I rischi cyber specifici per gli avvocati possono essere categorizzati come segue:

RISCHI RELATIVI AI DATI DEI CLIENTI

Violazione di dati confidenziali e sensibili, accesso non autorizzato a informazioni legali riservate, furto di documenti processuali digitali, compromissione di fascicoli elettronici, violazione della privacy dei clienti.

RISCHI OPERATIVI DIGITALI

Blocco dei sistemi gestionali dello studio, impossibilità di accedere al PCT (Processo Civile Telematico), interruzione dell’accesso a banche dati giuridiche, compromissione della PEC, perdita di accesso al cloud dello studio.

RISCHI FINANZIARI CYBER

Frodi su bonifici e pagamenti, manipolazione coordinate bancarie, furto di credenziali di home banking, attacchi ransomware con richieste di riscatto, perdite per interruzione sistemi IT.

RISCHI DI COMPLIANCE

Violazioni GDPR, mancato rispetto normative cybersecurity, inadempimenti obblighi di notifica data breach, non conformità nella conservazione digitale, violazione standard di sicurezza informatica.

IMPATTI SULLA PROFESSIONE

Impossibilità di rispettare scadenze processuali, perdita di prove digitali, compromissione firma digitale, furto identità professionale online, danni reputazionali da incidenti cyber.

In buona sostanza le polizze cyber per avvocati dovrebbero includere almeno:

costi di ripristino sistemi, spese per notifiche e comunicazioni, copertura per responsabilità verso terzi, servizi di risposta agli incidenti, supporto forense digitale, gestione crisi reputazionale.

A questo punto verrebbe lecito pensare se non si rischia la commistione con la polizza di rc professionale, perché così i costi della polizza cyber possono essere elevati. Effettivamente potrebbe esistere un potenziale rischio di sovrapposizione tra polizza RC Professionale e polizza cyber che può portare ad una DUPLICAZIONE DI COPERTURE: stesso rischio coperto da entrambe le polizze, pagamento di premi doppi ma soprattutto difficoltà nell’identificare quale polizza attivare.

Una soluzione percorribile potrebbe essere una estensione cyber alla RC Professionale che copra, data breach base, primi interventi di emergenza, responsabilità verso terzi per eventi cyber.

Invece sarebbe meglio pensare ad una polizza cyber stand alone solo per: grandi studi legali, Studi con rischi cyber specifici, nei casi di necessità di massimali elevati.

Considerando l’estrema frammentazione della attività forense i vantaggi dell’estensione avrebbero, senza dubbio, costi contenuti (30-40% del premio base), gestione unica dei sinistri, eviterebbe conflitti tra polizze e non ultimo una chiarezza nelle coperture.

Fuori di dubbio che nel caso di estensione ad una polizza di Rc professionale vi siano ELEMENTI DA VERIFICARE come: massimali adeguati nell’estensione, esclusioni chiare, servizi di prevenzione inclusi, procedura di gestione sinistri definita.

Questo approccio potrebbe permettere di ottimizzare la protezione cyber mantenendo i costi sostenibili per gli studi legali di dimensioni medio-piccole. Basandoci sui dati di mercato attuali, potremmo ipotizzare una stima indicativa dei costi per un’estensione cyber alla polizza RC Professionale per avvocati:

COSTO BASE INDICATIVO (variabile in base al fatturato), per studio singolo avvocato (fatturato fino a 100.000€), premio RC base: 400€, Estensione cyber 150€ (circa 35 del premio base). 

Per piccolo studio associato (fatturato fino a 300.000€), premio RC base: 800€, Estensione cyber: 300€.

Per studio medio (fatturato fino a 500.000€), premio RC base: 1.500€, Estensione cyber: +500€.

Del tutto scontato che le ipotesi sopra prospettate sono modificabili in ragione di vari fattori che influenzano il premio di polizza come misure di sicurezza adottate, numero di dispositivi/postazioni, presenza di server interno, storico sinistri, tipologia di clientela, volume dati gestiti.

Questi costi sono indicativi e possono variare significativamente in base a: Compagnia assicurativa, Broker/intermediario, Caratteristiche specifiche dello studio, Livello di copertura richiesto, Sconti/promozioni disponibili.

Ma, tanto per capirci, ecco un esempio pratico di sinistro cyber che potrebbe colpire uno studio legale:

Scenario, un avvocato riceve una e-mail apparentemente dal Tribunale che contiene un link per scaricare un atto urgente. Cliccando sul link, viene installato un ransomware che: cripta tutti i file dello Studio, blocca l’accesso al gestionale, compromette la casella PEC.

Facilmente immaginabili le immediate conseguenze: impossibilità di accedere ai fascicoli dei clienti, allo scadenzario processuale, alle e-mail e documenti. Dulcis in fundo, arriva una richiesta di riscatto di 10.000€ in cryptocurrency e la minaccia di pubblicazione dei dati.

Ipotesi di Danni, in questo caso ci riferiamo solamente a quelli non inclusi nella polizza di rc professionale.    Diretti: costi per ripristino sistemi: 5.000€, spese consulente IT forense: 3.000€, perdita di produttività: 3 giorni lavorativi. Inoltre, gli Indiretti: notifica data breach ai clienti, perdita di una scadenza processuale, danno reputazionale.

Come può intervenire l’assicurazione: 1) attivazione team di emergenza cyber; copertura costi di ripristino; gestione comunicazione con clienti, assistenza legale per responsabilità verso terzi. Possiamo ipotizzare un importo di danno? Siamo nell’ordine di 20.000-25.000€.

Questo esempio mostra come un semplice errore possa generare danni significativi che giustificano la copertura assicurativa.

Purtroppo, gli attacchi informatici fanno ormai parte di una realtà quotidiana, che da remota possibilità è diventata presenza costante; partecipare gli assicurati significa dare attenzione prevenendo in caso di sinistro spiacevoli situazioni nella gestione del rapporto commerciale. Di tutta evidenza che un pur buon prodotto di rc professionale non è una sicumera assoluta, sarebbe utile sensibilizzare gli assicurati in merito alla utilità di upgradare la loro posizione assicurativa.

Torneremo su questo argomento esaminando nelle prossime settimane il tema cyber per le altre professioni.