In un’era dominata da big data, cloud computing e lavoro remoto, la protezione dei sistemi digitali diventa sempre più complessa. Molti pensano di non essere un bersaglio interessante, ma i crimini informatici spesso colpiscono in modo casuale seguendo un “opportunismo automatizzato”, sfruttando vulnerabilità dove le trovano. Se la propria azienda viene usata come trampolino per attacchi, con le nuove leggi sulla protezione dei dati si potrebbero dover affrontare multe salate qualora non si fossero protetti adeguatamente i propri sistemi.
Minacce comuni. Il phishing è una delle tecniche principali, con mail progettate per estorcere dati personali sensibili. Anche gli attacchi ransomware rappresentano una minaccia crescente, con malware che criptano i dati e bloccano i sistemi, richiedendo riscatti. L’Ia ha reso il phishing più sofisticato e l’efficienza degli attacchi ransomware è cresciuta: il tempo necessario si è ridotto drasticamente, passando da circa 60 giorni nel 2019 a soli 4 giorni oggi. Anche l’IoT è una crescente fonte di rischio. Dispositivi come televisori o campanelli, spesso poco sicuri, possono essere sfruttati per infiltrarsi nelle reti e creare botnet.
Cyber Insurance. Gestire il cyber rischio dal punto di vista assicurativo è difficile per la mancanza di dati – insufficienti e poco precisi per l’uso di metodi statistici standard – e la rapida evoluzione di tecnologie e minacce. Si distinguono tre principali tipi di rischio: idiosincratico, sistematico e sistemico. I rischi idiosincratici, specifici e indipendenti per ogni assicurato, derivano spesso da errori interni all’azienda. I rischi sistematici emergono da vulnerabilità che colpiscono simultaneamente più aziende, ad esempio l’uso dello stesso software. Entrambi possono essere modellati con tecniche attuariali e finanziarie classiche. I rischi sistemici, come le minacce cyber di tipo infettivo, sono più complessi e presentano un rischio cumulativo importante. Sorgono da processi di contagio in sistemi interconnessi e sono simili ai meccanismi osservati nelle crisi finanziarie. Con l’aumento dei ransomware diventa proprio questo il tipo di rischio più complicato da gestire e una delle sfide più importanti per i matematici. Sono necessari modelli più sofisticati come quelli di reti e propagazioni epidemiche per analizzarli. Infatti l’assunzione classica di indipendenza non è applicabile e non ci sono distinzioni geografiche tra gruppi a rischio, come avviene ad esempio per le catastrofi naturali: le minacce cyber possono colpire simultaneamente in più località. Perciò si usano tecniche di pricing che integrano l’interdipendenza dei rischi con metodi come la valutazione neutrale al rischio e l’applicazione di misure di rischio monetario.
Più dati, più accesso, più rischi. La crescente esposizione si riflette anche nell’aumento dei costi (globali) legati alla cybercriminalità: 7 trilioni di dollari nel 2022, 8 nel 2023, con una stima che prevede un salto a 10,5 trilioni entro il 2025, rispetto ai 3 del 2015. I costi includono danni e furto di dati, perdita di produttività, interruzioni, danni reputazionali, costi di indagini forensi e ripristino di beni hackerati. Le principali violazioni hanno colpito oltre un miliardo di persone. Il costo medio di una violazione nel 2022 era di 4,35 milioni di dollari.
Mercato: crescita e sfide. Il mercato globale delle assicurazioni cyber è triplicato dal 2017 al 2022, raggiungendo 13 miliardi di dollari in premi diretti lordi nel 2022. Una reazione al peggioramento dei rapporti di perdita dovuti all’incremento degli attacchi ransomware, con conseguente aumento di tariffe e sottoscrizioni. Si stima che i premi raggiungeranno 23 mld di Usd entro il 2025, ma il mercato è ancora piccolo rispetto ai rischi cyber in rapida evoluzione. Con la minaccia di grandi perdite cumulative e la crescita attuale, il mercato riassicurativo potrebbe presto non essere più sostenibile. La sfida è generare nuova capacità per sostenere la crescente domanda di copertura.
Attualità: cyber catastrophe bonds. Una risposta alla scarsa capacità del mercato cyber sono i Cyber Ils, simili ai Cat bond per calamità naturali, ovvero strumenti finanziari usati per trasferire parte del rischio a investitori che forniscono fondi alle compagnie assicurative solo se si verificano eventi specifici (trigger), come terremoti o tornado. All’inizio del 2023, Beazley ha realizzato la prima transazione di un cyber catastrophe bond, raccogliendo 45 mio. Usd: l’inizio di un nuovo mercato emergente per le Ils cyber.
Per adeguarsi all’evoluzione del rischio cyber, bisognerà investire in standardizzazione dei dati e sviluppo di modelli robusti. È importante che il settore rafforzi le competenze nei collaboratori per colmare la carenza di esperti a supporto dell’economia globale. La cybersecurity è dunque un campo essenziale per la sicurezza personale e aziendale, oltre a offrire interessanti opportunità professionali e di investimento.
© Riproduzione riservata