Sinistri.Blog

Tag: cyber

  • Le polizze cyber risk, gli ambiti professionali – I rischi e la copertura assicurativa per gli avvocati.

    I rischi cyber specifici per gli avvocati possono essere categorizzati come segue:

    RISCHI RELATIVI AI DATI DEI CLIENTI

    Violazione di dati confidenziali e sensibili, accesso non autorizzato a informazioni legali riservate, furto di documenti processuali digitali, compromissione di fascicoli elettronici, violazione della privacy dei clienti.

    RISCHI OPERATIVI DIGITALI

    Blocco dei sistemi gestionali dello studio, impossibilità di accedere al PCT (Processo Civile Telematico), interruzione dell’accesso a banche dati giuridiche, compromissione della PEC, perdita di accesso al cloud dello studio.

    RISCHI FINANZIARI CYBER

    Frodi su bonifici e pagamenti, manipolazione coordinate bancarie, furto di credenziali di home banking, attacchi ransomware con richieste di riscatto, perdite per interruzione sistemi IT.

    RISCHI DI COMPLIANCE

    Violazioni GDPR, mancato rispetto normative cybersecurity, inadempimenti obblighi di notifica data breach, non conformità nella conservazione digitale, violazione standard di sicurezza informatica.

    IMPATTI SULLA PROFESSIONE

    Impossibilità di rispettare scadenze processuali, perdita di prove digitali, compromissione firma digitale, furto identità professionale online, danni reputazionali da incidenti cyber.

    In buona sostanza le polizze cyber per avvocati dovrebbero includere almeno:

    costi di ripristino sistemi, spese per notifiche e comunicazioni, copertura per responsabilità verso terzi, servizi di risposta agli incidenti, supporto forense digitale, gestione crisi reputazionale.

    A questo punto verrebbe lecito pensare se non si rischia la commistione con la polizza di rc professionale, perché così i costi della polizza cyber possono essere elevati. Effettivamente potrebbe esistere un potenziale rischio di sovrapposizione tra polizza RC Professionale e polizza cyber che può portare ad una DUPLICAZIONE DI COPERTURE: stesso rischio coperto da entrambe le polizze, pagamento di premi doppi ma soprattutto difficoltà nell’identificare quale polizza attivare.

    Una soluzione percorribile potrebbe essere una estensione cyber alla RC Professionale che copra, data breach base, primi interventi di emergenza, responsabilità verso terzi per eventi cyber.

    Invece sarebbe meglio pensare ad una polizza cyber stand alone solo per: grandi studi legali, Studi con rischi cyber specifici, nei casi di necessità di massimali elevati.

    Considerando l’estrema frammentazione della attività forense i vantaggi dell’estensione avrebbero, senza dubbio, costi contenuti (30-40% del premio base), gestione unica dei sinistri, eviterebbe conflitti tra polizze e non ultimo una chiarezza nelle coperture.

    Fuori di dubbio che nel caso di estensione ad una polizza di Rc professionale vi siano ELEMENTI DA VERIFICARE come: massimali adeguati nell’estensione, esclusioni chiare, servizi di prevenzione inclusi, procedura di gestione sinistri definita.

    Questo approccio potrebbe permettere di ottimizzare la protezione cyber mantenendo i costi sostenibili per gli studi legali di dimensioni medio-piccole. Basandoci sui dati di mercato attuali, potremmo ipotizzare una stima indicativa dei costi per un’estensione cyber alla polizza RC Professionale per avvocati:

    COSTO BASE INDICATIVO (variabile in base al fatturato), per studio singolo avvocato (fatturato fino a 100.000€), premio RC base: 400€, Estensione cyber 150€ (circa 35 del premio base). 

    Per piccolo studio associato (fatturato fino a 300.000€), premio RC base: 800€, Estensione cyber: 300€.

    Per studio medio (fatturato fino a 500.000€), premio RC base: 1.500€, Estensione cyber: +500€.

    Del tutto scontato che le ipotesi sopra prospettate sono modificabili in ragione di vari fattori che influenzano il premio di polizza come misure di sicurezza adottate, numero di dispositivi/postazioni, presenza di server interno, storico sinistri, tipologia di clientela, volume dati gestiti.

    Questi costi sono indicativi e possono variare significativamente in base a: Compagnia assicurativa, Broker/intermediario, Caratteristiche specifiche dello studio, Livello di copertura richiesto, Sconti/promozioni disponibili.

    Ma, tanto per capirci, ecco un esempio pratico di sinistro cyber che potrebbe colpire uno studio legale:

    Scenario, un avvocato riceve una e-mail apparentemente dal Tribunale che contiene un link per scaricare un atto urgente. Cliccando sul link, viene installato un ransomware che: cripta tutti i file dello Studio, blocca l’accesso al gestionale, compromette la casella PEC.

    Facilmente immaginabili le immediate conseguenze: impossibilità di accedere ai fascicoli dei clienti, allo scadenzario processuale, alle e-mail e documenti. Dulcis in fundo, arriva una richiesta di riscatto di 10.000€ in cryptocurrency e la minaccia di pubblicazione dei dati.

    Ipotesi di Danni, in questo caso ci riferiamo solamente a quelli non inclusi nella polizza di rc professionale.    Diretti: costi per ripristino sistemi: 5.000€, spese consulente IT forense: 3.000€, perdita di produttività: 3 giorni lavorativi. Inoltre, gli Indiretti: notifica data breach ai clienti, perdita di una scadenza processuale, danno reputazionale.

    Come può intervenire l’assicurazione: 1) attivazione team di emergenza cyber; copertura costi di ripristino; gestione comunicazione con clienti, assistenza legale per responsabilità verso terzi. Possiamo ipotizzare un importo di danno? Siamo nell’ordine di 20.000-25.000€.

    Questo esempio mostra come un semplice errore possa generare danni significativi che giustificano la copertura assicurativa.

    Purtroppo, gli attacchi informatici fanno ormai parte di una realtà quotidiana, che da remota possibilità è diventata presenza costante; partecipare gli assicurati significa dare attenzione prevenendo in caso di sinistro spiacevoli situazioni nella gestione del rapporto commerciale. Di tutta evidenza che un pur buon prodotto di rc professionale non è una sicumera assoluta, sarebbe utile sensibilizzare gli assicurati in merito alla utilità di upgradare la loro posizione assicurativa.

    Torneremo su questo argomento esaminando nelle prossime settimane il tema cyber per le altre professioni.

  • CYBER SINISTRI: LA NUOVA FRONTIERA DELLA RICHIESTA DANNI

    Sempre più spesso vengono denunciati sinistri relativi ad errori relativi a truffe on line, malfunzionamento dei computer, dei sistemi informatici, delle chiavette e dei sistemi tecnologici di ogni tipologia e sorta. È evidente che essendo ormai la nostra vita lavorativa basata sull’utilizzo della tecnologia, mutano anche gli errori professionali segnalati.

    Facendo riferimento ad alcuni casi pratici tratti dal nostro portafoglio sinistri, sono state avanzate molte richieste danni relative a truffe telematiche. Si tratta di attività fraudolente rientranti nel cosiddetto “phishing” ossia nel furto di dati sensibili. Le casistiche sono le più disparate come ad esempio la sostituzione dell’IBAN nella corrispondenza tra professionista e controparte nell’ambito di una transazione da perfezionare oppure il furto di identità nella richiesta di erogazione di un finanziamento. Tutto questo per quanto concerne le truffe telematiche.

    Altra casistica, sempre legata a questo argomento, riguarda il malfunzionamento dei sistemi informatici. Cosa succede se sorge un problema, ad esempio, di trasmissione o di archiviazione di documenti e dei dati?

    Le polizze di responsabilità civile professionale non coprono le cosiddette “perdite cyber” ossia la perdita, danno, responsabilità, spesa, multe o sanzioni o qualsiasi altro importo direttamente o indirettamente causato dall’ uso o funzionamento di qualunque sistema informatico o rete di computer; riduzione o perdita della capacità di utilizzare od operare su qualsiasi sistema informatico, sistemi di computer collegati; accesso, elaborazione, trasmissione, archiviazione o utilizzo di qualsiasi dato; incapacità di accedere, elaborare, trasmettere, archiviare o utilizzare qualsiasi dato; qualsiasi minaccia o truffa; qualsiasi errore, omissione o incidente relativo a qualsiasi sistema informatico,  sistemi di computer collegati.

    Le polizze precisano che per “sistema informatico” si intende qualsiasi computer, hardware, software, applicazione, processo, codice, programma, information technology, sistema di comunicazione o dispositivo elettronico di proprietà o utilizzato dall’assicurato o da altri. Sono inclusi nell’elenco qualsiasi sistema simile e qualsiasi dispositivo o sistema di archiviazione, gestione o archiviazione dati, apparecchiature di rete o strutture di backup associate. Per rete di computer si indica inoltre un gruppo di sistemi informatici e altri dispositivi elettronici o strutture di rete collegati tramite una forma di tecnologia di comunicazione, compresi Internet, Intranet e reti private virtuali (VPN), che consentono ai dispositivi informatici collegati in rete lo scambio di dati.

    I nuovi contratti prevedono tra le esclusioni i casi in cui le richieste di risarcimento derivino da atti dolosi posti in essere dall’assicurato, circostanze note: atti, fatti o eventi conosciuti dall’assicurato, al momento della sottoscrizione della polizza, “Computer e Virus” ossia virus nei computer o derivanti da sufficienti od insufficienti misure cautelative riguardanti accessi non autorizzati all’uso di sistemi/programmi elettronici e qualsiasi perdita informatica/perdita cyber.

    Come può tutelarsi quindi l’Assicurato?

    Anzitutto, deve attivare tutti quegli strumenti e misure cautelative volte a scoraggiare i truffatori, resistere ai virus e prevenire le minacce del web.

    Inoltre, il cliente deve avere sempre l’accortezza di verificare preventivamente i mittenti delle comunicazioni che riceve.

    In presenza di errore o malfunzionamento di qualunque sistema informatico, invece, nel 90% dei casi i dispositivi informatici segnalano tutte anomalie che possono verificarsi. È buona regola attivarsi immediatamente per risolvere l’errore chiedendo assistenza e non far trascorre troppo tempo in quanto il problema di certo tenderà ad ingigantirsi e a ripalesarsi.

    La UIA mette a disposizione il prodotto assicurativo “POLIZZA CYBER RISK MULTIRISCHIO RESPONSABILITÀ CIVILE E DANNI DIRETTI”. La polizza opera in copertura per la responsabilità civile cyber, per la copertura danni propri e per spese in caso di danni informatici. Le garanzie del contratto di assicurazione sono operanti per gli eventi cyber verificatisi o derivanti da atti illeciti commessi a partire dalla data di decorrenza del contratto, scoperti per la prima volta e denunciati all’Assicuratore durante il periodo di assicurazione in corso. Le estensioni sempre operati sono quelle relative a privacy e responsabilità derivante dai media, riservatezza dei dati, spese di recupero dati, spese in caso di incidente IT (informatico) e sicurezza della rete.

    Da ultimo si precisa, per dovere di chiarezza, che la polizza CYBER RISK si differenzia dal prodotto RC Professionale – Software House che invece assicura il singolo libero professionista e/o tutto lo staff e i collaboratori dello stesso coprendo le perdite di cui l’assicurato potrebbe essere ritenuto civilmente responsabile a titolo di risarcimento, i costi e le spese giudiziali, le infrazione di obblighi, errore, omissione commesso dagli assicurati e le attività consentite dalla legge o dai regolamenti che disciplinano l’esercizio della professione. Le attività coperte sono tutte quelle possibili nell’ambito della progettazione aggiornamento adattamento di programmi software.

    La differenza tra polizza CYBER RISK MULTIRISCHIO RESPONSABILITÀ CIVILE E DANNI DIRETTI e polizza RC Professionale – Software House consiste nel fatto che la prima copre i danni diretti mentre la seconda copre i danni a terzi.