REGNO UNITO: COPERTURA DEI RISCHI “CYBER”, ESITI DI UN’INDAGINE DELLA VIGILANZA (PRA)
“Cyber underwriting risk - follow-up survey results” (LETTER signed by Anna Sweeney, Director, Insurance Supervision - 30 Jan. 2019)
BANK OF ENGLAND - PRUDENTIAL REGULATION AUTHORITY
https://www.bankofengland.co.uk/
BOE/PRA - Link alla LETTERA (30.01.2019)
Lo scorso 30 gennaio, la Prudential Regulation Authority (PRA) del Regno Unito ha pubblicato una Lettera, a firma di Anna Sweeney (Director, Insurance Supervision), relativa al Cyber Underwriting Risk (definito, nel testo, come “silent” oppure “affirmed” (1)).
La Lettera costituisce il follow-up di un precedente documento – il Supervisory Statement 4/2017(2), del quale si ribadisce la validità dei contenuti – e illustra i principali risultati di un’indagine sul tema, condotta tra le imprese nel corso del 2018. Fornisce, infine, alcuni feedback sia in relazione sia ai temi-chiave emersi dalla stessa indagine sia a quelle aree in cui PRA ritiene necessaria maggiore proattività delle imprese per garantire una gestione prudente dell’esposizione al cyber risk.
“Silent/Non-affirmative Cyber Risk”
La maggior parte delle imprese ha indicato che un certo numero di rami assicurativi “tradizionali” risultano considerevolmente esposti al “Silent/Non-affirmative Cyber Risk” (soprattutto i rami auto, casualty, infortuni/malattia, garanzie finanziarie). Le differenze tra i risultati pervenuti dalle imprese sono attribuibili alle diverse caratteristiche dei vari portafogli e alla misura in cui le singole imprese sono riuscite ad applicare esclusioni o limiti sufficientemente “robusti”.
Le valutazioni quantitative dell’esposizione al “Silent/Non-affirmative Cyber Risk” non sono ben sviluppate e sono basate, per la maggior parte, su esiti di stress scenarios e indicazioni di esperti. Molte imprese, infine, hanno espresso fiducia nei confronti dei programmi di riassicurazione nel caso di una estesa “non-affirmative cyber-catastrophe”; tale ottimismo, tuttavia – viene sottolineato nella Lettera della Vigilanza – spesso non risulta sostenuto da adeguate evidenze.
“Affirmative Cyber Risk”
I risultati dei “Cyber Stress Tests” effettuati dalle imprese indicano la mancanza di dati attendibili sulla sinistralità (claims data) e l’inadeguatezza dei modelli, con possibili impatti sull’adeguatezza del capitale. In alcuni casi, poi, i limiti/le esclusioni applicate sono molto consistenti in rapporto al volume premi, relativamente contenuto; in caso di rilevante cyber loss, tale situazione potrebbe generare elevata volatilità e considerevole danno reputazionale.
Soprattutto nell’ambito delle coperture contro il danno da interruzione di esercizio (BI-Business Interruption e CBI-Contingent Business Interruption) e il danno reputazionale, infine, i rischi prudenziali a carico delle imprese potrebbero essere rilevanti in mancanza di appropriate politiche di pricing e di adeguati sistemi di risk management.
_________________________
(1) “Silent/Non-affirmative Cyber Risk”: riferito a polizze che non includono/non escludono in via esplicita la copertura dei rischi cyber. “Affirmed Cyber Risk”: riferito a polizze che esplicitamente includono la copertura dei rischi cyber.
(2) Si tratta del documento PRA “Cyber Insurance Underwriting Risk” – Supervisory Statement 4/17”, citato in: “Nuovi documenti in materia di Matching Adjustment, Cyber Insurance e assicurazioni danni”, in Panorama Assicurativo n.166, agosto 2017 (Sezione “NORMATIVA”).
http://www.panoramaassicurativo.ania.it/admin/plugin/panorama/view.html?id=38864&est=1