GDPR, rischio multe salate ma le assicurazioni le copriranno?

Scatterà gradualmente il regime sanzionatorio del nuovo regolamento Ue, ma per le aziende resta da capire se in futuro sarà possibile sottoscrivere cyberpolizze ad hoc contro le multe del nuovo regolamento Ue sulla Data Protection.

Le aziende sono sempre più consapevoli dei rischi connessi al mancato rispetto della Data Protection e delle nuove regole europee in materia di Data Breach, e il GDPR, che entra in vigore fra due giorni, darà certamente una grossa spinta al mercato assicurativo. Resta da capire se in futuro le cyber polizze assicurative potranno coprire anche le sanzioni potenzialmente salatissime previste dal GDPR, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale, se i ricavi aziendali sono più elevati. Oggi in Italia non si può.

Polizze contro il cyber rischio in crescita

Un’analisi della Reuters mostra che le assicurazioni sono in fibrillazione e che il nuovo regolamento Ue sulla Data Protection sarà un traino non certo secondario per spingere la domanda di polizze contro i rischi cyber, già in rampa di lancio per coprire le aziende dal pericolo sempre più concreto di cyberattacchi e virus, basti pensare a quelli più virulenti dello scorso anno come WannaCry e NotPetya.

Le polizze cyber possono coprire diversi aspetti, che vanno dagli interventi di riparazione dei sistemi IT dopo un data breach, passando per le compensazioni elargite per la perdite di business legata ad una perdita o furto di dati, fino ai costi legali e i danni di immagine per incidenti o attacchi.

Lo scorso anno le assicurazioni che fanno capo ai Lloyd’s di Londra hanno registrato una crescita significativa del segmento cyber insurance, che in Europa potrebbe raggiungere 2 miliardi di dollari annui di polizze entro il 2020, in parte dovute al nuovo regolamento GDPR.

I maggiori player del mercato sono AIG Zurich, insieme agli assicuratori dei Loyd’s Beazley e Hiscox.

E in Italia?

In Italia, secondo il report di AON e DLA Piper, eventuali sanzioni del GDPR non sono assicurabili. Le sanzioni amministrative non sono assicurabili perché si perderebbe l’effetto deterrente delle multe, se il trasgressore potesse trasferire il peso economico sull’assicuratore.

E’ possibile, al contrario, assicurarsi per i costi legati alle indagini su un incidente, sui costi di difesa, sulle cause di terzi (clienti, fornitori, detentori dei dati), per le conseguenze di una perdita o di un furto di dati, per i costi legati alla mitigazione di un evento di data breach, comprese le spese in pubbliche relazioni. L’assicuratore non risponderà del pagamento dell’indennità se la perdita sarà stata causata intenzionalmente dall’assicurato.

Priorità alla compliance

Ma per il momento la priorità delle autorità europee è che le aziende si conformino al nuovo regolamento. “Non c’è nessun riferimento nel GDPR che permetta o proibisca coperture assicurative contro le sanzioni che possano essere elevate elevate dall’ICO (il Garante del Regno Unito) per violazioni del GDPR”, ha detto alla Reuters un portavoce dell’ICO (Information Comissioner’s Office di Londra).

D’altro canto, il nuovo regolamento Ue sulla data Protection rende più facile a gruppi di persone l’avvio di cause collettive (in stile class action) per mancato adeguamento alle nuove regole sulla Data protection, il che potrebbe spingere le aziende a dotarsi di polizze più serie per difendersi.

In sintesi, le aziende al momento faranno bene a concentrarsi sulla compliance e sull’adeguamento al nuovo regolamento, tanto più che il regime sanzionatorio sarà introdotto in maniera graduale, ma viste le premesse in futuro il mercato delle cyber assicurazioni potrebbe certamente fiorire.

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL