STATI UNITI: CONSIDERAZIONI DEL GAO IN TEMA DI RINNOVO DEL TRIA (TERRORISM RISK REINSURANCE ACT)
«Terrorism Risk Reinsurance Act (TRIA) – Considerations for Reauthorization » GAO-25-108748 - September 23, 2025 (WEBPAGE DI PRESENTAZIONE, «HIGHLIGHTS» dei contenuti e REPORT integrale)
GAO - U.S. GOVERNMENT ACCOUNTABILITY OFFICE
https://www.gao.gov/
GAO - “HIGHLIGHTS” dei contenuti del Report
GAO - WEBPAGE DI PRESENTAZIONE del Report (e link correlati)
Il Government Accountability Office (GAO) statunitense ha recentemente pubblicato un approfondimento dedicato al tema del rinnovo del TRIA (Terrorism Risk Insurance Act, del 2002), la legge che ha istituito uno schema assicurativo pubblico/privato per l’assicurazione del rischio di terrorismo (TRIP)(1). Il lavoro si basa sull’analisi di numerosa precedente documentazione, tra cui il Report GAO "Cyber Insurance: Action Needed to Assess Potential Federal Response to Catastrophic Attacks" (2022)(2).
Tra i temi trattati da GAO nel suo approfondimento rientrano la disponibilità dell'assicurazione, la copertura cyber e gli effetti di potenziali modifiche al programma TRIA/TRIP.
GAO sottolinea che il Terrorism Risk Insurance Act (TRIA) impone al Dipartimento del Tesoro di gestire un programma in base al quale il Governo federale condivide con le imprese assicuratrici private gli oneri di alcuni danni derivanti da un atto di terrorismo “certificato” (ossia che corrisponde a determinati criteri prestabiliti), provvedendo a riconoscere alle imprese la cosiddetta “federal share” di tali oneri. Indica, inoltre, che il mercato della Terrorism Insurance è rimasto stabile nell'ambito del Terrorism Risk Insurance Program (TRIP) e che il Tesoro aveva riferito come (I) la copertura risulta essere, di norma, disponibile e accessibile e (II) il Terrorism Risk Insurance Program (TRIP) risulta essere in grado di coprire le perdite derivanti da cyber-terrorismo, in riferimento a coperture assicurative informatiche idonee.
Tuttavia, a quest’ultimo riguardo, GAO sottolinea che certificare gli attacchi cyber ai sensi del TRIA può risultare difficile per tre motivi:
- gli attacchi informatici potrebbero non soddisfare il requisito del TRIA secondo cui un attacco deve essere violento o pericoloso per la vita umana, la proprietà o le infrastrutture;
- gli attacchi cyber potrebbero non soddisfare facilmente il requisito del TRIA secondo cui essi devono costituire parte di uno sforzo finalizzato a minacciare la popolazione o il Governo degli Stati Uniti, oppure di un disegno teso a influenzare le policy in atto;
- gli attacchi informatici potrebbero non soddisfare il requisito del TRIA secondo cui i danni si verificano nel territorio nazionale o in aree specifiche al di fuori degli Stati Uniti.
In aggiunta, GAO fa notare che la Cybersecurity and Infrastructure Security Agency e il Federal Insurance Office non hanno ancora provveduto a completare una valutazione (assessment) per stabilire se i rischi per la sicurezza informatica giustifichino una specifica risposta assicurativa a livello federale; pertanto, le raccomandazioni di GAO - rivolte a suo tempo ad entrambe le Agenzie, per il completamento di tale valutazione - rimangono aperte.
___________________
(1)Sul punto, si veda l’approfondimento sull’attività di TRIA (Terrorism Risk Reinsurance Act) e TRIP (Terrorism Risk Insurance Program):
“Pubblicato il Report sul funzionamento dello schema assicurativo del rischio terrorismo negli Stati Uniti”,
in Panorama Assicurativo n. 204, ottobre 2020 (Sezione NORMATIVA)
https://www.panoramassicurativo.ania.it/newsletter/51099/articolo/74321
(2)Sul punto, si veda:
“Cyber Insurance: Action Needed to Assess Potential Federal Response to Catastrophic Attacks”,
GAO-22-104256 - Published: Jun 21, 2022
https://www.gao.gov/products/gao-22-104256
e quanto segue:
“Stati Uniti: Cyber-catastrofi e assicurazioni, una possibile risposta federale? Nota del Tesoro USA”,
in Panorama Assicurativo n. 232, febbraio 2023 (Sezione “NORMATIVA”)
https://www.panoramassicurativo.ania.it/newsletter/84229/articolo/84721