Con la lettera al mercato dello scorso 29 dicembre 2017, l’Ivass (Istituto per la vigilanza sulle assicurazioni) ha pubblicato gli esiti dell’indagine avviata lo scorso luglio 2017 sul grado di consapevolezza di agenti e broker assicurativi circa i rischi derivanti dall’uso di tecnologie e sistemi informatici sempre più sofisticati, individuando altresì le misure utili per accrescere la cyber security aziendale.

A tal fine, con la collaborazione delle principali Associazioni di categoria degli intermediari, è stato sottoposto un questionario ad un campione sufficientemente rappresentativo di iscritti. Tale questionario richiamava l’attenzione degli intermediari sull’importanza di una corretta gestione dei dati trattati mediante sistemi informatici e sul ricorso ad adeguati standard di sicurezza.

Gli esiti dell’indagine hanno rivelato che, sebbene vi sia un generale livello di consapevolezza dell’esistenza del rischio informatico e siano stati adottati sistemi di protezione dei dati da più dell’80% dei partecipanti, il grado di percezione dell’importanza di effettuare monitoraggi periodici dei sistemi per intercettare eventuali malware e accessi non autorizzati è di gran lunga minore (il 78% delle agenzie e il 50% dei broker non dispone di sistemi di monitoraggio).

Inoltre, l’Ivass ha rilevato la mancanza di una policy di gestione del rischio informatico formalizzata in un documento scritto (su questo aspetto le risposte positive non hanno superato il 20%), nonché l’esiguità delle iniziative formative verso i collaboratori sulle modalità da seguire per prevenire il rischio cyber. Scarsa attenzione è altresì mostrata nei confronti del Reg. Europeo n. 2016/679 in materia di protezione dei dati personali (avendo risposto positivamente il 30% degli agenti, il 50% dei broker e il 70% dei grandi broker).

Solo il 40% dei grandi broker è ricorso all’uso di polizze assicurative a protezione del rischio informatico, e, inoltre, il 15% degli intermediari, nonché il 50% dei grandi broker, ha subito almeno un attacco cyber.

Pertanto, al fine di promuovere un miglioramento nella prevenzione e protezione, l’Ivass raccomanda:

  • l’adozione di policy sul cyber risk, e la verifica, con cadenza almeno semestrale, della conformità dell’operatività aziendale alle previsioni contenute nella policy adottata;
  • che a partire dal 2018, per i collaboratori e dipendenti, una quota del 20% del monte ore biennale di aggiornamento professionale sia dedicata alla sicurezza informatica;
  • un potenziamento dei sistemi di monitoraggio, di backup e test antintrusione;
  • un aggiornamento costante nell’analisi delle vulnerabilità aziendali;
  • un ampliamento del ricorso allo strumento assicurativo per la copertura del rischio cyber.

Entro il 2019 l’Ivass ripeterà l’indagine per valutare il grado di adesione alle misure suggerite.