Si segnala che l’IVASS ha pubblicato la lettera al mercato in oggetto, indirizzata agli intermediari assicurativi e riassicurativi e, per conoscenza, alle imprese preponenti, nella quale l’Istituto illustra gli esiti dell’indagine avviata il 25 luglio 2017 allo scopo di conoscere il livello di consapevolezza degli intermediari tradizionali (agenti e broker) con riguardo ai rischi insiti nell’uso di nuove tecnologie e di sistemi informatici, i presidi di prevenzione e protezione adottati ed individuare le azioni utili ad accrescere la “cyber security” aziendale.
L’indagine ha evidenziato margini di miglioramento sensibili nel grado di consapevolezza e nel conseguente livello di presidio dei “rischi cyber” da parte degli intermediari.
L’istituto ritiene che gli strumenti e le soluzioni operative adottate per la mitigazione del rischio necessitino di essere potenziati nella duplice direttrice della prevenzione e della protezione. In particolare, sul piano della prevenzione, l’Istituto raccomanda agli intermediari i seguenti interventi:
- L’adozione di specifiche policy sul “cyber risk”, che potranno essere individuate anche sulla base di linee guida definite con le rispettive Associazioni di categoria; è opportuno che tali policy:
- siano redatte all’esito di un’analisi approfondita dei processi e dei sistemi informatici in uso;
- individuino le misure idonee ad accrescere la “cyber security” aziendale;
- siano condivise con i propri collaboratori e dipendenti;
- siano sottoposte a revisione con cadenza almeno biennale; in ogni caso, in presenza di modifiche normative o per adeguarsi all’evolversi della tecnologia e ogni qual volta si verifichino “incidenti informatici” che comportino l’inaccessibilità, anche temporanea, ai dati e alle informazioni o la loro perdita anche parziale;
- abbiano contenuti e livelli di dettaglio commisurati alla complessità dell’attività aziendale e al grado di esposizione al rischio.
- L’accrescimento delle conoscenze informatiche degli intermediari e dei loro collaboratori e dipendenti. A tal fine, l’Istituto si attende che una quota del 20% del monte ore (ovvero 12 ore) di formazione biennale obbligatoria per l’aggiornamento professionale, ex articolo 7 del Regolamento IVASS n. 6 del 2 dicembre 2014, sia dedicata, a partire dal 2018, ai temi della sicurezza informatica.
Per quanto riguarda la protezione, al fine di offrire un adeguato livello di resilienza contro gli attacchi informatici, l’IVASS raccomanda di innalzare la sicurezza dei sistemi utilizzati (configurazione dei sistemi, accessi protetti, ecc.), aumentare la frequenza dei backup dei dati (almeno giornaliera), incrementare i sistemi di monitoraggio e il ricorso ai test antintrusione, nonché prevedere un piano di gestione di eventuali crisi.
L’adesione alle raccomandazioni indicate è ritenuta fondamentale per la mitigazione del “rischio cyber”. Al contempo, nella consapevolezza che lo stesso può essere attenuato ma non annullato, permanendo comunque un rischio residuo, l’Istituto auspica un ampliamento del ricorso allo strumento assicurativo, complementare al sistema dei presidi in essere. Tale ricorso è correlato allo sviluppo di uno specifico segmento di offerta assicurativa da parte delle Compagnie. Nell’individuazione delle concrete misure da adottare per un auto-potenziamento dei propri presidi – in un’ottica di proporzionalità tenuto conto della natura, delle dimensioni e della complessità dell’attività svolta (in relazione al portafoglio, alla struttura aziendale, alla quantità di dati trattati) – gli intermediari potranno valutare di avvalersi del supporto di iniziative e strumenti predisposti dalle Associazioni di categoria e posti a disposizione degli associati.
L’Istituto, entro il 2019, ripeterà l’indagine per valutare il grado di adesione alle misure suggerite e per misurare il livello di evoluzione del settore in materia di sicurezza informatica e di resilienza agli attacchi informatici.