Come cambia la protezione cyber

Ogni giorno nel mondo miliardi di persone attraverso i loro smartphone, tablet, pc portatili condividono dati; quasi, sempre, condividono dati “personali”, talvolta dati “sensibili”, per accedere gratuitamente o a pagamento a servizi di ogni sorta (acquisti on line, servizi di pagamento, pubblica amministrazione, ricerche, pubblicazioni, informazione, ecc.) o anche “solo” per finalità di “social networking” privato o professionale. La nostra “identità digitale” è, infatti, la chiave di complessi processi informatici: l’invio, il transito e la ricezione delle nostre informazioni personali sono un elemento necessario per identificarci univocamente e consentirci l’accesso ai servizi volta per volta richiesti. 

Senza dire che attività prima esclusivamente legate alla “carta” sono state quasi totalmente soppiantate dall’utilizzo del mezzo digitale: per esempio, in ambito bancario, le operazioni in ambiente home banking hanno ormai quasi del tutto soppiantato quelle allo sportello e, in ambito servizi generali, anche nei rapporti con la pubblica amministrazione, la “sottoscrizione” di documenti, prima gelosamente legata a verifiche sulla base di “specimen” cartacei è da anni oggetto di digitalizzazione e gli specimen sostituiti, salvo rare eccezioni, da tecnologie di autenticazione digitali (le “firme elettroniche avanzate”, quali SPID, OTP) che possono includere il riconoscimento biometrico. 

Per questo motivo i dati personali (alla base delle identità digitali), la loro raccolta, trattamento, conservazione hanno assunto un’importanza fondamentale nella quotidianità e, nel tempo, un valore economico “tangibile” che ha determinato il crescente interesse della criminalità organizzata verso le possibilità di sfruttamento illecito: il 2018, in questo senso, ha rappresentato un annus horribilis nel quale, come compagnia, abbiamo registrato un numero di sinistri per crimini informatici pari a quelli registrati nel triennio precedente.

La rivoluzione GDPR 

Palese che alcune vecchie normative potevano considerarsi non più al passo con i tempi, non si è fatto attendere l’intervento puntuale del legislatore europeo in termini di inasprimento delle misure a contrasto dei crimini informatici, a tutela delle infrastrutture critiche (e quindi della continuità dei servizi erogati) nonché al fine di garantire regole comuni, diritti comuni e soprattutto un “campo” omogeneo di confronto e tutela rispetto al quale obbligare tutti coloro che quotidianamente sono impegnati in qualsivoglia trattamento di dati di cittadini europei (per qualsiasi finalità), anche fuori dai confini dell’Unione stessa. Ecco spiegata, quindi, l’esigenza di superamento della vecchia direttiva CE 95/46 e di tutte le leggi nazionali di ratifica/implementazione della stessa (es. il nostrano D.Lgs 196/03 ribattezzato come “Codice della Privacy”) con il GDPR acronimo del Regolamento Generale per la Protezione dei Dati n.679 del 2016 dell’Unione Europea definitivamente efficace e vigente dal 25 maggio 2018.

Una vera rivoluzione copernicana secondo alcuni, secondo altri semplicemente un giro di vite; fatto sta che il GDPR, rompendo il tradizionale schema della privacy “sulla carta”, delle “misure minime” e dei “trattamenti minimi”, ha introdotto, fra gli altri, temi quali accountability, tracciabilità, diritto all’oblio, adeguatezza, privacy by design e by default, sanzioni; tutti temi che hanno riempito per mesi i giornali e sui quali ben più autorevoli autori hanno lungamente discusso e sui quali, pertanto, non mi soffermerò se non per le conseguenze in ambito assicurativo: là dove oggi la norma non dice più cosa è necessario fare per effettuare un determinato trattamento, là dove domani la legge n. 31 del 12 aprile 2019, recante le nuove “Disposizioni in materia di azione di classe”, pubblicata in G.U. il 18 aprile 2019 ma che entrerà in vigore ad ottobre 2020, consentirà con modalità semplificate rispetto al passato, di contestare con “class action” ogni fattispecie di illecito a tutela di tutti i “diritti individuali omogenei”, occorrerà, a maggior ragione, poter dimostrare di aver effettuato un trattamento previo disegno di un modello che includa finalità, misure di protezione, gestione, manutenzione dei dati, finanche cancellazione degli stessi, la possibilità di errori aumenterà e con essa i profili di responsabilità.

Il servizio a supporto della polizza

Per questo motivo se il broker, come consulente del cliente finale in ambito di gestione dei rischi, non può esimersi dal sottoporre il tema della gestione dei dati personali e/o anche confidenziali come primario - dal momento che i dati oggi rappresentano un asset fondamentale per ogni azienda e l’accesso, gestione disponibilità degli stessi sono la linfa vitale stessa dell’azienda e la base della continuità operativa -, l’acquisto di una polizza cyber diventa un’imprescindibile strumento di Risk Management. CyberEdge di AIG, è una soluzione assicurativa unica e all’avanguardia, in grado di garantire il trasferimento del rischio connesso agli errori nel trattamento dei dati personali e confidenziali ovvero dei rischi connessi alla violazione dei sistemi informatici dei clienti così da tutelare l’impresa e i clienti rispetto a qualsiasi perdita di dati personali e societari, anche con riferimento agli errori di trattamento commessi dai fornitori esterni di servizi informatici o dai dipendenti risarcendo i terzi e indennizzando i clienti per la perdita di profitto conseguente a qualsiasi denial of service patito da clienti o loro fornitori e la conseguente impossibilità per gli stessi di accedere ai propri dati e ai servizi loro contrattualmente garantiti. CyberEdge è di più: è un vero e proprio “smart box” di 

a.    innovativi servizi di analisi del rischio, quali AIG Cyber Portal, un tool per la valutazione e il monitoraggio della postura di sicurezza dei clienti;

b.    servizi complimentary (gratuiti) per utenti qualificati, come ad esempio la piattaforma di formazione, in modalità e-learning web based disponibile in 11 lingue, il servizio di Blacklist IP Blocking e Domain Protection, il servizio di Infrastructure Vulnerability Scan, con followp up scan dopo 90 giorni, servizi di informazione e orientamento tramite i consulenti Cyber Risk Consulting e il Cybersecurity Information Portal per ottenere informazioni in tempo reale su tutte le principali minacce informatiche in corso e accedere a report e documenti formativi;

c.    servizi di gestione dell’incidente informatico in grado di assicurare a tutti i tipi di società, in caso di necessità l’accesso gratuito per 48/72 ore a servizi professionali (IT, forensica, legali, ecc.) altamente qualificati e coordinati per mitigare il danno e contenere la crisi. 

CyberEdge è inoltre un prodotto modulabile che consente di customizzare le garanzie/coperture sulle reali esigenze del cliente (compro ciò che mi serve) finanche a includere estensioni innovative quali il “trasferimento fraudolento dei fondi” (garanzia che mira all’indennizzo delle somme rubate dal conto corrente aziendale a causa di una violazione della sicurezza del sistema informatico della stessa), goodwill coupon (buoni con cui omaggiare i clienti vittime di trattamenti dati non autorizzati), telephone hacking (indennizzo delle bollette telefoniche anomale ricevute a causa di una falla nella sicurezza del centralino telefonico), criminal reward fund (forme di ricompensa per i soggetti che denuncino attività anomale a danno dell’azienda). Senza dimenticare che acquistare CyberEdge significa accedere ai servizi di AIG, un assicuratore leader, strutturato con le migliore figure professionali, presente sui rischi informatici da oltre 18 anni, con filiali operative per la gestione di sinistri in tutti i principali mercati mondiali; un assicuratore in grado di offrire testi localizzati in oltre 47 paesi per meglio rispondere ai requisiti legali locali; un assicuratore in grado di aiutare i clienti a gestire nel migliore di modi qualsiasi problematica e/o situazione di crisi accompagnandoli con soluzioni personalizzate e la certezza di risarcimenti capienti e rapidi.