Rischio informatico – Concetto e fondamenti della nuova soluzione per il settore alberghiero e della ristorazione

Expertise 06.05.2021


Il rischio informatico non è più solo un fenomeno, ma è una minaccia reale. Il settore assicurativo considera il rischio informatico, unitamente alla pandemia, uno dei maggiori pericoli futuri per l’economia e la società. La nostra dipendenza da sistemi informatici, Internet, server esterni e molto altro aumenta di anno in anno. Siamo più attaccabili, ricattabili e, in effetti, negli ultimi tempi sempre più albergatori e ristoratori sono stati bersaglio di attacchi informatici. La protezione assicurativa è sempre più richiesta. L’inserimento del rischio informatico nella nostra soluzione pool non è quindi che una logica conseguenza.

Il concetto di rischio informatico si riferisce a una serie di rischi potenziali correlati alla tecnologia o alle informazioni di un’azienda. In questi rientrano il furto di identità, la trasmissione di informazioni sensibili, l’interruzione dell’attività di un’azienda in seguito a un attacco informatico, danni alle banche dati arrecati da un hacker, furto di dati preziosi, introduzione di malware e altri codici informatici dannosi o errori dei propri collaboratori, che provocano la trasmissione di informazioni confidenziali o danneggiano la reputazione dell’azienda.

Il rischio informatico non riguarda tuttavia solo i rischi per la propria infrastruttura informatica, ma tocca anche temi giuridici molto delicati del diritto sulla protezione dei dati, la personalità e la responsabilità civile. Un esempio è il Regolamento generale sulla protezione dei dati UE (RGPD), su cui si basa anche la Legge svizzera sulla protezione dei dati (LPD). Questo regolamento prevede inoltre che le aziende che ricevono dati personali degli utenti finali sono responsabili di questi dati anche se li inoltrano a terzi. Per il settore alberghiero e sempre più anche per quello della ristorazione, queste disposizioni sono estremamente importanti, poiché molte prenotazioni, compresi i dati necessari, si svolgono mediante portali online.

Classici rischi informatici sono:

Ransomware: in questo caso un software dannoso infetta il computer della vittima e cifra i dati. Questo provoca la paralisi dei sistemi informatici colpiti. Per un hotel questo può significare il mancato funzionamento di tutti i sistemi, dal software di prenotazione a quello che gestisce le chiavi delle camere.

Phishing: in questo caso viene usata un’esca (p.es. finta e-mail) per ottenere la password e/o altre informazioni della vittima. In questo caso viene inviato per lo più un link a un sito web appositamente allestito che, in caso di apertura, carica direttamente un software dannoso nel computer o richiede alla vittima dei dati tra cui password o dati dei conti bancari.

Frode della carta di credito: in questo caso di tratta per lo più dell’utilizzo di numeri di carte di credito rubate o della falsificazione di dati delle carte di credito. Le possibilità sono molteplici: con un’e-mail fraudolenta si chiedono per esempio direttamente dei dati oppure i dati vengono sottratti attraverso un sito web non sicuro. Questo può interessare l’azienda, ma anche direttamente gli ospiti, per esempio se a essere stato attaccato è il sistema dell’azienda.

Insider: una minaccia spesso sottovalutata è costituita dagli attacchi da parte dei collaboratori. Le indagini sui sinistri nel settore dei rischi informatici evidenziano che una percentuale elevata di attacchi e sottrazione di dati avviene attraverso collaboratori interni o per lo meno viene resa possibile da questi.

Frode del CEO: qui i contabili o altri collaboratori autorizzati a effettuare pagamenti vengono invitati a versare somme cospicue su un terzo conto. Spesso i criminali assumono l’identità del CEO e chiedono ai collaboratori interessati la massima riservatezza.

Assicurabilità dei rischi informatici

Quello del rischio informatico è tra i prodotti assicurativi più giovani. Non tutti i casi informatici sono coperti dalle attuali soluzioni d’assicurazioni. Per esempio il summenzionato uso fraudolento della carta di credito, ovvero il pagamento fatto con una carta di credito rubata, o la frode del CEO solitamente non sono coperti da un’assicurazione per rischio informatico (catalogo con le esclusioni generali di Zurich Assicurazioni > vedi art. 5 delle CGS). Un grande problema degli assicuratori è che i sinistri del rischio informatico possono essere difficilmente calcolati, poiché oltre ai costi direttamente calcolabili vi sono anche molti costi non direttamente misurabili, tra cui per esempio la perdita di reputazione o i comportamenti estorsivi. Acquisendo un’esperienza sempre maggiore in questo ambito di sinistri, gli assicuratori adatteranno e miglioreranno costantemente i loro prodotti. Quello che è indubbio è che, con la crescita delle minacce informatiche, anche le tariffe nel mercato assicurativo sono destinate a salire continuamente.

Per continuare a leggere, scaricare il PDF

Christoph Brun

Responsabile di mandato senior & Membro della squadra