Assicurazione Cyber: Nessun lasciapassare

Di cosa si tratta davvero

La verità scomoda: una assicurazione cyber non sostituisce i controlli. Paga solo se gli obblighi definiti sono rispettati e il danno rientra nelle condizioni di polizza. Allo stesso tempo, le domande di underwriting diventano più rigorose, i sublimiti più stretti e le esclusioni più precise. Chi liquida tutto come burocrazia paga due volte: costi cyber più elevati durante l’incidente e una polizza che contribuisce poco nel momento critico. L’obiettivo deve essere integrare polizza e sicurezza IT in modo che i sinistri siano dimostrabili e i tempi di reazione si riducano.

Cosa è tipicamente assicurato – e cosa spesso no

Le polizze raggruppano diversi moduli. Sembra positivo, ma conta la clausola scritta in piccolo. Moduli tipici:

• Forensics e servizi di incident: Analisi esterna, contenimento, comunicazione.
• Interruzione di attività / perdita di profitto: Indennizzo per costi di fermo dopo periodi di carenza definiti.
• Responsabilità / violazioni dei dati: Costi di difesa, notifiche, determinate spese.
• Estorsione: Negoziazione/supporto; pagamento solo entro condizioni rigorose e limiti legali.

Altrettanto importanti sono i limiti. Esclusioni frequenti o condizioni restrittive riguardano, ad esempio, violazioni intenzionali, colpa grave, sistemi obsoleti senza disciplina di patching, violazioni di sanzioni, determinate multe (a seconda del quadro giuridico), nonché danni al di fuori di finestre temporali definite o senza approvazione preventiva dell’assicuratore. In altre parole: senza una pratica verificabile di risk management, molto resta teoria.

Cosa richiedono realmente oggi gli assicuratori

Gli underwriter non chiedono più “se”, ma “quanto bene” i controlli siano applicati nella pratica. Sono attesi, tra l’altro:

• MFA resistente al phishing su accessi amministrativi e critici; autenticazioni legacy disattivate.
• Incident playbook testato con percorsi decisionali chiari (24/7 raggiungibile, utilizzabile out-of-band).
• Backup offline/immutabili, test di ripristino documentati con prova di integrità.
• Patch management con SLO (sistemi esposti a internet in giorni), procedure di eccezione documentate.
• EDR/logging su endpoint/server critici con gestione degli allarmi tracciabile.
• Principi di accesso (least privilege, JIT per privilegi amministrativi), inventari aggiornati (sistemi e identità).
• Standard minimi per la supply chain: evidenze, canali di contatto, drill ad hoc con fornitori critici.

Questi requisiti non sono “nice to have” – sono la condizione di accesso a termini ragionevoli e alla liquidazione del sinistro.

Il punto centrale: prova invece di intenzione

Gli assicuratori liquidano sulla base di prove, non di buone intenzioni. Tre aspetti devono essere solidi:

1) Cronologia dell’incidente in minuti, non in opinioni.
Chi ha visto cosa, quando, deciso cosa, fatto cosa? Timestamp, ticket, log pager, snapshot forensi. Senza una cronologia completa, cala la credibilità – e con essa la probabilità di copertura.

2) Integrità del ripristino.
I backup hanno valore solo se si può dimostrare che sono invariati e funzionano sotto pressione temporale. Protocolli (checksum, durata del ripristino, approvazioni) devono essere archiviati centralmente.

3) Obblighi rispettati
Se la polizza prescrive MFA, termini di notifica o processi di approvazione, “quasi” equivale a “no”. Documentate che i requisiti esistevano prima del danno e sono stati rispettati durante l’incidente.

Errori tipici – e come evitarli

• Prima notifica tardiva: Molte condizioni richiedono una comunicazione tempestiva e strutturata (anche se non tutto è chiaro). Soluzione: notifica iniziale predefinita + elenco contatti, verificati legalmente.
• Pagamenti/decisioni autonome: Pagamento di riscatto, cambio di fornitore forense o PR senza approvazione possono compromettere la copertura. Soluzione: albero decisionale con controllo di approvazione.
• “Abbiamo MFA – tranne…”: Eccezioni su account privilegiati o accessi remoti sono punti di ingresso e motivi di rifiuto. Soluzione: applicare metodi resistenti al phishing senza eccezioni permanenti, limitare nel tempo e compensare.
• Backup senza drill: Nessun timestamp, nessun checksum, nessuna prova di integrità. Soluzione: esercitazione trimestrale di ripristino con tempi documentati.
• Supply chain senza evidenze: “Il nostro fornitore è sicuro” non basta. Soluzione: prove, protocolli di drill, contatto 24/7 – tutto archiviato.

Come integrare pragmaticamente polizza e operatività

Considerate la polizza parte della documentazione operativa. Tre elementi bastano per un impatto concreto:

A) Mappa della polizza nel runbook
Per ogni scenario (ransomware, compromissione e-mail, exploit web app), mezza pagina: termine di notifica, canale di contatto, regole di approvazione, limiti/sublimiti, do’s & don’ts. Questa pagina deve stare nella cartella incident – non solo nell’intranet.

B) Raccolta prove pre-strutturata
Cartelle standard con segnaposto: “Notifica iniziale”, “Log di contenimento”, “Snapshot forensi”, “Approvazioni assicuratore”, “Comunicazione”. Durante l’incidente, i team compilano in tempo reale. Obiettivo: niente lavoro investigativo a posteriori.

C) Allineamento trimestrale con underwriting
Non discutere nel sinistro se si è “abbastanza bravi”. Un breve confronto documentato (copertura MFA, SLO patch, tempi di ripristino, evidenze supply chain) crea chiarezza – e condizioni migliori.

Cosa misurare (e perché conta)

I KPI non sono un fine in sé; influenzano premio, franchigia e potere negoziale:

• Copertura MFA (resistente al phishing) su accessi privilegiati ed esposti esternamente.
• Conformità agli SLO di patch separata per sistemi esposti a internet/interni (incluse eccezioni documentate).
• Time-to-Contain e MTTR per criticità – dimostrabili tramite ticket e log pager.
• Tempo di ripristino & integrità dei due processi più critici, testati almeno annualmente.
• Fitness della supply chain: quota di partner critici con evidenze aggiornate/drill riusciti.
• Tempo di prima notifica ad assicuratore/autorità secondo le condizioni – nessuna stima intuitiva.

Più solidi sono questi numeri, più facile negoziare sublimiti, esclusioni e premi – e più probabile una liquidazione senza attriti.

Conclusione: la protezione nasce prima del danno

Una assicurazione cyber è sensata – come parte del risk management, non come sostituto. Funziona quando i controlli sono applicati, gli obblighi compresi e le prove pronte. Chi integra polizza, processi e tecnologia riduce i costi cyber prima ancora del primo euro di rimborso: decisioni più rapide, interruzioni più brevi, meno conflitti nella liquidazione. Tutto il resto è cosmetica costosa – e sulla cosmetica non si può contare in un incidente reale.

FAQ sul post del blog