Cyber Risk: Ransomware in crescita esponenziale, le compagnie assicurative preoccupate: non cedere alle richieste di riscatto.
mercoledì, 01 settembre 2021
I premi di AIG aumentati del 40% in un anno, il loss ratio ha raggiunto il 73% e continua a crescere.
La soluzione del problema è sempre più in partnership tra settore assicurativo e strutture pubbliche
La soluzione del problema è sempre più in partnership tra settore assicurativo e strutture pubbliche
“È un sicuro segno di guai quando i principali dirigenti del settore assicurativo sono preoccupati che i prezzi delle loro polizze salgano”. Inizia così un lungo articolo di CyberScoop dedicato alle dinamiche sempre più pronunciate che stanno caratterizzando il mercato delle coperture cibernetiche.
Due Ceo di importanti giganti assicurativi Usa hanno sottolineato nelle ultime settimane un notevole salto nei prezzi dei premi di assicurazione cyber. L’amministratore delegato di AIG ha detto che i tassi sono aumentati del 40%, mentre l’amministratore delegato di Chubb ha detto che anche la sua compagnia stava facendo pagare di più. Da dove nasce la loro preoccupazione? Il CEO di Chubb Evan Greenberg ha detto che gli aumenti di prezzo non riflettono ancora il grave rischio che un evento informatico catastrofico pone sulle spalle delle compagnie.
L’evoluzione del ransomware – attacchi informatici associati a richieste di riscatto per un reset degli apparati informatici messi fuori uso – ha radicalmente alterato il panorama della cyber assicurazione, secondo gli analisti dentro e fuori il settore.
Il ransomware ora rappresenta il 75% di tutte le richieste di assicurazione informatica, dal 55% nel 2016, secondo l’agenzia di rating AM Best. L’aumento percentuale dei sinistri sta superando quello dei premi, ha detto un rapporto di giugno nell’osservare che “le prospettive per il mercato delle assicurazioni informatiche sono cupe”. Fitch Ratings in aprile ha rilevato che il rapporto tra le perdite e i premi guadagnati (loss ratio) era al 73% l’anno scorso, mettendo in pericolo la redditività del settore. I timori non sono legati all livello del ratio (ancora molto positivo) ma alla progressione geometrica dei sinistri e del loro impatto. AM Best ha notato che un assicuratore di terremoti può diversificare i suoi libri offrendo assicurazioni in diverse regioni geografiche, ma il rischio informatico non ha tali confini. E le perdite in questo momento sono “folli”, ha detto Fred Eslami, analista finanziario senior di AM Best.
Una mancanza di redditività potrebbe portare a ulteriori aumenti dei premi, all’uscita delle compagnie dal settore o ad una riduzione delle coperture. “Per il mercato delle assicurazioni informatiche, siamo nella prima e più importante sfida che abbiamo mai avuto”, ha detto Michael Phillips, chief claims officer di Resilience. “Questo è il nostro momento di crisi”. L’assicurazione cibernetica è molto richiesta, ciò che potrebbe impedire al settore di virare verso il disastro. La percentuale di clienti esistenti che chiedono anche la copertura informatica è aumentata del 46% nel 2020, secondo il Government Accountability Office.
Anche prima dell’ascesa del ransomware, però, molti analisti sostenevano che la cyber assicurazione era particolarmente difficile a causa di un’assenza di dati storici rendendo difficile un corretto pricing del rischio. Il problema è diventato abbastanza grave al punto che sette grandi assicuratori in giugno hanno formato una società, CyberAcuView, per combinare le loro risorse di raccolta e analisi dei dati.
Ora, i tassi stanno aumentando notevolmente con l’aumento degli attacchi ransomware. Un consiglio scolastico del North Carolina, per esempio, ha recentemente approvato un piano di copertura per la responsabilità civile informatica da 22.318 dollari per un anno con un salto di ben il 235% rispetto allo scorso anno.
Ci sono altri fattori che rendono il quadro del settore negativo.
Alcuni sostengono che il settore delle assicurazioni informatiche è almeno in parte da biasimare per la crescente spesa che sta sostenendo per i pagamenti dei ransomware. Pagare gli aggressori mantiene il business del crimine e rende più probabili attacchi futuri.
“In troppi casi il modello assicurativo ha maggiori incentivi a pagare i criminali invece di puntare sulla prevenzione e l’efficienza dei sistemi di sicurezza”, ha sostenuto il mese scorso un documento della Brookings Institution. Un rappresentante della banda ransomware REvil ha detto che la banda prende di mira le aziende che hanno un’assicurazione, perché sono “i bocconi più gustosi”. Alcune compagnie hanno annunciato che non pagheranno più i riscatti – lo ha fatto Axa per il territorio francese – ma altre sono restie a incamminarsi su questa strada.
La U.S. Ransomware Task Force composta da esperti informatici dell’industria, del governo, del non-profit e del mondo accademico, ha raccomandato la creazione di fondi ad hoc per aiutare i governi locali che cercano di riprendersi dai cyber-attacchi e non hanno un’assicurazione, o detengono coperture insufficienti.
Il think tank Royal United Services Institute del Regno Unito ha raccomandato un maggiore intervento del governo, ad esempio attraverso partnership per scrivere standard minimi di sicurezza da includere nei trattati assicurativi.
La cyber assicurazione potrebbe prendere in considerazione l’apprendimento da altre forme di assicurazione. Anja Shortland, un professore del King’s College di Londra che ha studiato l’assicurazione del riscatto nelle polizze, ha detto che la pratica della “contrattazione dirompente” ha abbassato le richieste di pagamento dei rapitori. “I malviventi hanno un controllo molto chiaro delle trattative per il riscatto, e dicono ai loro clienti: “Questo è il modo in cui gestirete la cosa’”, ha detto Shortland. Ma “ non vi fate prendere dal panico. Sì, riceverete delle minacce davvero orribili, e potrebbero dire che vi staccheranno un orecchio e lo fanno sempre alla quinta telefonata. Finora non abbiamo ricevuto alcun orecchio, quindi non cedete”.
Fonte: Intermediachannel
Fonte: Intermediachannel