IL PRICING DELLE POLIZZE ASSICURATIVE CONTRO IL RISCHIO CYBER, SECONDO UN MODELLO A RETE
“Pricing of cyber insurance contracts in a network model” Institut für Mathematische Stochastik
Matthias A. FAHRENWALDT, Stefan WEBER, Kerstin WESKE
LEIBNIZ UNIVERSITÄT HANNOVER
https://www.stochastik.uni-hannover.de/
UNIV. HANNOVER Link al WORKING PAPER
Il rischio informatico è diventato una grave minaccia per le imprese. I Lloyd's di Londra, ad esempio, stimano che l’entità totale degli attacchi informatici alle imprese a livello mondiale comporta danni per 400 miliardi di dollari l'anno. Inoltre, la dimensione dell'esposizione ai rischi informatici è destinata a crescere significativamente in un mondo sempre più interconnesso.
Anche se le aziende sembrano consapevoli di queste minacce, studi recenti evidenziano che sono poche quelle che hanno creato un sistema formale di gestione del rischio informatico. La gestione di tale tipo di problema consiste principalmente in meccanismi di autoprotezione ad hoc come firewall e software anti-virus, ma raramente si effettuano regolari valutazioni del rischio e si possiedono programmi di risk management che integrano il rischio informatico a un livello istituzionale.
Il danno cibernetico può verificarsi accidentalmente, ma può anche essere causato intenzionalmente. I costi relativi non sono più limitati a smarrimento, furto o corruzione di dati, ma includono - in sempre maggior misura - danni potenziali alla proprietà e alla reputazione dell’azienda, nonché il costo associato all'interruzione dell'attività o dell'infrastruttura critica.
Anche se le future strategie di gestione del rischio fossero in grado di migliorare la protezione contro il verificarsi o l'impatto di eventi informatici, alcuni rischi cyber residui rimarrebbero tali da richiedere soluzioni assicurative.
Da un punto di vista attuariale, il rischio informatico rappresenta una sfida sotto tre diversi profili.
Innanzitutto, i dati non sono disponibili nella quantità o nella granularità richiesta per applicare metodi statistici standard.
In secondo luogo, la tecnologia e le minacce informatiche evolvono rapidamente; l'ambiente cibernetico non è stazionario. In terzo luogo, le minacce informatiche contagiose rappresentano un grande rischio di accumulazione per un'impresa di assicurazione. La tipica ipotesi assicurativa di indipendenza non regge e, per di più, non esiste una distinzione geografica tra gruppi dipendenti come, ad esempio, per le catastrofi naturali. Ciò richiede nuovi modelli matematici che catturino la struttura di dipendenza delle reti informatiche in modo appropriato.
Quest’ultimo è lo scopo del presente paper.
Dal punto di vista assicurativo, i principali contributi del lavoro sono i seguenti:
- per quanto a conoscenza, viene sviluppato il primo modello matematico delle perdite assicurate causate da minacce informatiche contagiose. La dipendenza è modellata come una rete non orientata, dove ogni nodo può rappresentare un’azienda, un sistema di computer o un singolo dispositivo; ogni linea costituisce un possibile canale di trasmissione in una rete;
- si fornisce una nuova metodologia per calcolare le perdite aggregate attese di un’impresa di assicurazione. Il metodo è applicabile a una grande varietà di contratti, comprese le funzioni lineari e non lineari delle perdite generate. L'applicazione è illustrata con esempi numerici; l’approccio può essere utilizzato per prendere decisioni sui prezzi;
- nei casi di studio numerici, si analizza il ruolo della topologia della rete. Si osserva che la struttura di una rete assicurata ha un impatto significativo sulle perdite generate. Questo dimostra che la topologia della rete è un ingrediente chiave per il pricing dei contratti di assicurazione cyber e per la gestione del rischio cibernetico in generale.