Episodi reali di richieste di indennizzo in ambito informatico

Le responsabilità in campo informatico e le spese a esse connesse possono irrimediabilmente danneggiare qualsiasi azienda. Un singolo attacco informatico negli Stati Uniti costa alle società in media 8,19 milioni di dollari US, secondo il rapporto IBM "Cost of Data Breach" del 2019. Le cronache evidenziano che non esiste un settore o una tipologia di impresa che sia  bersaglio privilegiato dei cyber-criminali. La sanità, le industrie, le aziende del settore dei media, ma anche i negozi al dettaglio, le agenzie governative e molte piccole imprese ne sono state vittima. L’anno scorso, il mercato delle assicurazioni contro i rischi informatici ha visto un aumento significativo degli attacchi ransomware, in termini sia di frequenza sia di gravità. Si è verificato un significativo incremento di questi eventi nel settore delle industrie manifatturiere e chimiche: tali attacchi hanno coinvolto anche società terze che avevano reti connesse con le prime aziende attaccate.

Nel 2019, abbiamo anche assistito alla prima richiesta di riscatto a otto cifre; tra le nostre richieste di risarcimento, il social engineering e il ransomware rappresentavano oltre il 60%.

Non sempre i sinistri in ambito informatico derivano da un attacco a opera di criminali informatici. Le minacce in questo settore stanno cambiando in termini di complessità e finalità. Questa situazione ha portato a una notevole varietà tipologica di sinistri che, di conseguenza, ha portato AXA XL ad elaborare coperture differenziate contro i rischi informatici.

Questi episodi reali sono tratti dalle richieste di indennizzo di AXA XL:

Servizi finanziari: errore nell'invio di denaro
Ammontare totale: 225.000 dollari
Tipo di copertura: Violazione dei dati e Crysis Management Coverage; social engineering e uso fraudolento dei mezzi di pagamento

Una società di servizi finanziari è stata vittima di social engineering e ha subito un trasferimento fraudolento di 200.000 dollari. Nel giugno del 2018, la società ha trasferito fondi in seguito alla chiusura di un immobile. Il pagamento è stato effettuato in base alle istruzioni aggiornate che la società ha creduto di ricevere dal proprio fornitore. Si è scoperto che il trasferimento dei fondi non era andato a buon fine quando, diversi mesi dopo, il beneficiario del pagamento ha informato la società di non averli mai ricevuti. La copertura è stata attivata secondo l'accordo che prevede l'intervento in caso di violazione dei dati e crysis management: il sospetto era che la società avesse subito una violazione dell'email. La società si è rivolta a consulenti legali e della privacy per ricevere assistenza nell'indagare su quanto accaduto.

Il fatto ha attivato anche la copertura in caso di social engineering ed uso fraudolento dei mezzi di pagamento. I costi sostenuti in relazione all'attivazione della copertura e al trasferimento fraudolento ammontano a circa 225.000 dollari. La questione è stata anche inserita nella politica aziendale contro gli illeciti.

Ospitalità: una intrusione alberghiera
Ammontare totale: 80 mln di dollari US Tipo di copertura: Violazione dei dati e Crysis Management Coverage; Privacy and Cyber Security; PCI DSS Endorsement

Questo scenario riguarda la violazione di carte di credito all'interno di una catena alberghiera. Nel settembre 2016 e nel marzo 2017, l'hotel è stato contattato dalla società Visa in merito a una potenziale violazione delle carte di credito all'interno della struttura. L'hotel si è rivolto a uno studio legale che, a sua volta, ha ingaggiato una società per svolgere delle indagini scientifiche: sono state così identificate due finestre temporali (da marzo 2016 a ottobre 2016 e da novembre 2016 ad aprile 2017) in cui è avvenuta la violazione che ha coinvolto all'incirca 315.000 carte di credito. I costi totali sostenuti comprendono la notifica alle persone interessate, i costi di difesa e le multe e sanzioni in ambito PCI.

Azienda di servizi professionali: un lavoro temporaneo finito molto male
Ammontare totale: 350.000 dollari
Tipo di copertura: Violazione dei dati e gestione delle crisi

È stata intentata una causa contro un nostro assicurato, che fornisce servizi di collocamento, per presunti danni subiti a seguito della negligenza lavorativa di una dipendente temporanea. La società assicurata aveva raccomandato a un'azienda sua cliente una candidata per ricoprire il ruolo di responsabile finanziaria ad interim. L'azienda ha conferito alla dipendente temporanea responsabilità significative e l'ha autorizzata a revisionare il processo di fatturazione. La società ha poi affermato che la dipendente non era in realtà qualificata e ha causato danni per circa 1,75 milioni di dollari US, in parte in parte in conseguenza al ritardo nell’emissione di fatture che ha comportato l’impossibilità di riscuotere quanto dovuto dai propri clienti. A fronte della pretesa iniziale, è stato raggiunto un accordo per 300.000 dollari e i costi aggiuntivi sostenuti comprendono i costi della difesa legale.

Vorresti saperne di più? Scopri ulteriori episodi che hanno interessato il settore sanitario, il settore della tecnologia e delle telecomunicazioni, l'industria manifatturiera, la vendita al dettaglio e altri settori scaricando la brochure di AXA XL: "Episodi reali di richieste di indennizzo in ambito informatico".