Novembre 24, 2024

Lo scorso 25 maggio 2018 è entrata in vigore una normativa europea di enorme impatto sul trattamento e la protezione dei dati personali da parte di professionisti e imprese: il GDPR (General Data Protection Regulation). Questa normativa, che tenta di uniformare a livello europeo il trattamento dei dati e il diritto di ciascuno di noi di esercitare il controllo sulle proprie informazioni personali, presenta alcune novità.

La violazione dei dati nel GDPR

Vale la pena di soffermarsi su quella che ha il maggiore rilievo in termini di protezione ed assistenza assicurativa, ossia l’obbligo del titolare del trattamento dei dati di comunicare alle autorità competenti l’avvenuta violazione (data breach) entro 72 ore dal momento in cui ne è venuto a conoscenza.
“[A] meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.” (Art.85) Prosegue il Regolamento all’Art.86: “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti quali le autorità incaricate dell’applicazione della legge. Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione.”

L’impatto dei rischi informatici sulle PMI

Per fare il punto su che impatto hanno i danni informatici sulle piccole e medie imprese in Italia, possiamo riferirci ad uno studio presentato da Accenture nel 2017 sui costi del cyber crime. In media, nel mondo ogni azienda subisce circa 130 violazioni informatiche all’anno, un valore raddoppiato rispetto a cinque anni prima. Il costo annuo complessivo è pari a 11,7 milioni di dollari, in Italia 6,73 milioni di dollari. Sono inoltre cresciuti i tempi per la risoluzione dei danni informatici: risolvere una ransomware – semplificando, un tipo di virus che limita l’accesso ai sistemi informatici e richiede il pagamento di un riscatto per ripristinare il sitema – richiede circa 23 giorni, mentre per ripristinare i sistemi dopo una vera e propria aggressione hacker possono volerci oltre 50 giorni.

Cosa coprono le polizze cyber risks

Ci sono diverse soluzioni assicurative sul mercato a tutela dei rischi informatici. In alcuni casi si tratta solo di garanzie integrative all’interno di soluzioni multirischio, in altri invece di vere e proprie polizze ad hoc. Passiamo di seguito in rassegna le principali e più interessanti voci di copertura.

Data Breach

In caso di violazione dei dati – ad esempio il furto di nomi, indirizzi, email, numeri di carte di credito di clienti da un sito di e-commerce – è possibile stipulare contratti assicurativi con cui coprire le spese di ripristino del sistema nonché le spese di difesa legale conseguenti a eventuali richieste di risarcimento danni da parte di clienti vittime di frode.

Danni alla rete

In caso di danni alla rete intranet aziendale – causati da hackers o da software difettosi – che comporti la sua messa off-line o che, peggio, infetti sistemi IT ad essa collegati (clienti/fornitori), la polizza può coprire:

  • le maggiori spese conseguenti all’assunzione di manodopera aggiuntiva per una celere rimessa in funzione del sistema;
  • i danni propri e quelli cagionati a terzi (clienti/fornitori) per il mancato accesso ai sistemi;
  • le spese legali conseguenti ad eventuali perdite di dati dei consumatori.

Furto di dispositivi aziendali

L’assicurazione può inoltre coprire il furto di smartphone, tablet o laptop aziendali e le conseguenti perdite di dati in essi contenuti.

Prevenzione ed assistenza

Infine – e questo è un trend sempre più incisivo nel mercato assicurativo – le polizze sui rischi informatici presentano sempre una sezione dedicata all’assistenza post sinistro molto strutturata, che consenta all’impresa o al professionista di non essere solo nella gestione della crisi: dalla gestione delle pubbliche relazioni in caso di massiccia violazione dei dati sensibili, alla gestione investigativa in caso di estorsione informatica (ransomware). Inoltre, anche alla prevenzione viene dedicata una speciale attenzione: i contratti assicurativi cyber risks prevedono generalmente – sia in fase assuntiva sia in fase di rinnovo annuale – una valutazione esauriente del rischio informatico dell’impresa tramite piattaforme digitali dedicate.