Malgrado la consapevolezza del pericolo, istituzioni e imprese sono ancora largamente impreparate. Spesso ci si limita a tenere aggiornate le ordinarie difese, mentre sono rari i casi in cui la sicurezza informatica è integrata nei piani generali di gestione del rischio. Eppure è evidente che la prevenzione giocherà sempre un ruolo prioritario, perché nessun rimedio a posteriori potrebbe riequilibrare le perdite.
Questa frattura fra percezione e azione è spiegata con la velocità dell’evoluzione tecnologica e di scenario, che causa grandi difficoltà nel misurare il rischio e le esposizioni potenzialmente correlate. Ciò vale per tutti gli operatori, quindi anche per gli assicuratori. Con franchezza, si teme che nei casi più gravi il sistema non sarebbe in grado di fronteggiare le perdite: pensiamo ad esempio a una distruzione su vasta scala delle infrastrutture o dei network-chiave.
Se necessariamente toccherà sempre agli Stati e alle Organizzazioni sovranazionali occuparsi degli eventi catastrofici, compete invece ai privati organizzare le proprie difese di prima e seconda linea. Fra queste, certamente, la ricerca della più adeguata copertura assicurativa. Alcune grandi compagnie hanno messo a punto polizze ad alto contenuto d’innovazione e attente a presidiare le varie forme e perdite di un attacco informatico: errore, infedeltà, intrusione da un lato; corruzione, furto, ricatto e diffusione dei dati dall’altro. Coi conseguenti danni diretti e indiretti sull’attività: rallentamenti, blocchi, ricerca e riparazione della falla, potenziamento delle difese, indagini, estorsioni, violazioni della privacy, caduta di reputazione. Le migliori polizze affiancano alla garanzia tipicamente assicurativa servizi forniti da partner fortemente specializzati, in grado d’intervenire con immediatezza per arginare le conseguenze del data breach.
Una quotazione seria, anche per rischi di media complessità, non può prescindere da un’approfondita analisi dell’attività e dell’organizzazione interna. Serve quindi grande collaborazione e il coinvolgimento di soggetti interni ed esterni: responsabili dei servizi IT, consulenti legali, tecnici degli outsourcer cui siano stati trasferiti processi di rilievo, come lo storage, la progettazione e manutenzione delle piattaforme di scambio, i servizi di e-commerce e pagamento. Un quadro preciso e aggiornato consente la formulazione di un contratto adeguato anche se a costi significativamente in crescita.
