I Lloyd’s di Londra hanno difeso un requisito incombente secondo cui le polizze informatiche scritte nel mercato assicurativo hanno un’esenzione per gli attacchi sostenuti dallo stato, a seguito di una reazione negativa tra broker e accademici.
La mossa per limitare il rischio sistemico nel mercato assicurativo, annunciata il mese scorso e applicabile alle polizze informatiche standalone dalla fine di marzo, ha suscitato avvertimenti che avrebbe portato a controversie legali sul fatto che alcuni attacchi avessero il sostegno statale, limitando ulteriormente la copertura vitale per le aziende.
Ma Patrick Tiernan, capo dei mercati dei Lloyd’s, ha affermato che l’istituto ha agito in modo responsabile per sviluppare un prodotto “che è agli inizi e ha ancora una penetrazione internazionale relativamente bassa”.
“Molto spesso in passato, questo tipo di correzioni o evoluzioni al linguaggio delle politiche avviene dopo l’evento. . . dopo che tutto è andato storto”, ha detto Tiernan al MagicTech. “Penso che sia Lloyd’s ad essere responsabili verso i nostri clienti e ad agire con il mercato”.
L’altra opzione, ha detto, sarebbe quella di aumentare i requisiti patrimoniali degli assicuratori, il che aggiungerebbe carburante ai prezzi.
Le esclusioni per atti di guerra sono tipiche della copertura assicurativa. Nella circolare del mese scorso, i Lloyd’s hanno affermato: “La capacità degli attori ostili di diffondere facilmente un attacco, la capacità di diffondere codice dannoso e la dipendenza critica che le società hanno dalla propria infrastruttura IT . . . significa che le perdite hanno il potenziale per superare di gran lunga ciò che il mercato assicurativo è in grado di assorbire”.
Tuttavia, Cindy Jordano, partner dello studio legale Cohen Ziffer Frenchman & McKenna, ha affermato che la mossa potrebbe creare “ambiguità sulla copertura o meno di determinati attacchi informatici che altrimenti sarebbero coperti”, data la difficoltà di dire se un attacco è stato sostenuto. Potrebbero esserci “contenziosi significativi su queste esclusioni”, ha previsto.
La formulazione delle esclusioni di guerra per il cyber varia e interpretarle è difficile date le sfide legate all’identificazione dei legami statali degli aggressori. Alla fine dell’anno scorso, il gruppo farmaceutico Merck è riuscito in un tribunale statunitense secondo cui un’esclusione dalla guerra non dovrebbe essere applicata alle perdite subite nell’attacco del malware NotPetya.
I sottoscrittori hanno difeso la nuova guida come tentativo di portare chiarezza su quello che, in termini assicurativi, è ancora un mercato relativamente giovane: la prima cyber polizza scritta dai Lloyd’s è stata nel 1999.
Il nuovo requisito “non limita affatto la copertura da dove ci troviamo ora”, ha affermato Graeme Newman, amministratore delegato dell’assicuratore informatico CFC. “Dopo Covid, non abbiamo tutti imparato una lezione che avere chiarezza nella nostra lingua è meglio sia per l’assicuratore che per l’assicurato?” ha aggiunto, riferendosi alle aspre controversie tra il settore e le imprese sull’opportunità di coprire le perdite legate alla pandemia.
I Lloyd’s hanno affermato che quattro formule di esempio fornite dall’ente commerciale Lloyd’s Market Association a novembre, intese a fare chiarezza, soddisferebbero i suoi requisiti, sebbene gli assicuratori non siano obbligati a utilizzare le diciture.
Gli esempi variano nell’entità degli attacchi specificamente esclusi dalla copertura, ma hanno al centro una considerazione sul fatto che “il governo dello stato . . . in cui si trova fisicamente il sistema informatico interessato dall’operazione informatica attribuisce l’operazione informatica ad un altro Stato oa coloro che agiscono per suo conto”.
Josephine Wolff, professoressa di Tufts e autrice di un libro sull’assicurazione informatica, ha avvertito in un editoriale di FT la scorsa settimana che gli attacchi sponsorizzati dallo stato stanno diventando così frequenti che un rifiuto di coprirli potrebbe dissuadere le aziende dall’acquistare una polizza del tutto.
Martin Lilley, direttore dell’assicurazione aziendale presso Broadway Insurance Brokers con sede a Manchester, specializzata nella ricerca di copertura per le piccole imprese, ha affermato che il requisito dell’esenzione “sembra sicuramente un altro duro colpo” e “riflette la continua restrizione della copertura disponibile nel mercato delle assicurazioni informatiche ”.
I prezzi delle assicurazioni informatiche sono aumentati negli ultimi anni poiché gli assicuratori trasferiscono il costo delle richieste di risarcimento per ransomware. Lilley ha citato un cliente il cui premio annuale era salito a £ 75.000 quest’anno da £ 10.000 in precedenza. Alcune aziende stavano valutando la possibilità di snobbare del tutto la copertura e di mantenere il rischio di bilancio, ha aggiunto.