Panorama Assicurativo Ania

🇪🇺 Cyber risk, Rischio sistemico

DUE CONSULTAZIONI EIOPA SU ESCLUSIONE DI RISCHI DERIVANTI DA EVENTI SISTEMICI E GESTIONE DEI RISCHI CYBER NON AFFERMATIVI

“EIOPA consults on its supervisory statements on exclusions in insurance products arising from systemic events and on the management of non-affirmative cyber exposures” (NEWS, 17 giugno 2022) “Supervisory Statement on exclusions in insurance products related to risks arising from systemic events” (Consultation Paper - EIOPA-22-288) “Consultation Paper on Supervisory Statement on management of non- affirmative cyber underwriting exposures” (EIOPA-22-290)

EIOPA – EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://www.eiopa.europa.eu/

EIOPA – Link alla NEWS

EIOPA – Link al CONSULTATION PAPER “exclusions related to risks arising from systemic events”

EIOPA – Link al CONSULTATION PAPER “management of non- affirmative cyber underwriting exposures”


EIOPA ha pubblicato, il 17 giugno scorso, due Consultation Paper contenenti, rispettivamente:

  • una Dichiarazione di vigilanza sulle esclusioni relative a eventi sistemici quali pandemie, catastrofi naturali o grandi attacchi informatici;
  • una Dichiarazione di vigilanza sulla gestione delle esposizioni informatiche “non affermative”.

Per quanto riguarda il primo documento, EIOPA sottolinea che esiste un rischio crescente che i prodotti assicurativi diventino inaccessibili o non disponibili per eventi di natura sistemica. Allo stesso tempo, i prodotti che potrebbero aver originariamente coperto tali eventi o che potrebbero essere stati silenti in relazione alla copertura degli stessi potrebbero in futuro escluderli esplicitamente.

L'obiettivo del Supervisory Statement è quello di promuovere la convergenza del modo in cui le Autorità nazionali competenti valutano il trattamento, nei contratti assicurativi, delle esclusioni relative a rischi derivanti da eventi sistemici. 

EIOPA raccomanda alle Autorità nazionali di prendere in considerazione quanto segue:

  • i “produttori” di polizze assicurative dovrebbero valutare se le esclusioni dalla copertura sono chiare e se vi è chiarezza contrattuale per gli assicurati;
  • se il rischio derivante da un evento sistemico diventa non assicurabile o non è chiaro se il rischio sia coperto o meno, i “produttori” sono tenuti a valutare i termini, le condizioni e l'ambito della copertura tenendo conto di esigenze, obiettivi e caratteristiche del mercato di riferimento individuato;
  • più in generale, quando vengono sviluppati nuovi prodotti, le esigenze, gli obiettivi e le caratteristiche del mercato di riferimento devono essere presi in considerazione rispetto alle esclusioni.

Sebbene possa esistere un limite per quanto riguarda ciò che può e non può essere assicurato, EIOPA è del parere che i rischi, compresi quelli derivanti da eventi sistemici, possono essere gestiti e valutati correttamente quando la copertura è chiara e allineata alle esigenze del mercato di riferimento. Nel complesso, mettere i consumatori al centro del processo di sviluppo del prodotto porta vantaggi significativi alla società nel suo insieme.

Per quanto concerne il secondo documento, EIOPA segnala che l'esposizione al rischio informatico potrebbe derivare sia da polizze assicurative affermative o da estensioni di garanzia, per le quali alcune esclusioni potrebbero non essere chiare, sia in relazione a polizze assicurative progettate senza prendere esplicitamente in considerazione il rischio informatico. Nel documento si raccomanda alle Autorità nazionali competenti di dedicare maggiore attenzione alla valutazione, da parte delle imprese di assicurazione, dei termini e delle condizioni dei prodotti assicurativi esistenti.

Il documento si concentra sulle aspettative della vigilanza e sottolinea:

  • la necessità di una strategia top-down e di una definizione della propensione al rischio delle imprese di assicurazione che assumono rischi informatici;
  • la necessità di identificare e misurare l'esposizione ai rischi al fine di attuare solide pratiche di sottoscrizione, con particolare riguardo alla gestione delle esposizioni cibernetiche non affermative;
  • l'importanza della gestione e della mitigazione del rischio di cyber underwriting, compresa la strategia di riassicurazione.

L'importanza della formazione del personale, la sensibilizzazione degli organi di amministrazione, direzione o controllo e l'attenzione allo sviluppo e al monitoraggio continuo dei prodotti rappresentano la base per compiere passi avanti nell'offerta di polizze assicurative che creino valore aggiunto per la collettività e diano garanzie agli assicurati sui rischi contro i quali sono coperti.

Entrambe le consultazioni sono aperte fino al 18 luglio 2022.