-
Cyber Estorsioni
-
Perdite di profitto determinate da una interruzione dell’attività dovuta all’attacco informatico
-
La compromissione dei dati dei clienti
-
Obbligo di notificare l’avvenuta violazione agli interessati
-
Le richieste di risarcimento da parte di terzi
-
I danni alla reputazione aziendale
CYBER RISK
come difendersi
ECCO A COSA POTRESTE ANDARE INCONTRO
UN RISCHIO TRASVERSALE
-
Un report della Federal Trade Commission rileva come nel 2015 ci fossero 25 miliardi di dispositivi connessi a internet e ne ipotizza 50 miliardi nel 2020. Non solo computer e smartphone, ma anche sistemi di sicurezza, strumentazioni, apparecchiature mediche e molto altro ancora, sono tutti collegati a internet
-
L’uso intensivo di internet da parte di tutte le realtà produttive, a qualsiasi livello, comporta che il rischio legato alla sicurezza informatica non sia circoscritto al solo settore IT ma che riguardi anche strumenti adibiti ai processi produttivi, la gestione dei database, l’e-commerce, l’home banking
LA PERCEZIONE DELLE IMPRESE ITALIANE
Il settore più colpito è quello delle strutture e degli operatori sanitari e, generalmente, di chi gestisce i dati riservati dei propri clienti
GDPR: GLI OBBLIGHI LEGISLATIVI
Il GDPR General Data Protection Regulation (Reg. UE 2016/79) introduce inoltre precisi obblighi in merito alla gestione dei dati
personali
ART. 32: tenuto conto della natura del trattamento, il Titolare deve adottare MISURE di SICUREZZA ADEGUATE ad attenuare
i rischi derivanti dalla distruzione, perdita, modifica, divulgazione non autorizzata, accesso accidentale o illegale ai dati personali
trattati.
ART. 33: OBBLIGO DI NOTIFICA AL GARANTE PER LA PRIVACY (entro 72 ore) DI OGNI VIOLAZIONE DI DATI PERSONALI subita all’interno del proprio sistema informatico.
Tale procedura deve essere seguita non solo in caso di attacco informatico ma anche in caso di perdita o distruzione a cause differenti come il furto di un personal computer che contiene dati personali di clienti e dipendenti.
Nel caso in cui la violazione dei dati personali sia in grado di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati cui si riferiscono (ad esempio perché particolarmente sensibili o perchè facilmente riconducibili a una persona fisica) il GDPR obbliga il Titolare del trattamento a NOTIFICARE LA VIOLAZIONE A CIASCUN INTERESSATO.
LA RISPOSTA ASSICURATIVA
Un ruolo primario nella gestione del rischio informatico viene giocato dalla prevenzione che si compone principalmente di misure di sicurezza informatiche (antivirus, password, cifratura dei dati e segregazione..) e di adeguata formazione del personale.
Ma anche le Compagnie di assicurazione hanno individuato delle soluzioni che permettono di trasferire parte del rischio.
Cosa assicurano le polizze CYBER?
PRINCIPALI GARANZIE DELLA POLIZZA CYBER
danni a terzi
RICHIESTE DI RISARCIMENTO DOVUTE A
-
FURTO O DISTRUZIONE DI DATI
-
DIVULGAZIONE NON AUTORIZZATA DI DATI PERSONALI O INFORMAZIONI COMMERCIALI
-
TRASMISSIONE DI UN VIRUS
Diffusione di informazioni su Internet che comporti:
-
VIOLAZIONE DELLA PROPRIETÀ’ INTELLETTUALE
-
VIOLAZIONE DELLA RISERVATEZZA
-
DIFFAMAZIONE O DENIGRAZIONE DI PRODOTTI, PLAGIO
PRINCIPALI GARANZIE DELLA POLIZZA CYBER
danni patrimoniali
INTERRUZIONE DI ATTIVITÀ
Perdita di profitto derivante dall’interruzione o sospensione dell’utilizzo dei computer e dei sistemi informatici dovuta a una compromissione della rete
RIPRISTINO DEI SISTEMI
Costi sostenuti per l’intervento di tecnici specializzati per il ripristino del sistema informatico e la ripresa dell’attività
SPESE LEGALI
Da corrispondere per l’assistenza durante le indagini del Garante della privacy a seguito di una presunta violazione della normativa in materia di privacy e sicurezza
PRINCIPALI GARANZIE DELLA POLIZZA CYBER
assistenza nella gestione della crisi
FONDAMENTALE SERVIZIO garantito dalla polizza CYBER è l’ASSISTENZA di un team di esperti che intervengono in caso di violazione di dati, compromissione dei sistemi informatici o domande di estorsione
-
intervento di esperti di informatica forense per determinare esistenza, causa, portata della compromissione o violazione
-
consulenza legale per la notifica della violazione dei dati ai soggetti interessati
-
spese operative per un call center che gestisca le richieste dei soggetti potenzialmente colpiti dalla violazione dei dati
-
compensi per un’azienda di pubbliche relazioni che intervenga con comunicazioni atte a minimizzare il danno reputazionale
ESEMPI DI SINISTRI
ATTACCO RANSOMWARE
il fatto:
I dati sule server di una società produttrice di materie plastiche vengono criptati da un virus Ransomware dopo che un dipendente ha cliccato su unlink fraudolento presente in una e-mail ricevuta.
Gli hacker chiedono un riscatto i bitcoins in cambio della decriptazione. Nell’attesa che i tecnici riescano a recuperare i dati, tutti i computer e le macchine collegate alla rete sono costrette all’arresto forzato.
Le garanzie di polizza che possono essere attivate:
-
Gestione della crisi: intervento di esperti informatici per decriptare i dati e ripristinare le informazioni – consulenza legale in ambito privacy
-
Interruzione di attività
INTRUSIONE HACKER
il fatto:
L’impiegato di una società riceve una mail contenente un link da un indirizzo di posta elettronica conosciuto. Una volta cliccato sul link scarica un virus attraverso il quale l’hacker accede ai sistemi informatici della società.
L’hacker sottrae informazioni confidenziali compresi dati personali e informazioni sui conti correnti di clienti e fornitori. I dati potrebbero venir diffusi su internet o venduti sul dark web (siti utilizzati per attività illegali e irraggiungibili se non attraverso particolari software).
Le garanzie di polizza che possono essere attivate:
-
Gestione della crisi: notifica della violazione al garante e agli individui e aziende coinvolti – assistenza di esperti in pubbliche relazioni per minimizzare il danno reputazionale – assistenza di esperti informatici per individuare la causa della violazione e gli effetti del virus
-
Spese legali
-
Richieste di risarcimento per danni eventuali derivanti dalla diffusione illegale dei dati
MISDELIVERY
il fatto:
Il responsabile risorse umane, inviando una mail a 4 candidati, allega accidentalmente il file sbagliato. Il file conteneva i dati personali contenenti nomi, numeri di carte di identità degli ex dipendenti.
Le garanzie di polizza che possono essere attivate:
-
Gestione della crisi: notifica della violazione al garante e agli individui coinvolti
-
Richieste di risarcimento per danni eventuali derivanti dalla diffusione illegale dei dati
-
Spese legali