TASSONOMIE DEL RISCHIO INFORMATICO: ANALISI STATISTICA DELLE CLASSIFICAZIONI DEL CYBERSECURITY RISK
«Cyber risk taxonomies: statistical analysis of cybersecurity risk classifications» Insurance: Mathematics and Economics, Volume 126 - January 2026
Matteo MALAVASI, Gareth W. PETERS, Stefan TRÜCK, Pavel V. SHEVCHENKO, Jiwook JANG, Georgy SOFRONOV
ELSEVIER Science Direct
https://www.sciencedirect.com/
ELSEVIER Science Direct - Link alla WEBPAGE dedicata all'ARTICOLO
Nel presente lavoro, preso atto che le classificazioni del rischio informatico vengono ampiamente utilizzate nella modellizzazione della distribuzione dei cyber events, gli Autori rilevano che l’efficacia di tali classificazioni nella previsione fuori-campione rappresenta un tema ancora poco esplorato.
Analizzano, pertanto, le classificazioni più comunemente utilizzate e sostengono la necessità di spostare l'attenzione da criteri di performance predittiva “goodness-of-fit” e “in-sample” per concentrarsi sulle prestazioni predittive fuori campione (“out-of sample forecasting performance”). Utilizzano un'analisi a finestra mobile (“rolling window analysis”) per confrontare le previsioni di distribuzione del cyber risk tramite funzioni di punteggio ponderate per soglia; i risultati ottenuti indicano che le classificazioni del rischio informatico “business motivated” sembrano essere troppo restrittive e non sufficientemente flessibili per catturare l'eterogeneità dei cyber risk events.
Nello specifico, gli Autori indagano in che modo i classificatori (classifiers) di rischio informatico dinamici/impact-based possano risultare più adatti a prevedere le perdite future dovute al cyber risk rispetto alle altre classificazioni. I risultati suggeriscono che (I) le tipologie di rischio informatico offrono una capacità di previsione limitata per quanto riguarda la distribuzione della gravità della cyber loss e che (II) i tariffari per le coperture cyber dovrebbero utilizzare i cyber risk types solo quando modellizzano la distribuzione della frequenza degli eventi informatici.
Lo studio, evidenziano gli Autori, offre quindi spunti utili sia ai decisori politici sia agli esperti assicurativi, contribuendo al progresso della conoscenza scientifica nel campo del cyber risk management.
Gli Autori sottolineano che la critica alle classificazioni del cyber risk basate sul rischio operativo (in particolare quelle allineate ai Basel frameworks) suggerisce che gli enti regolatori potrebbero trovarsi a dover dissociare il rischio informatico dalle tassonomie tradizionali del rischio operativo. La dimostrata discrepanza statistica tra rischi informatici e rischi operativi implica che le minacce informatiche presentano caratteristiche distributive fondamentalmente diverse (soprattutto nel segmento tail), giustificando un trattamento autonomo nei regulatory capital models frameworks o nei quadri normativi di resilienza.
Gli Autori concludono affermando che, all’aumentare della complessità e degli impatti delle minacce informatiche, il miglioramento dei sistemi di classificazione sarà essenziale non solo per gli assicuratori, ma anche per Autorità di regolamentazione/vigilanza, Banche centrali, decisori responsabili della salvaguardia della resilienza sul piano sistemico. Pertanto, la capacità di classificare, modellizzare, prevedere accuratamente la distribuzione della gravità delle perdite dovute a cyber events continua a costituire una sfida complessa e cruciale per i settori del risk management e delle assicurazioni.