Panorama Assicurativo Ania

🇫🇷 Cyber risk

FRANCIA: ACPR INCORAGGIA LE IMPRESE ASSICURATRICI A PROSEGUIRE L’IMPEGNO ALLA CHIAREZZA NELLE COPERTURE CYBER

«L’ACPR appelle les assureurs à poursuivre leurs efforts pour clarifier la couverture du risque cyber dans les contrats» (COMMUNIQUE DE PRESSE – 11 mars 2024)

ACPR - BANQUE DE FRANCE
https://acpr.banque-france.fr/

ACPR – Link al COMUNICATO


A inizio marzo, ACPR – Autorità di vigilanza prudenziale sul sistema finanziario francese – ha pubblicato un Comunicato, con il quale ha invitato le imprese assicuratrici a proseguire il loro impegno sul tema della trasparenza nell’ambito delle coperture del rischio informatico (“risque cyber – couvertures “implicites”) (1).

In particolare, ACPR ha condotto un'indagine presso un campione di imprese in merito alla gestione delle garanzie “implicite” a copertura del rischio cyber (2023), che ha fatto seguito a una precedente, simile iniziativa del 2018 (dalla quale era emersa una prima evidenza di coperture “implicite”). L’identificazione di tali garanzie da parte degli assicuratori non era sistematica e l’incertezza circa l’esistenza/la portata delle garanzie rappresentava un rischio finanziario sia per gli assicuratori sia per gli assicurati.

L’indagine condotta nel 2023 ha evidenziato che il lavoro di identificazione/trasparenza sui contratti è in fase avanzata. Prevede la definizione e la realizzazione di una strategia di esposizione al rischio cyber, la mappatura delle “esposizioni implicite” per famiglie di contratti e procedure di modifica dei contratti interessati. La maggior parte delle incertezze sembra ormai sulla buona strada per essere superata, ma si tratta di un impegno a lungo termine e il lavoro di modifica sulle polizze è ancora in corso. Nella maggior parte dei casi, tali operazioni conducono a palesare l’effettiva presenza di copertura del rischio cyber  –  o la sua esclusione  –  all’interno del contratto. In alcuni casi, le imprese scelgono tuttavia di mantenere una copertura “implicita”, quando,  a loro avviso, ciò possa costituire un “rischio limitato” e non presenti ambiguità.

Nel suo Comunicato, ACPR sottolinea che permane comunque la necessità di verificare/gestire l'esposizione finanziaria derivante dalle coperture “riesaminate”, mentre alcune delle imprese partecipanti all’indagine non sembrano ancora in grado di quantificare, in misura esaustiva, il rischio derivante dalla garanzia cyber presente in contratti non interamente dedicati alla copertura di tale rischio. Ciò ha condotto ACPR a raccomandare quanto segue:

  • individuazione di tutte le coperture cyber “implicite” e, ove applicabile, chiarificazione/trasparenza sulle clausole contrattuali, al fine di eliminare eventuali ambiguità giuridiche;
  • verificare che il mantenimento delle coperture “implicite” rappresenti effettivamente un rischio controllato;
  • esauriente valutazione finanziaria dei rischi assunti (anche in caso di evento sistemico) da tutte le garanzie cyber, siano esse implicite o esplicite, accessorie o principali, facoltative o meno.

_________________________

(1) Sul punto, si veda anche:
“Garanzie implicite nell’assicurazione del rischio cyber: la Vigilanza francese condivide la posizione di EIOPA”, 
In Panorama Assicurativo n. 229, novembre 2022 (Sezione “NORMATIVA”)
https://www.panoramassicurativo.ania.it/newsletter/83763/articolo/84105