L’ASSICURAZIONE CYBER: SFIDE E CONSIDERAZIONI DI VIGILANZA PER UNO SVILUPPO SOSTENIBILE DEL MERCATO (REPORT IAIS)
“Cyber Risk Underwriting. Identified Challenges and Supervisory Considerations for Sustainable Market Development" (REPORT, December 2020)
IAIS – INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS
https://www.iaisweb.org/home
IAIS ha recentemente pubblicato un Report intitolato " Cyber Risk Underwriting - Identified Challenges and Supervisory Considerations for Sustainable Market Development". Il documento rappresenta il culmine dell'ampia rassegna della letteratura svolta dal Cyber Underwriting Small Group e del coinvolgimento, sul tema in questione, delle parti interessate e dei membri dell’Associazione internazionale dei supervisors assicurativi.
Il rapporto evidenzia le sfide per il mercato delle assicurazioni cibernetiche, gli attuali approcci di vigilanza e il ruolo che IAIS può svolgere nell'affrontare le sfide e le questioni chiave, come parte del suo piano strategico 2020-2024.
Le evidenze contenute nel Report indicano che le attuali pratiche di sottoscrizione dei rischi informatici seguite dalle imprese, sebbene utili, non sono ancora ottimali, in particolare a causa delle problematiche relative alla misurazione delle esposizioni al rischio.
In via generale, gli assicuratori gestiscono le loro esposizioni al rischio cibernetico sottoscritto cercando di fissare prudenti limiti di polizza e contenendo l'esposizione alle singole fonti di rischio. Tuttavia, la natura del rischio informatico e la complessità delle catene di approvvigionamento possono portare all'accumulo di perdite e non è chiaro se le attuali pratiche consentano una valutazione adeguata e la mitigazione di tale aspetto - in particolare per quanto riguarda le cosiddette “coperture informatiche non affermative”.
Sebbene gli assicuratori e alcuni supervisori siano a conoscenza di questo problema e le imprese stiano adottando misure importanti per limitare il rischio, attualmente una copertura informatica non affermativa può rappresentare un pericoloso fattore di amplificazione delle esposizioni, in quanto può influenzare altri tipi di polizze (ad esempio, per danni ai beni e di responsabilità civile), che hanno limiti di garanzia molto più elevati.
Sul fronte della vigilanza, il Report indica che l'intensità della supervisione (ad esempio, la frequenza di valutazione) e lo sviluppo di strumenti specifici (ad esempio, l'uso di stress test) sono generalmente proporzionati all'importanza relativa del mercato dell’assicurazione informatica, che è attualmente di ampiezza limitata. Esiste una consapevolezza e una crescente attenzione della vigilanza sulle sfide poste da questa linea di business, come dimostrano le iniziative di raccolta dati ad hoc avviate dalla maggioranza dei membri IAIS.
Tuttavia, con poche eccezioni, le Autorità di vigilanza non hanno ancora emesso linee guida specifiche per le imprese in materia di sottoscrizione di rischi informatici, poiché si basano su linee guida già esistenti e raccomandazioni sulla gestione del rischio. Allo stesso modo, il reporting di vigilanza sui rischi informatici assicurati non è ancora diffuso e completo, anche in giurisdizioni con normative sul reporting ormai consolidate.