Episodi reali di richieste di indennizzo in ambito informatico

Uno ogni quattordici secondi. Nel 2017 si prevedeva che questa sarebbe stata la frequenza con cui, nel 2019, un'azienda avrebbe dovuto subire un attacco informatico. Tuttavia, a ottobre 2019 il dato reale era molto peggiore. Ogni dieci secondi, un cybercriminale tenta di accedere ai sistemi informatici di un'azienda.

Se c'è qualcosa che possiamo imparare dal 2019, è che gli hacker sono sempre più scaltri sia nei metodi sia negli obiettivi che perseguono. Perdita economica causata dalla criminalità informatica nel 2019: 2 trilioni di dollari. Nel 2024 le perdite previste supereranno probabilmente i 5 trilioni di dollari.

Tale cifra potrebbe tuttavia salire, soprattutto perché i cybercriminali cambiano spesso modalità di attacco. Per le aziende, difendersi dagli hacker significa eliminare una vulnerabilità mentre se ne sta già creando un'altra.

Eppure, il metodo con cui gli hacker riescono a penetrare in un sistema è spesso un metodo diffuso. Il phishing via email o attraverso i social media è in effetti ancora in testa alla classifica delle modalità di accesso illegale. Gli episodi di phishing rappresentano il 90% delle violazioni di dati e, solamente nell'anno 2018-2019, l'utilizzo di tale tecnica ha avuto un incremento del 65%.

I problemi non fanno che aggravarsi. Nel 2018 le segnalazioni di violazioni delle credenziali sono cresciute del 70% rispetto al 2017, e addirittura del 280% in confronto al 2016.

Tuttavia, sapere in che modo gli hacker riescono a entrare e chi prendono di mira può essere di grande aiuto nel mettere in atto misure preventive. Vediamo quali sono i tre principali trend della criminalità informatica che hanno dominato la scena nel 2019.

1. Ransomware

Nel 2019 il ransomeware è cresciuto per rilevanza e frequenza, e ciò significa che si tratta della tecnica preferita da molti pirati informatici. Gli attacchi ransomware aumentano del 350% ogni anno. Il motivo è che sono più semplici da mettere in atto e assicurano un tornaconto superiore. Negli attacchi ransomware, infatti, gli hacker si limitano a entrare in un sistema e a impedire all'utente di accedervi a sua volta, quindi pretendono un riscatto per ripristinare la funzionalità del sistema e i file che esso contiene.

Tuttavia, anche questa tecnica è in continua evoluzione. Volendo ottenere il massimo vantaggio dalle loro attività criminose, i pirati prendono oggi di mira le aziende che archiviano dati o offrono l'accesso online a diverse organizzazioni. I fornitori che servono più aziende sono uno dei principali bersagli, perché entrare nel loro sistema può consentire di accedere a centinaia se non a migliaia di sistemi dei clienti, come nel caso di una società che elabora transazioni di pagamento.

Tutto lascia supporre che il ransomware continuerà ad avere una crescita esponenziale perché è tra i metodi preferiti dai cybercriminali. A oggi le principali cause della sua diffusione sono la mancanza di cautela da parte dei dipendenti (51%), le protezioni antivirus inefficaci (45%) e i software o dispositivi di sicurezza non aggiornati o senza patch (26%).

Fortunatamente, la maggior parte delle aziende è in grado di eliminare queste cause. Formare i dipendenti a riconoscere e gestire le email o telefonate fraudolente con cui i malintenzionati cercano di impossessarsi di informazioni riservate può ridurre significativamente il rischio di errori umani. Ogni azienda dovrebbe includere nella propria strategia di contenimento dei rischi una procedura prestabilita per la segnalazione delle attività sospette.

Analogamente, i reparti IT dovrebbero eseguire regolarmente l'aggiornamento di tutti i software e applicativi di sicurezza e verificare che gli antivirus in uso siano in grado di fronteggiare le nuove minacce via via che si manifestano.

I dati sono sempre stati uno strumento chiave per i risk manager così come per broker e sottoscrittori. Stiamo entrando ora in una nuova era dell'utilizzo dei dati, che potrebbe rivelarsi un momento di svolta per chi si occupa di gestione dei rischi.

L’IoT applicato alla produzione industriale sta trasformando il modo in cui le aziende lavorano: sensori e dispositivi interconnessi vengono utilizzati per migliorare i processi di produzione e hanno portato ad una maggiore efficienza, oltre a generare una considerevole quantità di preziosissimi dati.

La capacità di sfruttare e analizzare questi dati, utilizzandone tutto il potenziale, trasformerà il modo in cui i risk manager svolgono il proprio lavoro.

Nel mese di novembre, a Berlino, parteciperò al forum della Federazione delle Associazioni Europee di Risk Management (FERMA): farò parte di un panel che rifletterà su come l’AI e l'utilizzo dei dati cambieranno il mondo della gestione dei rischi.

Non vedo l’ora di scoprire le opinioni dei miei colleghi partecipanti al panel e del pubblico presente in sala: questo è un argomento molto importante per AXA XL e stiamo partecipando a numerose prove di fattibilità che riteniamo possano fornire indicazioni chiave circa l’utilizzo dei dati e sul modo in cui sarà possibile migliorare la comprensione e la gestione dei rischi da parte dei risk manager, dei risk engineer e dei sottoscrittori.

AI e dati

Nel settore delle attività commerciali l’AI sta entrando a far parte della vita quotidiana. Secondo le ricerche più recenti, oggi, in Europa, si contano circa 1.600 start-up  in questo settore. .

In molti casi, l’IAI aiuta le imprese non solo a lavorare in modo più efficiente, ma anche a gestire i rischi in modo diverso.

Un esempio concreto è rappresentato dalla nostra partnership con Parsyl Inc., una piattaforma a servizio della supply chain che consente agli spedizionieri, ai loro clienti e agli assicuratori di conoscere le condizioni in cui sono conservate le merci fragili o deperibili.

Dei sensori posizionati accanto al carico forniscono informazioni dettagliate sulle merci lungo la supply chain. I dati forniti da questi sensori su variabili come temperatura, luce, umidità e movimento, consentono ai nostri risk engineer di formulare raccomandazioni pratiche per evitare sinistri o minimizzarne l’impatto.

La combinazione del data mining, impossibile per un essere umano, con le facoltà umane di analisi e interpretazione dei dati ha cambiato completamente le carte in tavola per quanto riguarda la gestione dei rischi.

È facile immaginare come questo sistema possa evolversi fino a rendere facilmente assicurabili quei beni che sono attualmente molto difficili da assicurare.

Per esempio, possiamo pensare ai vaccini: attualmente, il trasporto dei vaccini non prevede una copertura assicurativa totale. I vaccini sono molto sensibili ai mutamenti esterni ed è fondamentale che non siano in alcun modo soggetti ad alterazione: i sottoscrittori devono quindi avere un quadro estremamente preciso delle condizioni in cui i vaccini vengono conservati durante il trasporto.

In alcune aree geografiche le informazioni sul trasporto risultano discontinue, nella migliore delle ipotesi, e questo rende praticamente impossibile per i sottoscrittori ottenere garanzie sulla qualità del vaccino una volta raggiunta la destinazione.

Stiamo lavorando a una prova di fattibilità per cercare di trovare una soluzione a questo problema.

Sensori sofisticati, data mining, analisi dei dati e ingegneria del rischio potrebbero fornire ai risk manager e ai loro assicuratori una panoramica più precisa su ciò che accade ai vaccini mentre vengono trasportati.

Questo non solo consentirà di far arrivare più vaccini a coloro che ne hanno bisogno, ma ridurrà anche le perdite e renderà la copertura assicurativa per i vaccini lungo l'intera catena di approvvigionamento una proposta molto più praticabile e conveniente.

Ingegneria del rischio

Esistono molti altri modi in cui riteniamo che l’intelligenza artificiale possa avvantaggiare i risk manager e fornire loro dati utilizzabili e significativi.

Pensiamo, ad esempio, alla categoria dei rischi nel ramo Property. L’utilizzo delle nuove tecnologie dovrebbe consentire alle compagnie assicurative di fornire ai clienti servizi di ingegneria del rischio e prevenzione delle perdite 24 ore su 24, 7 giorni su 7.

Un’altra prova di fattibilità in cui siamo stati coinvolti ha riguardato il posizionamento di una "scatola nera" in aree ad alto rischio incendio all’interno della sede di un cliente.

La scatola nera estrae i dati creando un dashboard del rischio costantemente aggiornato: in questo modo la manutenzione può essere eseguita non appena si rende necessaria ed è possibile ridurre drasticamente il rischio di perdite. Questo sistema favorisce a sua volta la longevità dei beni dell'azienda.

Un’altra area in cui l’analisi dei dati e l’IAI saranno utili ai risk manager è quella che coinvolge le attività in cui i lavoratori sono sottoposti a stringenti requisiti di sicurezza, come ad esempio il lavoro in quota o il trasporto di materiali pericolosi o pesanti.

La tecnologia “indossabile” può fornire informazioni, proprio come la scatola nera menzionata in precedenza, per avvisare i risk engineer ed i risk manager in caso di potenziale pericolo e per consentire a un lavoratore di correggere i propri movimenti o la propria postura prima che si verifichi qualcosa di grave.

Potrebbe essere necessario un cambiamento culturale per far sì che queste innovazioni possano davvero fare la differenza.

I risk manager dovranno trattare questi cambiamenti con grande attenzione: ad esempio, è importante che i lavoratori sappiano che sarà la loro sicurezza ad essere monitorata e non i loro spostamenti o la loro produttività.

L'aspetto umano

Sono molti i modi in cui l’AI e l’utilizzo dei dati incidono sulle nostre vite. È però importante ricordare che queste innovazioni non sostituiranno mai certe abilità umane. Piuttosto, sono le persone che devono sfruttare il potere di queste nuove tecnologie per svolgere meglio il proprio lavoro.

Un essere umano non può analizzare i dati alla stessa velocità di alcuni supporti tecnologici. Ma solo un essere umano può capire l’importanza dei dati raccolti, cogliere le sfumature dei risultati e interpretare le informazioni.

I risk manager svolgono un ruolo estremamente importante in aziende di ogni tipo. È mia convinzione che le nuove tecnologie porteranno la gestione del rischio verso una nuova era.