Nel corso del 2018, abbiamo visto entrare in vigore numerosi articoli legislativi sulla violazione dei dati (“data breach”) . Tuttavia, sebbene tutta questa legislazione sia indubbiamente importante di per sé, i broker e i loro clienti non dovrebbero vedere l’assicurazione cyber esclusivamente per questo scopo. A febbraio, il governo australiano ha promulgato la legge sulla violazione dei dati notificabili. A maggio, abbiamo visto l’introduzione del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). A giugno è entrata in vigore la legge sulla violazione dei dati in Alabama del 2018, il che significa che tutti e 50 gli stati negli Stati Uniti dispongono ora di leggi sulla notifica di violazione dei dati. E novembre il governo canadese introdurrà i requisiti di notifica e tenuta dei registri come parte della legge sulla privacy digitale.
Con tutte queste leggi che entrano in vigore, è comprensibile che i broker abbiano prestato molta attenzione alla violazione dei dati dei clienti e alle esposizioni alla privacy. Tuttavia, sebbene tutta questa legislazione sia indubbiamente importante di per sé, i broker e i loro clienti non dovrebbero vedere l’assicurazione cyber esclusivamente attraverso questo obiettivo.
Ci sono un paio di ragioni per questo. Per cominciare, molte aziende non raccolgono o trattano i dati dei consumatori, quindi l’argomento secondo cui questa legislazione li riguarda e che dovrebbero acquistare l’assicurazione cyber per attenuare questo rischio non è quello che risuonerà. L’assicurazione CYBER non riguarda solo la copertura delle perdite associate a una violazione dei dati. È molto più ampia di questo e fornisce una copertura per tutta una serie di rischi relativi al cyber, che vanno dal furto di fondi e all’estorsione cibernetica al danno di sistema e all’interruzione dell’attività. In effetti, quasi un terzo dei sinistri cyber sono il risultato del furto di fondi, che rappresenta un rischio significativo per quasi tutte le attività, indipendentemente dalla quantità di dati che detengono.
In secondo luogo, per le organizzazioni che raccolgono o trattano dati dei consumatori e acquistano l’assicurazione cibernetica come parte della loro strategia di gestione del rischio, vi è il rischio di concentrarsi sulle violazioni dei dati escludendo qualsiasi altra cosa. Sfortunatamente, abbiamo visto un certo numero di organizzazioni acquistare i loro limiti di polizza in base al costo stimato di una violazione dei dati per la loro attività (cancellando il numero di record che detengono), e questo può lasciarli tristemente sottovalutati. Ad esempio, abbiamo recentemente affrontato un sinistro in cui un ospedale è caduto vittima di un attacco distruttivo di malware sui loro sistemi e ha incassato $ 7,1 milioni in danni al sistema e costi di interruzione dell’attività, ma avevano solo acquistato un limite di $ 5 milioni perché si erano concentrati principalmente sul impatto di una violazione dei dati sulla loro attività.
Il messaggio chiave, quindi, è che i broker dovrebbero considerare l’intera gamma di rischi informatici che i loro clienti potrebbero dover affrontare quando stanno valutando o acquistando l’assicurazione cibernetica, piuttosto che concentrarsi strettamente sulle violazioni dei dati.
