Assicurazioni - Rivista di diritto, economia e finanza delle assicurazioni privateISSN 0004-511X
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


Privacy, rischio informatico e assicurazioni (di Sara Landini, Associato di Diritto privato – Università degli Studi di Firenze.)


Cresce la consapevolezza del rischio cibernetico e con essa la ricerca di strumenti per farvi fronte. Gli assicuratori da parte loro sembrano aver individuato un settore di business, ma anche aver preso atto di alcune criticità che rendono difficile l’applicazione dei modelli tradizionali di gestione del rischio al c.d. cyber risk. Sia dal lato degli assicurati sia dal lato degli assicuratori la tecnologia potrà risultare un elemento perturbatore o una ragione di sviluppo. Tutto dipenderà dalle capacità di resilienza del mercato, degli operatori e dei privati.

SOMMARIO:

1. Cyberspace: rischio o opportunitą per il mercato assicurativo - 2. I rischi dello spazio cibernetico - 3. Oggetto delle coperture - 4. Questionari e riskassessment - 5. Obblighi e oneri per l'assicurato - 6. L'adeguatezza dei prodotti dipende da una buona intermediazione - NOTE


1. Cyberspace: rischio o opportunitą per il mercato assicurativo

Cresce la consapevolezza del rischio cibernetico e con essa la ricerca di strumenti per farvi fronte. Gli assicuratori da parte loro sembrano aver individuato un settore di business, ma ancheaver preso atto di alcune criticità che rendono difficile l’applicazione dei modelli tradizionali di gestione del rischio al c.d. cyber risk. Sia dal lato degli assicurati sia dal lato degli assicuratori la tecnologia potrà risultare un elemento perturbatore o una ragione di sviluppo. Tutto dipenderà dalle capacità di resilienza del mercato, degli operatori e dei privati. Il rischio informatico è ben presente nell’agenda internazionale. L’acces­sibilità, affidabilità e sicurezza del cyberspazio sono stati considerati dal vertice dei leaders del G7 del 2016 come “Base essenziale per l’eco­nomia, la crescita e la prosperità”. Da un’indagine compiuta dalla Banca d’Italia sul settore privato delle imprese con più di 20 impiegati nel settore dell’industria e dei servizi non finanziari emerge che, per quanto solo l’1,5 per cento delle imprese non adotti alcuna misura difensiva, il 30,3 per cento – corrispondente al 35,6 per cento degli addetti – dichiara di aver subìto danni a causa di un attacco informatico tra settembre 2015 e settembre 2016.   Il rischio cibernetico porta anche a nuove sfide e opportunità per le imprese di assicurazione. Da un lato la capacità di profilazione degli assicurati arriva ad invertire la asimmetria informativa che ordinariamenteconnota il contratto di assicurazione: l’assicurato conosce il rischio ed è tenuto ex art. 1892 ad informare l’assicuratore pena la invalidità del contratto in caso di dolo e colpa grave dell’assicurato. Attraverso la profilazione del cliente mediante correlazioni operabili grazie ai big data è possibile avere informazioni, di secondo livello, sullo stato del rischio oggetto della copertura individuale, che l’assicurato neppure conosce [1]. Sul punto si apre una competizione tra compagnie e intermediari sulla titolarità del trattamento nel caso in cui i dati acquisiti dai clienti per la profilazione siano rilevanti sia nell’interesse dell’assicuratore ai fini della produzione/distribuzione sia nell’interesse [continua ..]


2. I rischi dello spazio cibernetico

Le imprese di assicurazione e gli intermediari assicurativi,nella gestione dei dati degli assicurati, saranno uno dei soggetti su cui possono gravare responsabilità civili o amministrative ai sensi di GDPR. Una delle grosse opportunità per gli assicuratori, però, è rappresentata dalla possibilità di immettere nel mercato prodotti funzionali alla copertura del rischio cibernetico. I contratti di assicurazione possono rappresentare una risposta, non solo in termini di copertura assicurativa ma anche in termini di strumenti di gestione del rischio e di implementazione dei sistemi di prevenzione. Il rischio cibernetico [10], per le caratteristiche a-spaziali e a-temporali entro cui si sviluppa, difficilmente potrà trovare soluzioni nel momento in cui si sia realizzato nella produzione di un danno in concreto che potrà attivare peraltro una catena interminabile di perdite ed eventi pregiudizievoli. La compensazione del danno non è la risposta. Il rischio cibernetico trova soluzione in misure di prevenzione e di contenimento degli effetti dannosi. Iniziamo col dire che la mappatura dei rischi e la individuazione delle co­perture assicurative dipende dalla qualificazione del soggetto assicurato anche in questo settore. Nel caso di privati cittadini i rischi sono in genere: lesione della reputazioneon-line; furto d’identità digitale in particolare legato al credito; acquistion-line/e-commerce; cyber crimein particolare il furto di denaro e di valori tramite frodi informatiche. Con riferimento alle imprese i rischi sono: 1.Privacy Liability: derivante da violazione di dati personali o di informazioni riservate di terzi; generale violazione involontaria delle norme sulla Privacy. 2.Network Security Liability in particolare intesa come violazione della rete aziendale. 3.Media Liability in cui possiamo includere la diffamazione, oltraggio, plagio e violazione di Copyright nell’ambito della protezione di servizi multimediali. 4.Interruzione dell’attività. 5.Data AssetLoss. 6.Cyber Extortion. 7.Cyber crime. Si pensi a furti di denaro, valori, merci, e altri beni avvenuti tramite frodi informatiche perpetrate sia all’interno (infedeltà dei dipendenti) sia all’esterno dell’azienda. A fronte dei suddetti rischi l’offerta assicurativa include:   1)  coperture assicurative ovvero contratti che [continua ..]


3. Oggetto delle coperture

Iniziamo col dire che non tutto è assicurabile per legge. Abbiamo già detto, con riferimento alle polizze per la responsabilità civile, che non può essere assicurata la responsabilità penale e quella amministrativa. Aggiungiamo che l’assicurato non può essere tenuto indenne per fatti propri dolosi, quindi nel caso in cui abbia intenzionalmente leso diritti di terzi e non per mera negligenza, imprudenza o imperizia. Quanto alla copertura dei danni, non potranno essere oggetto di copertura quelli che l’assicurato si è procurato anche non intenzionalmente. Si tratta di disposizioni che sono volte ad evitare l’azzardo morale che la presenza di una copertura potrebbe determinare. Il soggetto assicurato potrebbe essere indotto a condotte quanto meno non prudenziali minando l’ordine pubblico. A questi limiti si aggiungono limiti convenzionali dipendenti dal contenuto della singola polizza. Nella lettura di una polizza occorre tenere presente non solo il premio, le franchigie ed i massimali ma anche le singole esclusioni. Di seguito riportiamo le esclusioni che ci paiono più significative nel settore. Le definizioni servono ad individuare l’esatto significato dei termini della polizza ma spesso hanno anche funzione di delimitare il rischio. Diventa importante quindi inquadrare quali sono i soggetti assicurati che possono non coincidere con il contraente ovvero con il soggetto che ha stipulato il contratto con l’impresa di assicurazione. Così nel caso di una polizza stipulata da un privato si prevede in genere che assicurato sia il contraente e il suo nucleo familiare.Senza una simile previsione, il nucleo familiare nel suo complesso non può dirsi assicurato. La definizione di danno pure diviene importante. Così ad esempio in caso di copertura per danni da business interruption è importante che i danni coperti siano sia le perdite subìte per interruzione delle attività durante la durata della polizza sia i costi di recupero. La definizione di sinistro, ovvero l’evento generante la perdita che attiva l’intervento indennitario o di assistenza dell’assicuratore, è rilevante in quanto la polizza coprirà solo i sinistri che si siano verificati durante la durata del contratto. Così in caso di assicurazione per la responsabilità civile dovrà essere chiaro se il [continua ..]


4. Questionari e riskassessment

Un momento importante nella stipula di un contratto di assicurazione è la corretta e completa compilazione del questionario che l’assicuratore sottopone all’assicurato. Il questionario serve all’assicuratore per valutare il livello del rischio e in caso di reticenze o inesattezze nelle risposte troveranno applicazione norme come l’art. 1892 e l’art. 1893 c.c. che legittimano l’assi­curatore a rifiutare il pagamento dell’indennizzo [13]. Le dichiarazioni inesatte e le reticenze del contraente, relative a circostanze tali che l’assicuratore non avrebbe dato il suo consenso o non lo avrebbe dato alle medesime condizioni se avesse conosciuto il vero stato delle cose, sono causa di annullamento del contratto quando il contraente ha agito con dolo o con colpa grave. L’assicuratore decade dal diritto d’impu­gnare il contratto se, entro tre mesi dal giorno in cui ha conosciuto l’inesat­tezza della dichiarazione o la reticenza, non dichiara al contraente di volere esercitare l’impugnazione. Se il sinistro si verifica prima che sia decorso il termine suddetto, egli non è tenuto a pagare la somma assicurata. L’art. 1893 riguarda il caso in cui le reticenze o inesattezze non siano dovute a dolo o colpa grave escludendo in questa ipotesi l’annullamento del contratto ma prevedendo che l’assicuratore possa recedere entro un dato termine dalla scoperta della inesattezza o della reticenza, se poi il sinistro avviene prima la somma dovuta è ridotta in proporzione della differenza tra il premio convenuto e quello che sarebbe stato applicato se si fosse conosciuto il vero stato delle cose. Tenuto conto della particolarità dei rischi informatici e del loro essere difficilmente standardizzabili in quanto legati alla peculiarità dell’attività svolta dall’assicurato, le risposte al questionario hanno un valore pregnante ai fini della valutazione del rischio.Allo stesso tempo la tecnicità dei quesiti potrà presentare delle difficoltà nelle risposte che richiedono interventi chiarificatori da parte dell’assicuratore e degli intermediari ai sensi dell’art. 183 cod. ass. (d.lgs.n. 209/2005) e dell’art. 1337 c.c.


5. Obblighi e oneri per l'assicurato

L’assicurato può perdere il diritto all’indennizzo per il mancato ottemperamento a condizioni previste per legge o per contratto. L’assicurato deve dare avviso del sinistro all’assicuratore o all’agente autorizzato a concludere il contratto, entro tre giorni da quello in cui il sinistro si è verificato o l’assicurato ne ha avuta conoscenza (art. 1913 c.c.). In polizza vengono date indicazioni circa le modalità con cui ottemperare a tale obbligo (indirizzo per la comunicazione, termine, ecc.). Occorrerà comunicare all’assicuratore in modo completo e veritiero di tutti i particolari del sinistro nonché, indicare i mezzi di prova e documenti e, su richiesta, metterli a disposizione. In caso di polizze cybersecurity sono in genere contenute indicazioni al riguardo che spesso, data la varietà dei fenomeni, si precisa essere a titolo puramente esemplificato senza pretesa di esaustività. Si prevede solitamente che contestualmente alla comunicazione per l’a­pertura del caso assicurativo, l’assicurato dovrà trasmettere: a)Per Lesione della reputazione on-line: l’URL, o altro riferimento utile per l’individuazione del contenuto lesivo; ogni informazione utile alla verifica dell’effettiva lesività del contenuto internet denunciato.   b)Per Furto d’identità digitale: i dati d’identificazione o d’autenticazione oggetto della lesione; ogni informazione utile alla verifica della sussistenza dell’artificio o raggiro per mezzo di internet consentendo, se ritenuto necessario, l’ac­cesso ai propri sistemi informatici da parte di consulenti tecnici di fiducia dell’assicuratore; ogni informazione utile all’individuazione del pregiudizio. L’assicurato ha l’obbligo di salvataggio per legge (art. 1914 c.c.) ovvero l’assicurato deve fare quanto gli è possibile per evitare o diminuire il danno. Quanto alle spese sostenute dall’assicurato la norma precisa che sono a carico dell’assicuratore, in proporzione del valore assicurato rispetto a quello che la cosa aveva nel tempo del sinistro, anche se il loro ammontare, unitamente a quello del danno, supera la somma assicurata, e anche se non siè raggiunto lo scopo, salvo che l’assicuratore provi che le spese sono state fatte inconsideratamente. Condizioni da [continua ..]


6. L'adeguatezza dei prodotti dipende da una buona intermediazione

La complessità dei prodotti nell’ambito cyber può spaventare e trovare il prodotto adeguato sembra difficile, ma ricordiamo che l’assicuratore e gli intermediari assicurativi hanno l’obbligo di offrire prodotti adeguati al cliente secondo la regola del “Best interest of customers”. Il codice delle assicurazioni private (d.lgs.n. 209/2005, art. 183), unitamente ai regolamenti IVASS attuativi dello stesso (in particolare Reg. 5/2006 e 35/2010), dettano regole di condotta per intermediari e assicuratori ordinate alla proposizione di contratti assicurativi rispondenti alle esigenze dei clienti per come da questi palesate attraverso le risposte ai questionari di adeguatezza. Da ultimo la adeguatezza ha trovato un potenziamento nelle regole della distribuzione assicurativa introdotte dalla direttiva IDD e in particolare dagli obblighi di “gestione del prodotto” finalizzati all’offerta di prodotti rispondenti ai bisogni del mercato di cui fanno parte, non dimentichiamolo, i clienti. Indubbiamente il settore Cyber in particolare dopo l’emanazione General Data ProtectionRegulation(GDPR), il regolamento europeo sulla protezione dei dati, è di interesse per gli assicuratori ma da un’indagine svolta da ANIA risultano alcune criticità. Nel mese di ottobre del 2017 l’ufficio studi dell’ANIA ha lanciato un’in­dagine conoscitiva cui hanno partecipato 18 imprese del settore danni, rappresentative di circa il 34% dei premi del settore, e due impresedi riassicurazione. I dati secondo l’elaborazione grafica di ANIA che qui riportiamo evidenziano come la scarsità dei dati e la rapida evoluzione dei fenomeni rappresentino un concreto ostacolo all’assicurabilità del rischio cyber. A questi si possono aggiungere altre considerazioni relative alla difficoltà di dare un valore determinato al dato perduto a seguito di un cyber attack e la difficoltà di definire il “rischio residuo”, di cui sopra, permettendo così di ridurre i premi in rispondenza alla riduzione del rischio grazie alle misure di prevenzione previste in polizza.


NOTE
Fascicolo 1 - 2019