

Gli alti dirigenti del settore hanno avuto i primi colloqui con i funzionari del Tesoro sulla possibilità che Pool Re, creato per condividere i rischi del terrorismo, potesse essere ampliato per coprire gli attacchi informatici sponsorizzati dallo stato o legati alla guerra, secondo persone che hanno familiarità con la questione. Questi eventi non sono coperti dalle normali polizze assicurative.

Il Tesoro, che solo l’anno scorso ha completato una revisione strategica del Pool Re, non ha ancora preso posizione sulla questione, hanno detto le persone.

Pool Re è stato istituito nel 1993 dopo che i sottoscrittori, spaventati dalle campagne di bombardamento dell’IRA nel Regno Unito, si sono ritirati dall’assicurare atti di terrore. Condivide il rischio con gli assicuratori primari e, sebbene sia di proprietà del settore assicurativo, può richiedere finanziamenti dal governo in circostanze estreme. Finora ha pagato più di 600 milioni di sterline in richieste di risarcimento per eventi dichiarati dal governo essere opera di terroristi e ha costituito un fondo di investimento di quasi 7 miliardi di sterline. Non ha mai fatto appello alla garanzia del governo.

Pool Re ha rifiutato di commentare. Il Tesoro ha affermato di essere concentrato sulla consegna dei risultati della revisione dello scorso anno, che raccomandava di trasferire il rischio dal bilancio pubblico al mercato.

“La revisione stabilisce la direzione strategica per l’organizzazione nei prossimi cinque anni, per garantire che lo schema operi nel migliore interesse dei suoi membri, del governo, dei contribuenti e dell’economia in generale”, ha affermato il Tesoro.

L’ondata di attacchi informatici che porta crescenti interruzioni alle aziende e alle infrastrutture ha sollevato timori tra i capi del settore che la minaccia diventi “non assicurabile”.

I Lloyd’s di Londra hanno annunciato l’anno scorso che avrebbero richiesto alle politiche scritte sul mercato un’esenzione per gli attacchi sostenuti dallo stato. Ha avvertito che tali perdite “hanno il potenziale per superare di gran lunga ciò che il mercato assicurativo è in grado di assorbire”.

Ma definire quali attacchi sono collegati ad attori statali è difficile, il che porta a battaglie legali su ciò che dovrebbe essere coperto. Nel 2021, il gruppo farmaceutico Merck è riuscito in un tribunale degli Stati Uniti a dichiarare che un’esclusione per reclami relativi alla guerra non dovrebbe essere applicata alle sue perdite nell’attacco malware NotPetya del 2017, per il quale il Regno Unito ha incolpato la Russia. Il gruppo alimentare Mondelez ha recentemente risolto con il suo assicuratore Zurich una disputa sul fatto che l’attacco a NotPetya fosse un’azione “guerriera” e quindi esclusa dalla sua politica.

Bruce Hepburn, amministratore delegato di Mactavish, che fornisce consulenza agli acquirenti di assicurazioni commerciali, ha affermato che l’estensione di Pool Re per coprire il cyber sostenuto dallo stato sarebbe una “ricetta per enormi discussioni”.

Pool Re attualmente riassicura i danni fisici causati da attacchi terroristici che hanno un trigger informatico, ma non se sono sostenuti dallo stato. E non sottoscrive alcuna perdita finanziaria o sequestro di dati da attacchi informatici che sono l’obiettivo principale delle polizze assicurative.

Hepburn ha aggiunto: “Il governo è perfettamente in grado di determinare se un evento sia stato un evento terroristico, ci sono meccanismi per farlo. Come diavolo fai a decidere che si tratta di un attacco informatico sponsorizzato dallo stato?”

I responsabili politici di tutto il mondo sono alle prese con la minaccia degli attacchi informatici e con la capacità del settore assicurativo di assorbire i costi. L’anno scorso il governo degli Stati Uniti ha chiesto opinioni sull’opportunità di una risposta federale al cyber e se il suo programma di assicurazione contro il terrorismo pubblico-privato dovesse avere un ruolo.

In una dichiarazione, i Lloyd’s hanno accolto con favore le discussioni, affermando che gli attacchi informatici sostenuti dallo stato erano di tale portata che “le industrie assicurative e tecnologiche dovranno collaborare con i governi per affrontare questi rischi”.