Intermediari assicurativi e cyber risk: tra opportunità commerciali e rischi operativi una lettura della lettera al mercato dell’IVASS.
E’ uno scenario in chiaroscuro quello che emerge dalla indagine conoscitiva IVASS dello scorso luglio che ha poi dato origine alla importantissima lettera al mercato di IVASS del 29/12/2017 su Intermediari e Cyber Risk: ne ripercorriamo i passaggi per coglierne la portata, concretamente operativa, per Agenti e Broker.
Il primo dato che emerge, se vogliamo scontato, è il divario tra piccoli e grandi intermediari: questi ultimi, infatti, spesso riconducibili anche a primari players multinazionali, risultano più sensibili (perchè più strutturati e con maggiori risorse finanziarie ed umane alla gestione delle problematiche di Cyber Risk e Data Protection) alle due problematiche.
Il secondo dato è la maggior sensibilità, sui due temi, dei Broker rispetto agli Agenti.
Il terzo dato significativo riguarda l’approccio della Vigilanza IVASS che, di fronte alla peculiarità della struttura intermediativa e alle sue differenze interne sia dimensionali che organizzative (principio di proporzionalità), interviene non con delle direttive vincolanti ma con convinti “suggerimenti” volti a favorire un “rapido ed efficace processo di autovalutazione ed autocorrezione”.
Queste le linee generali; entriamo nel dettaglio.
I circa 3000 intermediari intervistati “hanno dimostrato, complessivamente, un discreto livello di consapevolezza dell’esistenza del rischio informatico e della necessità di protezione dei dati e delle informazioni della clientela. Del pari avvertita è l’esigenza di informare dipendenti e collaboratori sulle problematiche inerenti i rischi informatici”.
Proprio per quest’ultima considerazione IVASS suggerisce buone pratiche (Policy) e indica anche qualche obbligo concreto (es. ore di aggiornamento formativo dedicate al tema), come vedremo più avanti.
Sul fronte dei presidi e dei processi di acquisizione e protezione dei dati, configurazione e protezione dei sistemi, conservazione delle informazioni, IVASS rileva un quadro “incoraggiante” per oltre l’80% dei partecipanti all’indagine mentre “il risultato dell’indagine si presenta meno incoraggiante per quanto riguarda il grado di percezione dell’importanza di effettuare monitoraggi periodici dei propri sistemi al fine di intercettare eventuali malware e accessi non autorizzati. L’analisi delle risposte mostra che il 78% del campione riferito al canale agenziale e il 50% del campione dei broker non dispone di sistemi di monitoraggio per la rilevazione di accessi non autorizzati”.
A questo punto si introduce un tema cruciale, in considerazione del fatto che il settore dell’intermediazione assicurativa vive da sempre una idiosincrasia per le disposizioni scritte, i processi condivisi, controllati e controllabili e dove la “gestione familiare” e la “tradizione orale” sembravano bastate a se stesse solo fino a pochi anni fa.
Ciò potrebbe rendere particolarmente indigesta la necessità della nuova Policy sui rischi informatici, cioè un insieme di regole di prudenza, di comportamenti e di procedure che vanno autonomamente concepite, elaborate, formalizzate e condivise tra e con le risorse umane coinvolte (Intermediari, dipendenti e collaboratori); un ruolo insostituibile, nel diffondere questa nuova cultura della “formalizzazione” per la condivisione ed applicazione, avranno le Associazioni di Categoria, i Gruppi Agenti e gli organi di informazione.
E’ poi paradossale che lo strumento di protezione “assicurativo” sia pressochè inesistente tra gli intermediari: infatti “risultano del tutto marginali i casi in cui si è fatto ricorso (da parte degli intermediari) ad una copertura assicurativa a protezione del rischio informatico e delle perdite di dati conseguenti ad un attacco (… )”
E’ la sconsolante dimostrazione che il vecchio detto “vendi solo ciò che hai comprato tu stesso” ha concrete fondamenta. L’industria assicurativa infatti lamenta scarsa sensibilità del mercato verso le polizze Cyber Risk, dove nemmeno chi dovrebbe collocarle le sottoscrive per se stesso… medico, cura te stesso!
Per questo IVASS “auspica un ampliamento del ricorso allo strumento assicurativo, complementare al sistema dei presidi in essere. Tale ricorso è correlato allo sviluppo di uno specifico segmento di offerta assicurativa da parte delle compagnie”. Qui la Vigilanza Intermediari sembra delineare il tema delle grandi responsabilità delle Imprese assicurative, con rarissime eccezioni, che sul tema non sviluppano prodotti e spesso obbligano sopratutto le reti agenziali ad utilizzare applicativi e software obsoleti e vulnerabili, contribuendo così ulteriormente alla debolezza informatica degli intermediari.
A questo punto, IVASS indica i due binari da seguire, la prevenzione e la protezione e la loro concreta applicazione.
“Sul piano della prevenzione l’Istituto raccomanda che gli intermediari si dotino di specifiche policy sul cyber risk, che potranno essere individuate anche sulla base di linee guida definite con le rispettive Associazioni di categoria (seguono i contenuti della Policy) (…).
Sul secondo versante, quello della protezione, l’IVASS indica l’unico vero obbligo normativo: una quota del monte ore di aggiornamento professionale dedicato a queste tematiche indicando “una quota del 20% del monte ore di formazione biennale obbligatoria per l’aggiornamento professionale, ex articolo 7 del Regolamento IVASS n. 6 del 2 dicembre 2014, sia dedicata, a partire dal 2018, ai temi della sicurezza informatica”.
Pertanto, l’industria dovrà tener presente che in questo anno appena cominciato, almeno 6 ore di corsi obbligatori dovranno essere finalizzate alla conoscenza e gestione dei rischi informatici (…).
Per motivi di spazio dobbiamo fermarci qui, sicuri che le tematiche sul Cyber Risk degli intermediari continueranno a suscitare interesse e dibattito che potremo continuare anche in questa sede.
Vincenzo Iorio
Ai lettori di Insurzine è riservato uno sconto speciale del 10%
Seguici sui nostri canali social: Facebook e Twitter
Leggi tutte le nostre notizie cliccando QUI
