Gli hacker introducono codici dannosi nei software di pagamento globali che si diffondono rapidamente a decine di migliaia di reti partner nelle banche e in tutto il settore finanziario. Ciò apre una backdoor che consente agli aggressori di sottrarre i fondi dei clienti, interrompendo la compensazione e persino i prestiti interbancari. Ci vogliono mesi per riparare tutte le violazioni e questo fa vacillare la fiducia nel sistema, facendo aumentare i costi aziendali mentre le normative si irrigidiscono.
Un simile attacco potrebbe causare 3,5 trilioni di dollari di danni economici globali, secondo il modello del Cambridge Centre for Risk Studies per il mercato assicurativo dei Lloyd’s di Londra, pubblicato in ottobre. Si tratta di “un rischio troppo grande perché un settore possa affrontarlo da solo”, sosteneva all’epoca il presidente del mercato, Bruce Carnegie-Brown.
Questa visione rifletteva un consenso nel settore assicurativo su una delle principali minacce odierne: un attacco informatico sistemico sarebbe un rischio troppo grande e troppo diffuso per essere assicurato. In altre parole, è necessario aiuto per gestirlo.
Alcuni nel settore vedono gli scenari peggiori come apocalittici, visti i sistemi di protezione di ciascuna rete. Joshua Motta, amministratore delegato della Coalition, compagnia di assicurazioni informatiche con sede a San Francisco, ed ex analista della CIA, ha affermato che lo scenario dei Lloyd’s “non considera pienamente la complessità delle operazioni e dello sfruttamento delle reti informatiche, né le solide misure di salvaguardia e i meccanismi di recupero inerenti ai moderni sistemi finanziari”. sistemi per prevenire ricadute economiche su larga scala”.
Ma il settore assicurativo sta sicuramente dando il massimo quando si tratta di rischi informatici. Gli assicuratori hanno introdotto esclusioni più severe sulle polizze informatiche standard per i principali attacchi informatici sostenuti dallo stato, il che significa che tali eventi non saranno generalmente coperti, innervosendo alcuni grandi clienti commerciali. Nel frattempo, gli assicuratori immobiliari hanno cercato di escludere esplicitamente la copertura informatica dalle loro polizze che coprono le imprese.
La maggior parte concorda sul fatto che un settore assicurativo che ha incassato circa 12 miliardi di dollari di premi lo scorso anno, secondo i dati di S&P Global Ratings, non è affatto abbastanza grande da coprire un attacco informatico sistemico. Da qui le discussioni nel Regno Unito, negli Stati Uniti e altrove sulla possibilità che i governi intervengano per fornire un sostegno a un mercato nervoso.
Trent’anni fa, il settore assicurativo del Regno Unito stava lottando per assorbire un altro rischio importante, che minacciava la vita, l’incolumità fisica e gli affari. La campagna di bombardamenti dell’IRA, combinata con un generale ritiro dei riassicuratori dopo le perdite degli uragani negli Stati Uniti, aveva creato un fallimento del mercato nell’assicurazione contro il terrorismo poiché gli assicuratori si erano trattenuti dall’offrire copertura.
In risposta, l’industria e il governo si sono uniti per creare Pool Re, un sistema di riassicurazione contro il terrorismo sostenuto da una garanzia statale. Una volta adottato questo sistema, gli assicuratori sono tornati sul mercato delle assicurazioni contro il terrorismo e il sistema ha pagato oltre 1,25 miliardi di sterline in sinistri, adeguati all’inflazione, nel corso della sua vita, senza dover ricorrere alla sua garanzia.
La settimana scorsa, Pool Re ha celebrato i suoi primi 30 anni con figure di spicco del settore nel bunker rinforzato delle Churchill War Rooms. Il dibattito attuale è se gli operatori storici del Tesoro, appena sopra il livello del suolo nello stesso sito, debbano dare a Pool Re un nuovo lavoro per il suo quarto decennio, ampliando la sua portata per condividere le perdite degli assicuratori in caso di un attacco informatico sistemico.
Il problema per i dirigenti e gli esperti di rischio su entrambe le sponde dell’Atlantico che sostengono un sostegno statale sul cyber è, in parte, rappresentato dagli altri sostegni che hanno sostenuto negli ultimi anni: sulla riassicurazione contro le pandemie e sulla riassicurazione contro le catastrofi immobiliari. C’è da discutere se sia giusto inserire nuovi grandi rischi contingenti nei bilanci pubblici e, in caso affermativo, quali.
Il vicedirettore generale di Axa, Frédéric de Courtois, ritiene che un partenariato pubblico-privato nel settore informatico sia un “must-have”, poiché in genere solo le aziende più grandi, che hanno investito anche nella prevenzione, possono essere considerate adeguatamente assicurate. .
“Siamo convinti che potremmo avere una grande pretesa di rischio sistemico a livello mondiale sul cyber”, ha affermato de Courtois. Ha suggerito che un simile attacco non è ancora avvenuto “forse impedisce” ai politici di creare una struttura pubblico-privata. “Il problema è, come crediamo, come assicuratori [a systemic attack] potrebbe accadere, quindi abbiamo paura di assicurare”.
Alla cena del Pool Re, i leader di oggi hanno ricordato il fallimento del mercato che era la condizione necessaria per la sua nascita. Per un mercato informatico che ha riacquistato una certa stabilità dopo lo shock del ransomware, persiste la preoccupazione che le menti si concentreranno sul rischio informatico sistemico solo dopo l’accaduto.