L’amministratore delegato di una delle più grandi compagnie assicurative europee ha avvertito che gli attacchi informatici, piuttosto che le catastrofi naturali, diventeranno “non assicurabili” man mano che l’interruzione degli attacchi informatici continua a crescere.

I dirigenti assicurativi sono stati sempre più espliciti negli ultimi anni sui rischi sistemici, come pandemie e cambiamenti climatici, che mettono alla prova la capacità del settore di fornire copertura. Per il secondo anno consecutivo, si prevede che i sinistri legati a catastrofi naturali supereranno i 100 miliardi di dollari.

Ma Mario Greco, amministratore delegato dell’assicuratore Zurich, ha dichiarato al MagicTech che il cyber è il rischio da tenere d’occhio.

“Ciò che diventerà non assicurabile sarà il cyber”, ha detto. “E se qualcuno prende il controllo di parti vitali della nostra infrastruttura, le conseguenze di ciò?”

I recenti attacchi che hanno interrotto gli ospedali, chiuso gli oleodotti e preso di mira i dipartimenti governativi hanno tutti alimentato la preoccupazione per questo rischio in espansione tra i dirigenti del settore.

Concentrandosi sul rischio per la privacy degli individui mancava il quadro più ampio, ha aggiunto Greco: “Prima di tutto, deve esserci la percezione che non si tratti solo di dati. . . si tratta di civiltà. Queste persone possono sconvolgere gravemente le nostre vite”.

La spirale delle perdite informatiche negli ultimi anni ha richiesto misure di emergenza da parte dei sottoscrittori del settore per limitare la loro esposizione. Oltre ad aumentare i prezzi, alcuni assicuratori hanno risposto modificando le polizze in modo che i clienti trattenessero più perdite.

Esistono esenzioni scritte nelle politiche per determinati tipi di attacchi. Nel 2019, Zurich ha inizialmente negato una richiesta di 100 milioni di dollari da parte dell’azienda alimentare Mondelez, derivante dall’attacco NotPetya, sulla base del fatto che la polizza escludeva una “azione bellica”. Successivamente le due parti si stabilirono.

A settembre, i Lloyd’s di Londra hanno difeso una mossa per limitare il rischio sistemico da attacchi informatici chiedendo che le polizze assicurative stipulate sul mercato avessero un’esenzione per gli attacchi sostenuti dallo stato.

All’epoca, un alto dirigente dei Lloyd’s disse che la mossa era “responsabile” e preferibile ad aspettare fino a “dopo che tutto è andato storto”. Ma la difficoltà di identificare i responsabili degli attacchi e le loro affiliazioni rende tali esenzioni legalmente gravose e gli esperti informatici hanno avvertito che l’aumento dei prezzi e le maggiori eccezioni potrebbero scoraggiare le persone che acquistano qualsiasi protezione.

Greco ha affermato che esiste un limite a quanto il settore privato può assorbire, in termini di sottoscrizione di tutte le perdite derivanti dagli attacchi informatici. Ha invitato i governi a “istituire schemi pubblico-privato per gestire i rischi informatici sistemici che non possono essere quantificati, simili a quelli che esistono in alcune giurisdizioni per i terremoti o gli attacchi terroristici”.

A settembre, il governo degli Stati Uniti ha chiesto opinioni sull’opportunità di una risposta assicurativa federale al cyber, che potrebbe far parte o al di fuori del suo attuale programma assicurativo pubblico-privato per atti di terrorismo.

Un rapporto del Government Accountability Office degli Stati Uniti a giugno ha evidenziato il potenziale di “ripercussione” degli incidenti informatici su altre aziende collegate. Ha affermato che esempi come l’hack del Colonial Pipeline, che ha creato una temporanea carenza di benzina nel sud-est degli Stati Uniti, hanno dimostrato “la possibilità che un singolo incidente informatico possa propagarsi in un’infrastruttura critica con conseguenze catastrofiche”.

Greco ha anche elogiato i passi del governo degli Stati Uniti per scoraggiare i pagamenti del riscatto. “Se freni il pagamento dei riscatti, ci saranno meno attacchi”.