ASSICURAZIONE CONTRO I RISCHI INFORMATICI: COME MITIGARE I FENOMENI DI MORAL HAZARD?
Mitigating moral hazard in cyber-risk insurance
Liam M.D. BAILEY
JOURNAL OF LAW & CYBER WARFARE
http://www.jlcw.org
Negli ultimi dieci anni, i dati memorizzati elettronicamente sono diventati, per le aziende che effettuano transazioni online, una risorsa indispensabile ma anche una significativa fonte di rischio. Sempre più spesso, le aziende che operano nell'era dell'informazione si rendono conto che le polizze di assicurazione di responsabilità civile tradizionali non coprono la perdita o il furto di dati elettronici e che rimane un gap considerevole di copertura nel caso di una violazione dei dati.
In risposta a questo gap, gli assicuratori hanno avviato l’offerta di polizze assicurative specifiche per affrontare i rischi dell’e-commerce. Queste polizze vanno dalla copertura delle perdite e delle sanzioni associate con la notifica delle violazioni dei dati, a coperture complete contro i danni da class action dei consumatori e i costi di bonifica delle infrastrutture e di monitoraggio del credito per le persone colpite. Analogamente alle linee classiche di assicurazione, tuttavia, la copertura dei rischi cibernetici non è immune dalle vulnerabilità tradizionali del mercato assicurativo, tra cui l'azzardo morale e la selezione avversa.
Questo articolo si propone di fornire agli assicuratori e ai decisori politici una proposta per mitigare il rischio morale nel mercato assicurativo dei rischi informatici. Attraverso l'analisi della regolamentazione in materia di sicurezza delle informazioni e specifiche considerazioni di policy, l’autore propone sostanzialmente uno scambio di informazioni che assicuratori e regolatori potrebbero effettuare per condividere i dati sui sinistri ed effettuare verifiche di conformità sugli assicurati, nel tentativo di predisporre prezzi più efficaci per le coperture e, quindi, ridurre l'azzardo morale rappresentato dalla presenza di assicurati per i quali il grado di sicurezza delle informazioni è insufficiente. La partecipazione a questo scambio di informazioni si basa su due condizioni: l'assicuratore deve, da un lato, impegnarsi a ridurre i premi per i soggetti che utilizzano infrastrutture di sicurezza delle informazioni che proteggono sufficientemente i dati e, dall'altro, deve contribuire allo scambio di informazioni con i dati relativi ai propri sinistri.
Il risultato di questa proposta è una raccomandazione per una piattaforma di condivisione delle informazioni che incoraggi gli assicuratori a mettere in comune i dati dei sinistri e a differenziare i premi per i soggetti a maggiore rischio. Poiché l'assicurazione dei rischi informatici non è né un mercato impegnato nella ricerca sfrenata del profitto né un settore monopolistico strettamente regolato, l’autore cerca di bilanciare l'autonomia degli assicuratori con il bisogno del pubblico di informazioni sicure, per creare un sistema che riduce l'azzardo morale per gli assicuratori e incoraggia, nel contempo, una protezione adeguata dei dati.