Sinistri.Blog

Categoria: novelle

  • IL DPO: LE RESPONSABILITA’ PROFESSIONALI

    Le responsabilità fondamentali del DPO sono le stesse indipendentemente dal fatto che sia interno o esterno all’organizzazione. Il GDPR definisce in modo chiaro i compiti e le responsabilità del Data Protection Officer, che rimangono identici in entrambi i casi. Le responsabilità principali includono:

    • Informare e fornire consulenza all’organizzazione e ai dipendenti sugli obblighi derivanti dal GDPR e altre normative sulla protezione dei dati
    • Monitorare la conformità al GDPR e alle politiche interne sulla protezione dei dati
    • Fornire pareri sulle valutazioni d’impatto sulla protezione dei dati (DPIA)
    • Cooperare con l’autorità di controllo (Garante Privacy)
    • Fungere da punto di contatto per l’autorità di controllo e per gli interessati

    La differenza principale non riguarda le responsabilità, ma piuttosto l’inquadramento contrattuale e operativo:

    • Il DPO interno opera come dipendente dell’organizzazione, con un rapporto di lavoro subordinato
    • Il DPO esterno agisce sulla base di un contratto di servizi professionali

    In entrambi i casi, il DPO deve agire in modo indipendente, non ricevere istruzioni sull’esecuzione dei propri compiti, riferire direttamente ai vertici dell’organizzazione e non essere penalizzato per lo svolgimento delle proprie funzioni.

    L’efficacia del DPO dipende più dalle sue competenze, dalla sua autonomia e dall’autorità che gli viene conferita all’interno dell’organizzazione che dal fatto di essere interno o esterno. Viene da chiedersi se il rapporto di lavoro subordinato non può essere considerato come una riduzione di responsabilità? in fondo c’è sempre un datore di lavoro? Il rapporto di lavoro subordinato del DPO interno potrebbe teoricamente creare una tensione con il requisito di indipendenza previsto dal GDPR. Il regolamento affronta esplicitamente questa potenziale contraddizione stabilendo che:

    1. Il DPO, sia interno che esterno, deve poter operare in modo indipendente
    2. Non deve ricevere istruzioni sull’esecuzione dei propri compiti
    3. Deve riferire direttamente ai vertici dell’organizzazione
    4. Non può essere rimosso o penalizzato per l’esecuzione dei propri compiti

    Però non si può negare la possibile esistenza di una tensione intrinseca quando un DPO è dipendente dell’azienda che dovrebbe monitorare. Il dipendente potrebbe sentirsi condizionato nel contraddire il proprio datore di lavoro o nel segnalare problematiche significative. Per questo motivo, molti esperti ritengono che un DPO esterno possa garantire maggiore indipendenza nella pratica, essendo meno vulnerabile a pressioni interne e avendo un grado di autonomia maggiore. Un professionista esterno rischia principalmente la perdita del contratto, ma probabilmente ha altri clienti e quindi una minore dipendenza economica da una singola organizzazione. D’altra parte, il DPO interno conosce meglio l’organizzazione e potrebbe essere più efficace nell’individuare e risolvere le problematiche, se gli viene garantita la giusta autonomia. Il GDPR riconosce questa tensione ma opta per garantire l’indipendenza tramite tutele specifiche piuttosto che vietare completamente la figura del DPO interno.

    Vediamo le “criticità” nell’ambito delle attività del DPO, possiamo intendere situazioni problematiche o eventi dannosi che possono verificarsi durante lo svolgimento del suo ruolo. Ecco alcuni esempi concreti:

    Errori di valutazione e consulenza:

    • Valutazione errata sulla necessità di condurre una DPIA (Valutazione d’impatto sulla protezione dei dati)
    • Consulenza inadeguata sulla base giuridica per il trattamento dei dati
    • Interpretazione errata dei requisiti normativi che porta a non conformità

    Inadempienza nei compiti di monitoraggio:

    • Mancata identificazione di violazioni di dati in corso
    • Omissione nel rilevare trattamenti non conformi al GDPR
    • Inadeguata supervisione delle misure di sicurezza implementate

    Gestione inadeguata delle violazioni dei dati:

    • Ritardo nella notifica di data breach all’autorità di controllo (oltre le 72 ore)
    • Valutazione errata della gravità di una violazione dei dati
    • Inadeguata documentazione delle violazioni dei dati

    Conflitti di interesse:

    • Per un DPO interno, assumere decisioni sul trattamento dei dati anziché limitarsi a fornire consulenza
    • Trovarsi in situazioni in cui gli obiettivi aziendali entrano in conflitto con gli obblighi di protezione dei dati

    Problemi di comunicazione:

    • Incapacità di articolare efficacemente i rischi ai vertici dell’organizzazione
    • Comunicazione inadeguata con gli interessati riguardo i loro diritti
    • Gestione inefficace delle richieste di accesso ai dati

    Casi specifici con impatto significativo:

    • Non riuscire a prevenire una massiccia violazione dei dati che porta a sanzioni elevate
    • Fornire pareri che portano a trattamenti illegittimi di dati sensibili
    • Omettere di segnalare criticità che poi causano danni reputazionali all’organizzazione

    Questi esempi mostrano come il ruolo del DPO comporti responsabilità significative, e come eventuali carenze nell’adempimento dei suoi compiti possano avere conseguenze tangibili sia per l’organizzazione sia per gli interessati i cui dati vengono trattati.

  • IL DPO: QUADRO NORMATIVO GENERALE E FIGURA PROFESSIONALE

    Uno degli aspetti che destano sempre maggiore preoccupazione ed oggetto di discussioni per ripetuti episodi di improprio utilizzo per l’assoluta importanza che riveste nella vita, sia personale che in quella lavorativa a tutti i livelli, è quello della protezione dei dati personali, esempi di abusi sono all’ordine del giorno. Per queste ragioni l’Unione Europea ha da tempo cantierato precise disposizioni di natura cogente e profilato la figura del DPO.

    In Italia, l’attività del Data Protection Officer (DPO) è regolata principalmente dal Regolamento Generale sulla Protezione dei Dati (GDPR), che è il Regolamento UE 2016/679, direttamente applicabile in tutti gli Stati membri dell’Unione Europea, inclusa l’Italia.
    A livello nazionale, la normativa specifica che integra il GDPR in Italia è il Decreto Legislativo n. 196/2003 (Codice in materia di protezione dei dati personali), come modificato dal Decreto Legislativo n. 101/2018, che ha armonizzato la normativa nazionale con le disposizioni del GDPR.
    Il D.lgs. 101/2018 ha infatti adeguato il preesistente Codice Privacy italiano alle disposizioni del GDPR, creando un quadro normativo integrato. Questo decreto non contiene disposizioni specifiche aggiuntive sul DPO rispetto a quelle già previste dal GDPR, ma conferma e integra nel sistema italiano le norme europee relative a questa figura.

    Le disposizioni specifiche sul DPO si trovano principalmente negli articoli 37, 38 e 39 del GDPR, che definiscono rispettivamente:
    • I casi in cui è obbligatoria la designazione del DPO
    • La posizione del DPO all’interno dell’organizzazione
    • I compiti del DPO
    Queste norme sono direttamente applicabili in Italia senza necessità di ulteriori implementazioni legislative nazionali.

    Il Data Protection Officer è quindi una figura professionale introdotta dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Questa figura ha un ruolo cruciale nella gestione della conformità alla protezione dei dati all’interno delle organizzazioni.
    Ecco gli aspetti principali del DPO:
    • È obbligatorio per autorità pubbliche, organizzazioni che effettuano monitoraggio regolare e sistematico degli individui su larga scala, e organizzazioni che trattano dati sensibili su larga scala.
    • Le responsabilità chiave includono:
    o Informare e consigliare l’organizzazione sui suoi obblighi in materia di protezione dei dati
    o Monitorare la conformità al GDPR e alle politiche interne
    o Fornire consulenza sulla valutazione d’impatto sulla protezione dei dati
    o Cooperare con l’autorità di controllo (come il Garante Privacy in Italia)
    o Fungere da punto di contatto per l’autorità di controllo
    • Il DPO deve avere competenze professionali, in particolare conoscenza specialistica della normativa sulla protezione dei dati e delle pratiche in materia.
    • Deve operare in modo indipendente, riferire direttamente ai vertici dell’organizzazione e non può essere penalizzato per l’esecuzione dei propri compiti.

    Il Data Protection Officer (DPO) può essere sia interno che esterno all’organizzazione. Il GDPR (Regolamento Generale sulla Protezione dei Dati) permette espressamente entrambe le opzioni.
    Ecco le caratteristiche principali di ciascuna soluzione:
    DPO interno:
    • È un dipendente dell’organizzazione
    • Conosce già la struttura aziendale e i processi interni
    • Può dedicare tempo pieno al ruolo o combinarlo con altre responsabilità (purché non ci siano conflitti d’interesse)
    • L’organizzazione deve garantirne l’indipendenza e l’assenza di conflitti d’interesse
    DPO esterno:
    • È un professionista o un’organizzazione esterna ingaggiata tramite un contratto di servizi
    • Offre una prospettiva indipendente e imparziale
    • Può servire più organizzazioni contemporaneamente
    • Spesso porta competenze specialistiche ed esperienza diversificata
    • Può essere vantaggioso per organizzazioni più piccole che non possono giustificare un ruolo a tempo pieno

    In entrambi i casi, il DPO deve avere le competenze professionali necessarie e la conoscenza specialistica della normativa sulla protezione dei dati, oltre alla capacità di svolgere i compiti richiesti dal GDPR.
    La scelta tra DPO interno o esterno dipende da vari fattori, tra cui le dimensioni dell’organizzazione, la complessità delle operazioni di trattamento dei dati, le risorse disponibili e la necessità di competenze specialistiche.

  • Addetti alla sicurezza e incidenti sul lavoro in Italia oggi – Il punto di vista assicurativo

    È d’obbligo ricordarvi che, da un punto di vista assicurativo, per un addetto alla sicurezza (RSPP o ASPP) in Italia, ci sono diverse coperture che possono risultare fondamentali per tutelarsi:
    1. Assicurazione per responsabilità civile professionale: copre i danni patrimoniali che potrebbero derivare da errori od omissioni nell’esercizio dell’attività professionale. È particolarmente importante perché protegge il patrimonio personale del professionista in caso di richieste di risarcimento.
    2. Tutela legale: copre le spese legali sostenute per la difesa in procedimenti civili o penali connessi all’attività professionale. Considerando che i procedimenti legali per infortuni sul lavoro possono essere lunghi e costosi, questa copertura è essenziale.
    3. Polizza infortuni personale: particolarmente utile se l’addetto alla sicurezza svolge sopralluoghi o attività in cantieri o ambienti a rischio.
    4. Copertura per le spese di consulenza: alcune polizze specializzate coprono le spese per consulenti tecnici di parte in caso di controversie.
    5. Estensione retroattiva: importante per coprire eventuali richieste di risarcimento relative a fatti avvenuti prima della sottoscrizione della polizza.
    6. Copertura postuma: tutela il professionista anche dopo la cessazione dell’attività per fatti avvenuti durante il periodo di validità della polizza.
    7. Assicurazione per violazione della privacy: utile considerando che l’RSPP gestisce dati sensibili relativi alla salute dei lavoratori.

    Nel valutare una polizza, l’addetto alla sicurezza dovrebbe prestare particolare attenzione a:
    • Massimali adeguati all’attività svolta
    • Esclusioni e limitazioni specifiche
    • Franchigie e scoperti
    • Estensione territoriale della copertura

    La scelta della polizza dovrebbe essere personalizzata in base al tipo di attività svolta, ai settori di intervento (alcuni, come l’edilizia o l’industria chimica, comportano rischi maggiori) e alle dimensioni delle aziende seguite. In caso di incidente sul lavoro, la ripartizione delle responsabilità tra datore di lavoro e addetto alla sicurezza segue principi specifici definiti dalla normativa italiana (D. Lgs. 81/2008) e dalla giurisprudenza consolidata.

    Responsabilità del datore di lavoro:
    1. Responsabilità primaria: Il datore di lavoro ha responsabilità primaria e finale per la sicurezza, essendo il soggetto che organizza l’attività e ha potere decisionale e di spesa.
    2. Obblighi non delegabili:
    o Valutazione dei rischi e redazione del DVR
    o Nomina del RSPP
    3. Obbligo di attuazione: Deve implementare le misure di sicurezza necessarie, anche quando suggerite dal RSPP.
    4. Obbligo di vigilanza: Deve verificare che le norme di sicurezza vengano rispettate dai lavoratori.
    5. Posizione di garanzia: Ha una posizione di garanzia rispetto all’incolumità dei lavoratori che non può trasferire completamente.

    Responsabilità dell’addetto alla sicurezza (RSPP):
    1. Responsabilità consultiva: Principalmente di natura tecnico-consultiva, non avendo poteri decisionali diretti.
    2. Responsabilità per colpa professionale: Risponde per errori tecnici nella valutazione dei rischi o per omissioni nelle segnalazioni.
    3. Limite di competenza: La responsabilità è limitata alla sfera delle sue competenze tecniche e dei poteri effettivamente conferitigli.
    4. Obbligo di segnalazione: Deve segnalare tempestivamente e formalmente al datore di lavoro le criticità rilevate.

    Concorso di responsabilità:
    Nella maggior parte dei casi di infortunio, si configura un concorso di responsabilità in cui:
    • Il datore di lavoro risponde per non aver adottato le misure necessarie o per non aver vigilato adeguatamente
    • L’RSPP può rispondere per errate valutazioni tecniche, mancata identificazione di rischi evidenti o omessa segnalazione

    La giurisprudenza ha stabilito che l’RSPP può essere chiamato a rispondere penalmente insieme al datore di lavoro quando:
    • Ha sottovalutato o non ha rilevato rischi evidenti
    • Non ha proposto misure adeguate
    • Ha fornito consulenza tecnicamente errata

    Il peso delle rispettive responsabilità viene valutato caso per caso considerando il nesso causale tra le omissioni/errori e l’evento dannoso, nonché il grado di prevedibilità dell’evento stesso. Per svolgere l’attività di addetto alla sicurezza (ASPP) o responsabile del servizio di prevenzione e protezione (RSPP) in Italia, sono previsti specifici requisiti formativi stabiliti dal D.Lgs. 81/2008 e dal successivo Accordo Stato-Regioni del 7 luglio 2016. Ecco i requisiti:
    Titoli di studio richiesti:
    1. Requisito base: Diploma di istruzione secondaria superiore (diploma di scuola superiore).
    2. Titoli preferenziali (che consentono esenzioni parziali dai corsi di formazione):
    o Laurea o laurea magistrale in ingegneria della sicurezza e protezione
    o Laurea in tecniche della prevenzione nell’ambiente e nei luoghi di lavoro
    o Altre lauree e lauree magistrali in ambito tecnico-scientifico
    Formazione obbligatoria: Oltre al titolo di studio, è necessario completare percorsi formativi specifici:
    1. Per ASPP:
    o Modulo A: corso base di 28 ore
    o Modulo B: corso di specializzazione correlato al settore ATECO dell’azienda (da 48 a 96 ore)
    2. Per RSPP (oltre ai moduli A e B):
    o Modulo C: corso di 24 ore su aspetti gestionali e relazionali
    Aggiornamento professionale:
    • Per ASPP: 20 ore di aggiornamento ogni 5 anni
    • Per RSPP: 40 ore di aggiornamento ogni 5 anni

    Il mancato assolvimento degli obblighi di aggiornamento professionale può comportare la parziale o totale operatività della polizza di Rc professionale. Casi particolari:
    • Per i datori di lavoro che intendono svolgere direttamente il ruolo di RSPP sono previsti percorsi formativi specifici (16, 32 o 48 ore in base alla classe di rischio dell’azienda).
    • Per alcuni settori ad alto rischio (centrali termoelettriche, impianti nucleari, aziende a rischio di incidente rilevante, ecc.) sono richiesti ulteriori requisiti di esperienza professionale.
    È importante notare che i requisiti possono variare leggermente in base al settore di attività e alla classe di rischio dell’azienda. Inoltre, la normativa prevede che la formazione debba essere erogata da enti accreditati.

    Per il trend degli incidenti sul lavoro in Italia negli ultimi 5 anni (fino alla mia data di conoscenza di ottobre 2024), possiamo fornire un quadro generale basato sui dati INAIL disponibili. Nel periodo 2019-2024, l’andamento degli incidenti sul lavoro in Italia ha mostrato diverse fluttuazioni influenzate da fattori significativi:
    • 2019-2020: Si è verificato un calo statistico degli infortuni, ma questo è stato principalmente dovuto alla riduzione delle attività lavorative durante la pandemia di COVID-19, con molte attività sospese o in smart working.
    • 2021: Con la ripresa delle attività produttive post-lockdown, si è registrato un aumento degli infortuni rispetto al 2020, ma con numeri ancora inferiori al periodo pre-pandemico.
    • 2022-2023: Si è verificata una tendenza alla normalizzazione con un progressivo ritorno ai livelli pre-pandemici, con particolare preoccupazione per i settori dell’edilizia (anche a causa dell’incremento dell’attività legata al Superbonus 110%), agricoltura e logistica.
    • 2023-2024: I dati hanno mostrato una particolare criticità per gli infortuni mortali, specialmente nei cantieri e in agricoltura.

    Alcuni elementi caratterizzanti del periodo esaminato sono i seguenti:
    1. Le statistiche hanno evidenziato una maggiore incidenza di infortuni tra i lavoratori con minore esperienza o contratti temporanei
    2. Gli incidenti in itinere (durante il tragitto casa-lavoro) hanno rappresentato una percentuale significativa del totale
    3. È aumentata l’attenzione mediatica e sociale sul fenomeno delle “morti bianche”, spingendo verso un rafforzamento dei controlli
    4. Si è registrato un incremento delle malattie professionali denunciate, indicando una maggiore consapevolezza dei lavoratori sui propri diritti

    Le variazioni regionali sono rimaste significative, con regioni a più alta industrializzazione che hanno registrato numeri assoluti più elevati, ma con incidenze relative (rapportate al numero di lavoratori) spesso maggiori in aree con minor rispetto delle normative. Gli incidenti sul lavoro in Italia, analizzati per fasce d’età negli ultimi anni disponibili (fino a ottobre 2024), mostrano pattern specifici che riflettono diverse dinamiche del mercato del lavoro e fattori di rischio associati all’età. Ecco una panoramica:
    Giovani lavoratori (fino a 24 anni)
    • Incidenza elevata di infortuni nei primi anni di esperienza lavorativa
    • Maggiore frequenza in settori come l’edilizia, la ristorazione e il manifatturiero
    • Spesso correlati a carenze formative e minor esperienza nelle procedure di sicurezza
    • Più comuni nei contratti di apprendistato e a termine
    Lavoratori di età media (25-45 anni)
    • Rappresentano la fascia con il maggior numero assoluto di infortuni, essendo la più numerosa nel mercato del lavoro
    • Incidenti spesso legati a ritmi di lavoro intensi e multitasking
    • Maggiore presenza in settori ad alto rischio come costruzioni, industria e trasporti
    • Gli infortuni in itinere sono particolarmente significativi in questa fascia d’età
    Lavoratori maturi (46-55 anni)
    • Incidenti meno frequenti ma spesso con prognosi più lunghe
    • Maggiore incidenza di malattie professionali rispetto agli infortuni acuti
    • Problematiche muscolo-scheletriche più comuni
    • Recupero post-infortunio generalmente più lungo rispetto ai lavoratori più giovani
    Lavoratori senior (oltre 55 anni)
    • Minore incidenza di infortuni ma maggiore gravità quando avvengono
    • Tasso di mortalità più elevato rispetto alle altre fasce d’età
    • Problematiche legate spesso all’obsolescenza delle competenze su nuove procedure di sicurezza
    • Maggiore vulnerabilità fisica in caso di cadute e incidenti simili

    Le statistiche hanno mostrato che l’innalzamento dell’età pensionabile negli ultimi anni ha portato ad un aumento degli infortuni nella fascia più anziana della popolazione lavorativa, con particolare riguardo ai lavori fisicamente impegnativi. I dati INAIL hanno evidenziato anche differenze significative tra settori, con industrie ad alto rischio che mostrano pattern diversi rispetto al terziario avanzato o alla pubblica amministrazione.

  • Addetti alla sicurezza e incidenti sul lavoro in Italia oggi – considerazioni generali

    In questo periodo non si fa che disquisire su cyber risk, catnat, m&a mettendo in disparte difficili argomenti molto più importanti e che possono essere considerati al fondamento delle nostre professionalità che sarebbero quelle di assicurare le criticità connesse alle attività produttive. Sembra di vivere in un contesto di rassegnato fatalismo mentre uno sviluppo sostenibile è composto di primari elementi, tra i quali la prevenzione degli incidenti sui luoghi di lavoro.

    E’ un dato di fatto che, nel nostro piccolo, circa il cinquanta (50%) per cento dei questionari che riceviamo dichiarino situazioni imbarazzanti: il professionista ultrasettantenne mai assicurato che decide di punto in bianco di acquistare una polizza (???), quello che chiede una copertura assicurativa esclusivamente se riceve una richiesta espressa da un suo committente pena la mancata assegnazione dell’incarico, altro caso quello che vuole garanzie solo per una parte della sua attività… ovviamente quella più rischiosa. Un deprimente bestiario di casi “umani”.

    Recentemente ci è pervenuta una richiesta per assicurare un addetto alla sicurezza; un quarantacinquenne, libero professionista dal 2014, che svolge la sua attività su siti di varie tipologie e che, naturalmente, mai stato assicurato fino ad oggi. Ben undici anni di lavoro senza la minima cautela civile e/o legale per una delle professioni più pericolose! Ecco, questa ennesima situazione ha dato l’abbrivio ad alcune considerazioni delle quali desideriamo parteciparvi.

    In base ai dati dell’INAIL (Istituto Nazionale per l’Assicurazione contro gli Infortuni sul Lavoro), negli ultimi anni l’Italia ha continuato a registrare un numero significativo di incidenti sul lavoro, alcuni dei quali purtroppo mortali. Le statistiche hanno mostrato che:
    • I settori più colpiti includono l’edilizia, l’agricoltura, l’industria manifatturiera e i trasporti
    • Le cause principali degli incidenti sono spesso legate a carenze nelle misure di sicurezza, formazione inadeguata, e in alcuni casi il mancato rispetto delle normative
    • In diverse regioni, specialmente in quelle a maggiore concentrazione industriale, si sono registrati numeri più elevati di incidenti

    Il tema della sicurezza sul lavoro è diventato sempre più centrale nel dibattito pubblico italiano, con richieste di maggiori controlli, sanzioni più severe per chi non rispetta le norme, e una cultura della prevenzione più diffusa. Per dati più aggiornati e specifici sugli incidenti sul lavoro in Italia relativi al 2025, vi consigliamo di consultare il sito ufficiale dell’INAIL o altri enti governativi che si occupano di statistiche sul lavoro.

    Con riferimento funzionale alle nostre attività assicurative: Il ruolo degli addetti alla sicurezza (o RSPP – Responsabili del Servizio di Prevenzione e Protezione) è fondamentale nella prevenzione degli incidenti sul lavoro in Italia. Ecco le loro principali funzioni e responsabilità:
    1. Valutazione dei rischi: Identificare e analizzare i potenziali pericoli nell’ambiente di lavoro, documentandoli nel Documento di Valutazione dei Rischi (DVR).
    2. Elaborazione di misure preventive: Sviluppare protocolli e procedure di sicurezza specifici per ogni contesto lavorativo.
    3. Formazione del personale: Organizzare e condurre corsi di formazione obbligatori sulla sicurezza, assicurandosi che tutti i lavoratori conoscano i rischi e le procedure corrette.
    4. Gestione delle emergenze: Preparare piani di evacuazione e risposta alle emergenze, coordinando le esercitazioni periodiche.
    5. Sorveglianza e controllo: Monitorare regolarmente il rispetto delle norme di sicurezza e l’uso corretto dei dispositivi di protezione individuale (DPI).
    6. Consulenza alla direzione: Consigliare il datore di lavoro sugli investimenti necessari per migliorare la sicurezza.
    7. Indagini sugli incidenti: Analizzare le cause di eventuali incidenti o “near miss” per prevenire il ripetersi di situazioni simili.
    8. Aggiornamento normativo: Mantenersi informati sulle evoluzioni legislative in materia di sicurezza sul lavoro.
    9. Coordinamento con enti esterni: Collaborare con ASL, Ispettorato del Lavoro e altri enti di controllo durante le ispezioni.
    10. Promozione della cultura della sicurezza: Lavorare per sviluppare un atteggiamento proattivo verso la sicurezza in tutta l’organizzazione.

    Un efficace sistema di prevenzione richiede che gli addetti alla sicurezza abbiano non solo competenze tecniche adeguate, ma anche capacità comunicative per coinvolgere attivamente tutti i lavoratori nella creazione di un ambiente di lavoro più sicuro. Le responsabilità specifiche degli addetti alla sicurezza (ASL/RSPP) in Italia sono ben definite dalla normativa, in particolare dal D.Lgs. 81/2008 (Testo Unico sulla Sicurezza). Ecco le principali responsabilità di queste figure:
    1. Responsabilità tecniche:
    _Individuare e valutare correttamente i fattori di rischio
    _Elaborare misure preventive e protettive adeguate
    _Proporre programmi di informazione e formazione
    _Verificare l’idoneità dei DPI (Dispositivi di Protezione Individuale)
    _Aggiornare il DVR (Documento Valutazione Rischi) quando necessario
    2. Responsabilità legali:
    _Rispondere professionalmente della correttezza delle valutazioni effettuate
    _Segnalare tempestivamente al datore di lavoro le carenze riscontrate
    _Documentare adeguatamente tutte le attività svolte
    3. Responsabilità civili e penali:
    _In caso di infortuni, l’addetto alla sicurezza può essere chiamato a rispondere civilmente e/o penalmente se viene dimostrato che non ha adeguatamente svolto i suoi compiti
    _La responsabilità è commisurata al ruolo e alle deleghe ricevute
    4. Responsabilità di consulenza:
    _Fornire supporto tecnico al datore di lavoro
    _Partecipare alle consultazioni in materia di tutela della salute
    5. Responsabilità di vigilanza:
    _Controllare l’applicazione delle misure di sicurezza
    _Verificare il rispetto delle procedure di emergenza

    È importante sottolineare che, sebbene l’addetto alla sicurezza abbia responsabilità significative, la responsabilità principale e ultima della sicurezza sul lavoro rimane del datore di lavoro. L’addetto alla sicurezza ha un ruolo di supporto tecnico e consulenziale, ma non può sostituirsi al datore di lavoro nelle sue responsabilità legali fondamentali. La delega a un professionista della sicurezza da parte del datore di lavoro non costituisce generalmente un’esimente completa dalle responsabilità legali. Secondo il quadro normativo italiano, in particolare il D.Lgs. 81/2008, la questione è più sfumata.

    La delega di funzioni in materia di sicurezza è espressamente regolata dall’art. 16 del D.Lgs. 81/2008 e, per essere valida ed efficace, deve rispettare precisi requisiti:
    1. Deve risultare da atto scritto con data certa
    2. Il delegato deve possedere requisiti di professionalità ed esperienza
    3. Deve attribuire poteri decisionali e di spesa adeguati
    4. Deve essere accettata dal delegato per iscritto
    Anche quando la delega è formalmente corretta, il datore di lavoro mantiene comunque:
    • L’obbligo di vigilanza sul corretto espletamento delle funzioni delegate
    • La responsabilità per la “culpa in eligendo” (scelta inadeguata del delegato)
    • La responsabilità per la “culpa in vigilando” (mancata supervisione)
    Inoltre, esistono obblighi “non delegabili” che rimangono sempre in capo al datore di lavoro, tra cui:
    • La valutazione di tutti i rischi e l’elaborazione del DVR
    • La designazione del RSPP (Responsabile del Servizio di Prevenzione e Protezione)
    La giurisprudenza italiana ha ripetutamente confermato che la delega non costituisce un’esimente automatica. In caso di infortunio, il datore di lavoro può essere chiamato a rispondere penalmente se non ha adeguatamente vigilato sull’operato del delegato o se non ha fornito i mezzi necessari per l’attuazione delle misure di sicurezza.

    In sintesi, la delega può limitare la responsabilità del datore di lavoro in alcuni ambiti specifici, ma non rappresenta un “salvacondotto” generale rispetto agli obblighi in materia di sicurezza sul lavoro.
    Non si tratta di responsabilità oggettiva per l’addetto alla sicurezza. La posizione giuridica dell’RSPP (Responsabile del Servizio di Prevenzione e Protezione) o dell’addetto alla sicurezza in caso di infortunio è stata chiarita dalla giurisprudenza italiana. Se l’addetto alla sicurezza dimostra di aver correttamente:
    1. Identificato e valutato i rischi
    2. Segnalato per iscritto al datore di lavoro le criticità rilevate
    3. Proposto soluzioni tecniche adeguate
    4. Documentato queste comunicazioni
    Può essere esonerato da responsabilità penale in caso di infortunio.

    La Corte di Cassazione, in diverse sentenze, ha stabilito che l’RSPP non ha poteri decisionali o di spesa diretti, ma svolge un ruolo consultivo. Non può quindi essere ritenuto automaticamente responsabile se il datore di lavoro ignora le sue indicazioni. Tuttavia, l’addetto potrebbe comunque essere chiamato a rispondere in specifiche circostanze:
    • Se ha effettuato valutazioni tecniche errate o superficiali
    • Se non ha segnalato rischi evidenti
    • Se ha omesso di aggiornare le valutazioni quando necessario

    Il principio generale è che la responsabilità dell’addetto alla sicurezza è commisurata alle sue effettive funzioni e ai poteri conferitigli. Non si configura come responsabilità oggettiva, ma come responsabilità per colpa professionale specifica rispetto al proprio ruolo. La documentazione delle segnalazioni e delle proposte di intervento diventa quindi essenziale per dimostrare il corretto adempimento dei propri obblighi professionali.

  • La chiamata diretta della Compagnia assicurativa da parte del paziente danneggiato. Qual è la situazione nei Tribunali?

    Avevamo già parlato di una delle maggiori novità introdotte dalla Legge Gelli-Bianco, ossia l’azione diretta del paziente danneggiato nei confronti della Compagnia assicurativa del sanitario.

    A distanza di un anno dalla pubblicazione del decreto di attuazione n. 232/2023 che cosa è cambiato?

    Avevamo visto che i primi Tribunali che hanno avuto modo di pronunciarsi sul tema hanno, in sostanza, dichiarato l’inammissibilità della chiamata diretta della Compagnia assicurativa del sanitario da parte del paziente danneggiato.

    Il Tribunale di Cosenza, ad esempio, con sentenza n. 965/2024 del 29/04/2024, ha dichiarato l’inammissibilità della domanda diretta svolta dalla paziente nei confronti della Compagnia assicurativa dell’Azienda Ospedaliera.

    Secondo il Giudice, l’intervenuta pubblicazione del decreto attuativo nelle more del giudizio non vale a superare l’eccezione di inammissibilità. Innanzitutto, al momento dell’introduzione del giudizio, in assenza del necessario decreto di attuazione, l’azione diretta prevista dall’art. 12 della legge n. 24/2017 non era in concreto esperibile.

    In mancanza di una specifica previsione in merito ad un’eventuale azione diretta, il paziente danneggiato non poteva ingerirsi nel rapporto intercorrente tra presunto danneggiante e Compagnia assicurativa, in virtù anche del principio di relatività degli effetti del contratto.

    In secondo luogo, comunque, il decreto di attuazione fissa un periodo di tempo di 24 mesi entro il quale le Compagnie assicurative devono adeguare i contratti di assicurazione. Ne deriva pertanto, secondo quanto argomentato nella sentenza in esame, che l’azione diretta non può ritenersi operante fino all’adeguamento dei contratti di assicurazione.

    Se da un lato diversi Tribunali sono giunti alle medesime conclusioni (sul punto Tribunale di Locri, sentenza del 18/04/2024), dall’altro si sono registrati orientamenti giurisprudenziali completamente opposti.

    Con ordinanza del 26 agosto 2024 il Tribunale di Milano ha dichiarato ammissibile la chiamata diretta della Compagnia da parte del paziente danneggiato.

    Secondo il Tribunale di Milano l’azione diretta da parte del danneggiato sarebbe esperibile già dalla data di entrata in vigore del decreto di attuazione n. 232/2023 con cui sono stati determinati i requisiti minimi delle polizze assicurative, ossia dal 16/03/2024. La normativa condizionerebbe l’operatività dell’azione diretta all’entrata in vigore del decreto n. 232/2023 quale presupposto processuale e non farebbe riferimento alla necessità del previo adeguamento delle condizioni contrattuali, profilo, questo, il cui esame può trovare spazio nel successivo giudizio di merito.

    Il Tribunale di Milano sembra, quindi, consentire la chiamata in causa diretta da parte del paziente anche quando la polizza non sia stata ancora adeguata ai requisiti minimi prescritti dalla Legge Gelli – Bianco.

    È da sottolineare che tale interpretazione mira a ricercare sin da subito un’eventuale possibilità conciliativa in Atp (l’accertamento tecnico preventivo è peraltro condizione di procedibilità della domanda in giudizio) tramite il coinvolgimento anche Compagnia assicurativa del sanitario.

    Un punto fermo sulla questione ad oggi, però, non è ancora stato messo in quanto altri Tribunali hanno invece continuato ad affermare l’inammissibilità dell’azione diretta in mancanza del necessario adeguamento delle polizze.

    Il Tribunale di Catanzaro ha dichiarato inammissibile la chiamata diretta della Compagnia, effettuata dal paziente danneggiato in data antecedente all’entrata in vigore del decreto n. 232/2023.

    Tuttavia, riconoscendo l’esistenza di contrasti giurisprudenziali sul tema, ha deciso di compensare le spese di lite, che altrimenti, in virtù del principio della soccombenza, il paziente avrebbe dovuto pagare alla Compagnia del medico (sentenza n. 2344 del 03/12/2024).

    È quindi forse ancora troppo prematuro per tracciare un bilancio delle conseguenze derivanti dall’introduzione dell’azione diretta del danneggiato nell’ambito di una fattispecie di responsabilità civile professionale.

    Nell’incertezza dell’attuale panorama giurisprudenziale, è più che opportuno che il professionista sanitario stipuli una copertura assicurativa già adeguata ai requisiti minimi previsti dal decreto n. 232/2023, e dunque con un massimale non inferiore a quello minimo stabilito dalla normativa.

  • LA RESPONSABILITA’ DEI SINDACI – MODIFICATO L’ARTICOLO 2407 CODICE CIVILE

    Qualche un anno fa abbiamo iniziato a parlare di una possibile introduzione di un tetto alla responsabilità dei Commercialisti nell’ambito dei Collegi Sindacali, avente lo scopo di rendere proporzionata al compenso l’esposizione al rischio.

    In data 29 maggio 2024 abbiamo registrato un ulteriore passo avanti per il progetto di legge C 1276 presentato il 04 luglio 2023 con la relativa approvazione alla Camera. In data 29 gennaio 2025 il testo del disegno di legge è stato approvato all’unanimità in Commissione Giustizia del Senato. In data 12 marzo 2025 l’approvazione definitiva da parte del Senato della riforma.

    Ecco il nuovo testo dell’Art. 2407 Codice civile: «Art. 2407. – (Responsabilità) – I sindaci devono adempiere i loro doveri con la professionalità e la diligenza richieste dalla natura dell’incarico; sono responsabili della verità delle loro attestazioni e devono conservare il segreto sui fatti e sui documenti di cui hanno conoscenza per ragione del loro ufficio. Al di fuori delle ipotesi in cui hanno agito con dolo, anche nei casi in cui la revisione legale è esercitata dal collegio sindacale a norma dell’articolo 2409-bis, secondo comma, i sindaci che violano i propri doveri sono responsabili per i danni cagionati alla società che ha conferito l’incarico, ai suoi soci, ai creditori e ai terzi nei limiti di un multiplo del compenso annuo percepito, secondo i seguenti scaglioni: per i compensi fino a 10.000 euro, quindici volte il compenso; per i compensi da 10.000 a 50.000 euro, dodici volte il compenso; per i compensi maggiori di 50.000 euro, dieci volte il compenso. All’azione di responsabilità contro i sindaci si applicano, in quanto compatibili, le disposizioni degli articoli 2393, 2393-bis, 2394, 2394-bis e 2395. L’azione di responsabilità verso i sindaci si prescrive nel termine di cinque anni dal deposito della relazione di cui all’articolo 2429 concernente l’esercizio in cui si è verificato il danno»

    In sintesi, che cosa cambia:
    1. la limitazione della responsabilità dei Sindaci, per danni cagionati a società, soci, creditori ed altri soggetti terzi, nei limiti del multiplo del compenso annuo percepito secondo determinati scaglioni.
    2. la riduzione della prescrizione da 10 anni attuali a 5 a partire dal deposito della relazione relativa all’esercizio in cui si è verificato il danno.

    La nuova formulazione dell’art. 2407 c.c. trova applicazione dai bilanci 2024 non essendo, al momento, prevista in modo espresso una applicabilità retroattiva della norma.

    La riforma è stata salutata dai professionisti coinvolti come “un traguardo storico” nonché come un’opportunità di approccio più sereno all’attività adesso che finalmente limite temporale e parametri di responsabilità sono stati individuati in modo certo tanto che sono già al vaglio le richieste di estensione della riforma a Revisori e Società di revisione.

    Al prossimo post!

  • SINISTRI CYBER IN UNO STUDIO DI INGEGNERIA – UN ESEMPIO PRATICO

    Il rapporto tra professionisti e “mondo cyber” non si esaurisce alla categoria avvocati, anche se come costituiscono il più importante Ordine professionale in Italia. Al contrario le problematiche dei sinistri coinvolgono molto pesantemente tutte le professioni con conseguenze che possono portare a situazioni molto critiche. Ecco un esempio pratico di sinistro cyber che potrebbe colpire uno studio di ingegneria:

    SCENARIO: Un ingegnere lavora su un importante progetto di ristrutturazione utilizzando software CAD.

    Durante il lavoro il sistema viene infettato da malware, i file di progetto vengono criptati, vengono rubati dati sensibili del cliente.

    CONSEGUENZE IMMEDIATE:

    Perdita di dati critici: progetti CAD completi, calcoli strutturali, documentazione tecnica, preventivi e computi metrici.

    Impatti operativi: blocco delle attività per 5 giorni, impossibilità di rispettare le scadenze, necessità di rifare parte del lavoro, perdita di accesso alle licenze software.

    DANNI:

    Danni diretti, costi ripristino sistemi: 4.000€, riacquisto licenze: 2.000€, consulenza IT specialistica: 3.500€, ricostruzione progetti: 80 ore di lavoro.

    Danni indiretti: penali per ritardi nelle consegne, potenziale violazione privacy del cliente, danni reputazionali, perdita di opportunità di business.

    IL POSSIBILE INTERVENTO ASSICURATIVO:

    Copertura costi di ripristino, assistenza tecnica specializzata, gestione comunicazione con clienti, analisi forense dell’incidente

    Totale danno stimato: 30.000-35.000€ considerando tutti gli impatti diretti e indiretti.

    Ecco una distinzione tra gli interventi della polizza RC Professionale e quelli che invece non rientrano nella sua copertura per il caso specifico:

    COPERTO DA RC PROFESSIONALE:

    Responsabilità verso terzi per: ritardi nella consegna dei progetti, inadempimenti contrattuali derivanti dal blocco, danni causati ai clienti per la perdita di dati, violazioni di privacy derivanti dall’attività professionale.

    Spese legali per: difesa in caso di richieste danni, gestione delle contestazioni, negoziazione con i clienti danneggiati.

    NON COPERTO DA RC PROFESSIONALE:

    Danni diretti allo studio, costi di ripristino sistemi IT, spese per recupero dati, riacquisto licenze software, costi consulenti informatici.

    Danni da interruzione attività: perdita di profitto, costi fissi durante il blocco, extra costi operativi, spese per lavoro straordinario.

    Costi di gestione crisi: spese di notifica data breach, servizi di monitoraggio credito, costi di PR e gestione reputazionale, spese per forensic IT.

    Questo evidenzia la necessità di una copertura cyber specifica o di un’estensione cyber alla RC Professionale per una protezione completa.

    In aggiunta ed a completamento della protezione assicurativa non può non essere fatto un cenno alla utilità di una polizza di tutela legale, importante complemento alle coperture RC Professionale e Cyber per le seguenti ragioni:

    VANTAGGI DELLA TUTELA LEGALE:

    Coperture specifiche: difesa penale per violazioni privacy/cyber, controversie con fornitori IT, contenziosi con compagnie assicurative, recupero danni verso hacker/cybercriminali.

    Benefici operativi: libera scelta del legale, anticipo spese legali, copertura dei costi di perizia, indipendenza dalla RC Professionale.

    Gestione contemporanea di: procedimenti civili, procedimenti penali, procedimenti amministrativi, procedimenti davanti al Garante Privacy.

    Potrebbe sorgere il dubbio di ridondanza ma è del tutto evidente la NON SOVRAPPOSIZIONE:

    La RC copre danni a terzi, la Cyber copre danni diretti, la Tutela legale copre spese di difesa senza la possibilità di ricevere eventuali eccezioni operative da parte dell’assicuratore del primo tipo di polizza.

    Notevoli, invece, sono le SINERGIE che andiamo ad evidenziare: gestione coordinata dei sinistri, copertura di aree scoperte dalle altre polizze, maggiore tranquillità operativa, costi contenuti rispetto ai benefici.

    Quindi la tutela legale non è superflua ma complementare, offrendo una protezione più completa.

    Alla prossima professione!

  • Le polizze cyber risk, gli ambiti professionali – I rischi e la copertura assicurativa per gli avvocati.

    I rischi cyber specifici per gli avvocati possono essere categorizzati come segue:

    RISCHI RELATIVI AI DATI DEI CLIENTI

    Violazione di dati confidenziali e sensibili, accesso non autorizzato a informazioni legali riservate, furto di documenti processuali digitali, compromissione di fascicoli elettronici, violazione della privacy dei clienti.

    RISCHI OPERATIVI DIGITALI

    Blocco dei sistemi gestionali dello studio, impossibilità di accedere al PCT (Processo Civile Telematico), interruzione dell’accesso a banche dati giuridiche, compromissione della PEC, perdita di accesso al cloud dello studio.

    RISCHI FINANZIARI CYBER

    Frodi su bonifici e pagamenti, manipolazione coordinate bancarie, furto di credenziali di home banking, attacchi ransomware con richieste di riscatto, perdite per interruzione sistemi IT.

    RISCHI DI COMPLIANCE

    Violazioni GDPR, mancato rispetto normative cybersecurity, inadempimenti obblighi di notifica data breach, non conformità nella conservazione digitale, violazione standard di sicurezza informatica.

    IMPATTI SULLA PROFESSIONE

    Impossibilità di rispettare scadenze processuali, perdita di prove digitali, compromissione firma digitale, furto identità professionale online, danni reputazionali da incidenti cyber.

    In buona sostanza le polizze cyber per avvocati dovrebbero includere almeno:

    costi di ripristino sistemi, spese per notifiche e comunicazioni, copertura per responsabilità verso terzi, servizi di risposta agli incidenti, supporto forense digitale, gestione crisi reputazionale.

    A questo punto verrebbe lecito pensare se non si rischia la commistione con la polizza di rc professionale, perché così i costi della polizza cyber possono essere elevati. Effettivamente potrebbe esistere un potenziale rischio di sovrapposizione tra polizza RC Professionale e polizza cyber che può portare ad una DUPLICAZIONE DI COPERTURE: stesso rischio coperto da entrambe le polizze, pagamento di premi doppi ma soprattutto difficoltà nell’identificare quale polizza attivare.

    Una soluzione percorribile potrebbe essere una estensione cyber alla RC Professionale che copra, data breach base, primi interventi di emergenza, responsabilità verso terzi per eventi cyber.

    Invece sarebbe meglio pensare ad una polizza cyber stand alone solo per: grandi studi legali, Studi con rischi cyber specifici, nei casi di necessità di massimali elevati.

    Considerando l’estrema frammentazione della attività forense i vantaggi dell’estensione avrebbero, senza dubbio, costi contenuti (30-40% del premio base), gestione unica dei sinistri, eviterebbe conflitti tra polizze e non ultimo una chiarezza nelle coperture.

    Fuori di dubbio che nel caso di estensione ad una polizza di Rc professionale vi siano ELEMENTI DA VERIFICARE come: massimali adeguati nell’estensione, esclusioni chiare, servizi di prevenzione inclusi, procedura di gestione sinistri definita.

    Questo approccio potrebbe permettere di ottimizzare la protezione cyber mantenendo i costi sostenibili per gli studi legali di dimensioni medio-piccole. Basandoci sui dati di mercato attuali, potremmo ipotizzare una stima indicativa dei costi per un’estensione cyber alla polizza RC Professionale per avvocati:

    COSTO BASE INDICATIVO (variabile in base al fatturato), per studio singolo avvocato (fatturato fino a 100.000€), premio RC base: 400€, Estensione cyber 150€ (circa 35 del premio base). 

    Per piccolo studio associato (fatturato fino a 300.000€), premio RC base: 800€, Estensione cyber: 300€.

    Per studio medio (fatturato fino a 500.000€), premio RC base: 1.500€, Estensione cyber: +500€.

    Del tutto scontato che le ipotesi sopra prospettate sono modificabili in ragione di vari fattori che influenzano il premio di polizza come misure di sicurezza adottate, numero di dispositivi/postazioni, presenza di server interno, storico sinistri, tipologia di clientela, volume dati gestiti.

    Questi costi sono indicativi e possono variare significativamente in base a: Compagnia assicurativa, Broker/intermediario, Caratteristiche specifiche dello studio, Livello di copertura richiesto, Sconti/promozioni disponibili.

    Ma, tanto per capirci, ecco un esempio pratico di sinistro cyber che potrebbe colpire uno studio legale:

    Scenario, un avvocato riceve una e-mail apparentemente dal Tribunale che contiene un link per scaricare un atto urgente. Cliccando sul link, viene installato un ransomware che: cripta tutti i file dello Studio, blocca l’accesso al gestionale, compromette la casella PEC.

    Facilmente immaginabili le immediate conseguenze: impossibilità di accedere ai fascicoli dei clienti, allo scadenzario processuale, alle e-mail e documenti. Dulcis in fundo, arriva una richiesta di riscatto di 10.000€ in cryptocurrency e la minaccia di pubblicazione dei dati.

    Ipotesi di Danni, in questo caso ci riferiamo solamente a quelli non inclusi nella polizza di rc professionale.    Diretti: costi per ripristino sistemi: 5.000€, spese consulente IT forense: 3.000€, perdita di produttività: 3 giorni lavorativi. Inoltre, gli Indiretti: notifica data breach ai clienti, perdita di una scadenza processuale, danno reputazionale.

    Come può intervenire l’assicurazione: 1) attivazione team di emergenza cyber; copertura costi di ripristino; gestione comunicazione con clienti, assistenza legale per responsabilità verso terzi. Possiamo ipotizzare un importo di danno? Siamo nell’ordine di 20.000-25.000€.

    Questo esempio mostra come un semplice errore possa generare danni significativi che giustificano la copertura assicurativa.

    Purtroppo, gli attacchi informatici fanno ormai parte di una realtà quotidiana, che da remota possibilità è diventata presenza costante; partecipare gli assicurati significa dare attenzione prevenendo in caso di sinistro spiacevoli situazioni nella gestione del rapporto commerciale. Di tutta evidenza che un pur buon prodotto di rc professionale non è una sicumera assoluta, sarebbe utile sensibilizzare gli assicurati in merito alla utilità di upgradare la loro posizione assicurativa.

    Torneremo su questo argomento esaminando nelle prossime settimane il tema cyber per le altre professioni.

  • Le polizze cyber risk, gli ambiti professionali – le tipologie di polizze

    Le polizze parametriche e le polizze cyber hanno finalità e meccanismi di funzionamento molto diversi:

    Polizze Parametriche:

    • Si basano sul superamento di parametri predefiniti
    • Pagamento automatico al verificarsi dell’evento trigger
    • Non richiedono perizia del danno
    • Copertura limitata a eventi specifici e misurabili

    Polizze Cyber:

    • Coprono una gamma complessa di rischi informatici
    • Richiedono valutazione dettagliata dei danni
    • Includono servizi di risposta agli incidenti
    • Offrono protezione completa contro varie minacce cyber

    Le polizze parametriche possono integrare, ma non sostituire, le polizze cyber perché:

    • Non coprono la responsabilità verso terzi
    • Non forniscono supporto post-incidente
    • Non gestiscono la complessità dei danni reputazionali
    • Non includono costi di ripristino e forensics

    La soluzione ottimale per le PMI potrebbe essere una combinazione di entrambe, dove la polizza parametrica offre una prima risposta rapida mentre quella cyber fornisce la protezione completa necessaria.

    Ma veniamo al nostro “core business” i professionisti.  Sono sensibili ad estensioni cyber alle loro polizze professionali? L’atteggiamento dei professionisti verso le estensioni cyber delle polizze RC Professionale presenta un quadro complesso:

    LIVELLO DI SENSIBILITÀ: molto alta per studi legali e commercialisti (gestiscono dati sensibili), media per architetti e ingegneri, bassa per professioni sanitarie (più focalizzate sulla medical malpractice).

    CRITICITÀ RISCONTRATE:

    costi aggiuntivi, incremento del 15-30% del premio base, questa problematica spesso viene percepita come “non prioritaria”.

    consapevolezza: sottovalutazione dei rischi cyber, scarsa comprensione delle coperture, limitata percezione delle responsabilità verso i clienti.

    Limiti delle estensioni: massimali spesso insufficienti, esclusioni significative, non sempre includono servizi di prevenzione.

    TENDENZE ATTUALI: aumento delle richieste post-GDPR (ovvero General Data Protection Regulation, in italiano Regolamento Europeo sulla Protezione dei dati. Un maggiore interesse dopo episodi di attacchi ransomware, crescente integrazione con servizi di valutazione del rischio.

    Da queste considerazioni emergono fisiologiche istanze che si possono sintetizzare in una necessità di maggiore formazione sui rischi cyber, pensare ad uno sviluppo di pacchetti più modulari e accessibili, una integrazione con servizi di prevenzione e risposta.

    La situazione evidenzia un gap tra rischio reale e percezione che richiede un approccio più strutturato da parte del mercato assicurativo.

    Le nostre operatività ci hanno segnalato, ormai da qualche anno che il rischio cyber è ben oltre ad una mera ipotesi di discussione assicurativa, le prime casistiche che abbiamo dovuto realmente gestire sono state quelle legate alla professione di avvocati. Nel prossimo post ne parleremo nello specifico.

  • Le polizze cyber risk, gli ambiti professionali – Aspetti generali

    Le polizze cyber risk in Italia non hanno ancora, nonostante importanti azioni di sensibilizzazione, trovato facile accoglienza da parte di chi potrebbe essere interessato ad averle. Proviamo a riepilogare le tematiche connesse con questo tipo di garanzie.

    Per sommi capi le tipicità di queste coperture dovrebbero prevedere:
    • Danni da violazione dati personali
    • Interruzione attività per attacchi informatici
    • Costi di ripristino sistemi
    • Cyber-estorsione
    • Responsabilità civile per danni a terzi

    In termini assoluti il mercato italiano ha registrato un’interessante crescita (+35% nel 2023) ma dobbiamo considerare l’esiguità della base di partenza. I premi raccolti sono stimabili in circa 250 milioni di euro (2023), principalmente sottoscritte da aziende medio-grandi, le piccole non hanno ancora manifestato interesse. E’ quindi effettivamente aumentata richiesta post-pandemia.

    Le caratteristiche principali, in ragione di quanto sopra indicato: massimali variabili (da 1 a 50 milioni tipicamente), franchigie significative, valutazione preventiva dei sistemi di sicurezza, necessità di risk assessment periodici.

    Nonostante una comprovata sensibilità di chi propone queste polizze sono oggettivamente riscontrabili criticità dovute a: costi elevati dei premi, complessità nella valutazione del rischio, esclusioni significative, dinamicità delle minacce cyber. Solitamente la normativa di riferimento include il GDPR e il D.lgs. 231/2001 per la responsabilità amministrativa delle imprese.

    Prendiamo in considerazione il bacino più importante in termine di potenziali sviluppi analizzando i costi delle polizze cyber risk per le PMI italiane:
    I premi medi variano da:
    • Microimprese: 2.000-5.000€/anno
    • Piccole imprese: 5.000-15.000€/anno
    • Medie imprese: 15.000-50.000€/anno
    Questi costi rappresentano un ostacolo significativo, con solo il 10-15% delle PMI italiane che dispone di una copertura cyber.

    Fattori che influenzano l’accessibilità: budget limitati per la sicurezza informatica, difficoltà nella valutazione del rapporto costi-benefici, mancanza di consapevolezza del rischio reale.

    Non pochi i player di mercato che stanno studiando soluzioni più abbordabili, emergono proposte operative che ipotizzano, polizze parametriche con costi ridotti, pacchetti assicurativi modulari, collaborazioni tra assicuratori per offerte dedicate alle PMI. Altra tematica quella relativa ad incentivi governativi e detrazioni fiscali.

    Il mercato si sta evolvendo verso soluzioni più accessibili, ma il divario di protezione per le PMI rimane al momento significativo. Ne parleremo più approfonditamente nel prossimo post!