Un'azienda scopre lunedì mattina che i server sono cifrati da un ransomware. Il titolare respira: "Per fortuna abbiamo la cyber assicurazione". Chiama il broker, apre una pratica, e dopo qualche settimana arriva la doccia fredda: il sinistro viene liquidato solo in parte, oppure respinto del tutto, perché in polizza c'era una clausola su cui nessuno si era soffermato in fase di sottoscrizione.
Non è un caso raro. La cyber assicurazione è uno strumento utile e sempre più richiesto anche dalle PMI, ma è anche uno dei prodotti assicurativi più fraintesi in circolazione: chi la sottoscrive spesso pensa di aver comprato un paracadute universale, mentre in realtà ha comprato una copertura con condizioni precise, requisiti da rispettare ed esclusioni che vanno lette riga per riga. In questo articolo vediamo cosa copre davvero una polizza cyber, cosa quasi certamente non copre, e quali requisiti di sicurezza gli assicuratori chiedono ormai prima ancora di emettere il contratto.
COS'È UNA POLIZZA CYBER E PERCHÉ SE NE PARLA COSÌ TANTO
Una polizza cyber (o "cyber risk insurance") è pensata per coprire i costi economici che seguono un incidente informatico: violazione di dati, attacco ransomware, interruzione dei sistemi, richieste di risarcimento da parte di clienti o fornitori danneggiati. Fino a qualche anno fa era uno strumento quasi esclusivo delle grandi aziende; oggi la richiedono sempre più spesso anche PMI, a volte per scelta consapevole, a volte perché diventa un requisito contrattuale imposto da clienti, capofiliera o bandi di gara.
Il fenomeno non stupisce: gli attacchi ransomware e le violazioni di dati sono in aumento in tutti i settori, e le piccole imprese non fanno eccezione, anzi vengono spesso colpite proprio perché percepite come bersagli più deboli. In questo contesto, una copertura assicurativa dedicata può fare la differenza tra un incidente gestibile e un danno che mette a rischio la continuità dell'attività. Ma solo se si sa esattamente cosa si sta comprando.
I 3 PILASTRI DI UNA COPERTURA CYBER UTILE
Una buona polizza cyber, in linea di massima, si costruisce attorno a tre aree di intervento:
COSA COPRE DAVVERO UNA POLIZZA CYBER
Nella maggior parte dei contratti, alcune voci di copertura sono ricorrenti, anche se con nomi e massimali diversi da assicuratore ad assicuratore:
- Indagine forense: i costi per capire come è avvenuto l'attacco, quali sistemi sono stati compromessi e quali dati sono stati coinvolti.
- Notifica e adempimenti privacy: i costi per notificare la violazione al Garante Privacy e agli interessati, come richiesto dal GDPR in caso di data breach rilevante.
- Assistenza legale: consulenza per gestire gli aspetti contrattuali e regolatori dell'incidente, incluse eventuali richieste di risarcimento.
- Business interruption: il mancato fatturato e i costi extra sostenuti durante il fermo dei sistemi, spesso dopo un periodo di franchigia iniziale.
- Ripristino di dati e sistemi: i costi tecnici per ricostruire l'infrastruttura e recuperare i dati, quando possibile.
- Cyber estorsione: consulenza per gestire una richiesta di riscatto e, in alcuni contratti, un rimborso parziale, ma è una delle voci più regolamentate e spesso limitate.
Attenzione alla parola "può": molte di queste voci sono opzionali o vendute come garanzie accessorie, non incluse di default nella polizza base. Prima di firmare, chiedi al broker un elenco scritto di cosa è compreso e cosa no, voce per voce, non fidarti solo del riassunto commerciale.
COSA NON COPRE (LE ESCLUSIONI CHE COLGONO DI SORPRESA)
Le esclusioni sono la parte della polizza che quasi nessuno legge con attenzione finché non serve davvero. Le più comuni, e più dolorose quando emergono in fase di sinistro, sono:
Attenzione: molte polizze cyber vengono sottoscritte con un questionario di sicurezza. Se quanto dichiarato in quel questionario non corrisponde alla realtà al momento dell'incidente, l'assicuratore può ridurre o rifiutare l'indennizzo, indipendentemente dal premio pagato.
- Requisiti di sicurezza minimi non rispettati: se in fase di sottoscrizione hai dichiarato di avere MFA, backup e antivirus aggiornati, e in realtà non era così, la copertura può decadere.
- Vulnerabilità note e non corrette: un sistema con una falla nota da mesi, mai aggiornata, viene spesso considerato negligenza grave e non un evento fortuito coperto dalla polizza.
- Atti di guerra cibernetica: le clausole di "war exclusion" escludono attacchi riconducibili a conflitti tra Stati o gruppi sponsorizzati da governi; distinguere un attacco "comune" da uno di questo tipo è spesso oggetto di contenzioso.
- Sanzioni amministrative: le multe vere e proprie comminate dalle autorità di controllo, in molti casi, non sono assicurabili per motivi di ordine pubblico, anche se i costi legali per difendersi possono esserlo. Vale la pena ricordare che il GDPR prevede sanzioni fino al 4% del fatturato globale annuo per le violazioni più gravi: un motivo in più per non considerare la polizza un sostituto della conformità.
- Danno reputazionale a lungo termine: la perdita di clienti o di fiducia nel tempo è difficile da quantificare ed è quasi sempre esclusa o coperta con massimali molto bassi.
- Errore umano ripetuto: un dipendente che clicca su un link di phishing dopo aver già ricevuto formazione specifica può far scattare una clausola di negligenza, a discrezione dell'assicuratore.
I REQUISITI CHE GLI ASSICURATORI CHIEDONO PRIMA DI COPRIRTI
Negli ultimi anni, complice l'aumento dei sinistri legati al ransomware, gli assicuratori hanno alzato l'asticella: prima di emettere una polizza (o di rinnovarla a condizioni sostenibili) chiedono di dimostrare un livello minimo di igiene informatica. È un questionario che, di fatto, funziona come un mini audit di sicurezza.
Un assessment realizzato con un partner tecnico come il nostro servizio di cybersecurity aiuta non solo a ridurre il rischio reale di essere colpiti, ma anche a rispondere in modo corretto e documentato al questionario di sottoscrizione, evitando dichiarazioni imprecise che potrebbero poi ritorcersi contro l'azienda al momento del sinistro.
Checklist: rispetti i requisiti minimi richiesti dalla maggior parte delle polizze?
- ☐ Autenticazione a più fattori (MFA) su email e accessi critici
- ☐ Backup regolari, testati e non raggiungibili dal ransomware (segui la regola del backup 3-2-1)
- ☐ Aggiornamenti di sicurezza applicati entro tempi ragionevoli su tutti i sistemi
- ☐ Un antivirus/EDR aggiornato su ogni dispositivo aziendale
- ☐ Formazione periodica del personale su phishing e social engineering
- ☐ Un referente, interno o esterno, responsabile della sicurezza IT
- ☐ Un piano scritto, anche minimo, di risposta agli incidenti
Se hai risposto "no" a più di due punti, non solo il tuo rischio reale è più alto: rischi anche che una futura polizza venga negata, sia più costosa, o non paghi in caso di sinistro.
COME LEGGERE UNA POLIZZA CYBER SENZA FARSI SORPRENDERE
Prima di firmare (o di rinnovare) una copertura cyber, vale la pena seguire questi passi:
- Leggi i massimali per singola voce, non solo il massimale complessivo: spesso la business interruption o la responsabilità verso terzi hanno un sotto-massimale molto più basso del totale pubblicizzato.
- Verifica la "retroactive date": se un attacco è iniziato (anche silenziosamente) prima della data di decorrenza della polizza, potrebbe non essere coperto anche se scoperto dopo.
- Controlla la definizione di "evento": un attacco prolungato nel tempo può essere considerato uno o più eventi distinti, con impatto diretto sulla franchigia applicata.
- Chiedi chi sceglie i fornitori di incident response: molte polizze impongono di rivolgersi solo a fornitori convenzionati dall'assicuratore, che potrebbero non conoscere la tua infrastruttura.
- Fai verificare la polizza da chi si occupa della tua sicurezza IT, non solo dal broker assicurativo: sono due competenze diverse e complementari.
UNO SGUARDO D'INSIEME SULLE VOCI DI COPERTURA
Ecco un riepilogo pratico, da usare come traccia quando confronti più preventivi:
| Voce di copertura | Cosa include tipicamente | Attenzione a |
|---|---|---|
| Risposta all'incidente | Analisi forense, contenimento, comunicazione di crisi | Spesso limitata a fornitori convenzionati dall'assicuratore |
| Notifica e adempimenti GDPR | Costi di notifica al Garante e agli interessati | Le sanzioni amministrative vere e proprie sono spesso escluse |
| Responsabilità verso terzi | Danni a clienti o fornitori causati dalla violazione | Massimali dedicati spesso bassi rispetto al danno potenziale |
| Business interruption | Mancato fatturato durante il fermo dei sistemi | Franchigia in giorni prima che la copertura scatti |
| Cyber estorsione | Consulenza e, in alcuni casi, rimborso parziale | Voce spesso esclusa o soggetta a condizioni molto rigide |
| Ripristino dati e sistemi | Costi di recupero e riconfigurazione dell'infrastruttura | Il rimborso richiede quasi sempre prova di backup documentati |
Nessuna di queste voci ha un prezzo fisso: dipende da settore, fatturato, quantità di dati trattati e, soprattutto, dal livello di sicurezza già in essere in azienda. Più solide sono le misure preventive, migliori sono in genere sia le condizioni della polizza sia, cosa più importante, le probabilità di non doverla mai usare davvero.
Il punto centrale: la cyber assicurazione funziona come una rete di sicurezza finanziaria, non come un sostituto della sicurezza informatica. Chi arriva alla sottoscrizione con un'infrastruttura già protetta ottiene condizioni migliori e, soprattutto, un indennizzo reale quando ne ha bisogno.
IN SINTESI
La cyber assicurazione è uno strumento sempre più utile per le PMI, ma va trattata come un complemento della sicurezza informatica, non come un'alternativa. Copre bene chi arriva già con buone pratiche documentate — MFA, backup separati, patching regolare, formazione del personale — e copre male, o rifiuta il sinistro, chi pensava che il solo pagamento del premio bastasse a mettersi al riparo.
In sintesi: prima di sottoscrivere o rinnovare una polizza cyber, verifica cosa copre davvero voce per voce, quali requisiti di sicurezza ti vengono richiesti, e assicurati di rispettarli concretamente. È l'unico modo perché la copertura sia un aiuto reale e non una falsa sicurezza.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.