Nel contesto delle Comunità Energetiche Rinnovabili (CER), la sicurezza informatica gioca un ruolo sempre più cruciale. In questa intervista, un intermediario assicurativo spiega come proteggersi.
L’integrazione tra impianti fotovoltaici, sistemi di gestione digitale dell’energia e piattaforme di condivisione dati espone spesso le CER a potenziali minacce cyber. Con il recepimento della Direttiva europea NIS2, che da ottobre 2024 punta a rafforzare la sicurezza informatica nell’Unione Europea, diventa essenziale valutare come le polizze cyber possano proteggere non solo le aziende, ma anche le comunità energetiche dagli attacchi informatici.
Tuttavia, mentre le polizze multirischio cyber si concentrano sulla protezione dei dati e delle reti informatiche, il Reddito Energetico Nazionale (REN, cioè un finanziamento statale in conto capitale finalizzato alla realizzazione di impianti fotovoltaici a uso domestico) e le CER richiedono coperture specifiche per garantire la continuità operativa degli impianti e la tutela del reddito generato dall’energia prodotta.
Di questo e di altri temi legati alla sicurezza parla in questa intervista Andrea Voltolini, esperto intermediario assicurativo e titolare dell’agenzia EuroPoste Tolentino (in provincia di Macerata), che fa parte di EuroPoste Holding, una solida realtà presente dal 2008 con una rete di oltre 200 promotori in tutta Italia. Specializzato in polizze di investimento, protezione di attività e fabbricati, e assicurazioni per autoveicoli, Voltolini spiega innanzitutto quali soluzioni sono presenti sul mercato in ambito cybersecurity.
Cosa sono le polizze multi-rischio cyber e perché sono difficilmente applicabili al REN?
Le polizze multirischio cyber sono strumenti assicurativi progettati principalmente per proteggere le aziende dalla perdita o dalla compromissione di informazioni sensibili, come documenti digitali o cartacei sottratti a seguito di attacchi informatici o furti fisici. Tuttavia, queste polizze non coprono eventuali sanzioni derivanti dal mancato rispetto di normative, come il GDPR (General Data Protection Regulation, il Regolamento UE 2016/679 in materia di protezione dei dati personali). Ogni polizza assicurativa è concepita per coprire un rischio specifico.
Secondo il Codice delle Assicurazioni, una polizza nel ramo danni tutela da eventi futuri e incerti. Nel caso del Reddito Energetico Nazionale, che è legato agli impianti fotovoltaici sia privati che industriali, le coperture assicurative pertinenti sarebbero piuttosto quelle che proteggono la produttività dell’impianto e la continuità del reddito generato.
Per esempio, una polizza specifica per impianti fotovoltaici potrebbe prevedere garanzie per la perdita di reddito in caso di guasti nei primi dieci anni di vita dell’impianto, in base alle condizioni fornite dal produttore o dall’installatore. Di conseguenza risulta difficile, al giorno d’oggi, stabilire un legame diretto tra una polizza cyber, che tutela prevalentemente i dati, e il reddito energetico, che dipende dalla continuità operativa degli impianti. Le due tipologie di rischio appartengono a settori distinti e richiedono coperture assicurative specifiche per la loro natura.
Photo: Onlyyouqj / Freepik
In un contesto sempre più digitalizzato, quindi, quali sono i principali rischi cyber che aziende e privati devono affrontare oggi?
La Direttiva NIS2 mira a rafforzare la resilienza informatica e a proteggere le infrastrutture critiche in tutta Europa. È fondamentale che aziende e professionisti comprendano i miglioramenti necessari nella propria strategia di sicurezza, le conseguenze della non conformità e i passi da intraprendere per allinearsi ai requisiti della NIS2, con particolare attenzione alla gestione del rischio e alla risposta agli incidenti.
Tra i principali rischi informatici rientrano le password deboli, l’uso di reti WiFi non sicure, la condivisione di file non crittografata, una superficie di attacco estesa e l’utilizzo di dispositivi personali non adeguatamente protetti.
Quali caratteristiche dovrebbe avere una polizza di copertura per la cyber sicurezza e quali tipologie di danni vengono generalmente coperte?
Una polizza cyber risk deve garantire una protezione ampia e flessibile, coprendo sia la perdita di informazioni sia il furto di dispositivi aziendali. Un esempio tipico è il furto di un laptop aziendale, evento che potrebbe comportare una perdita di dati sensibili e avere conseguenze economiche e operative significative. In questi casi, la polizza può intervenire per mitigare il danno e supportare il ripristino dell’attività.
Esistono differenze significative tra le polizze offerte alle PMI e quelle destinate alle grandi aziende? Le assicurazioni cyber prevedono servizi aggiuntivi e come si inseriscono nel contesto del GDPR?
Le grandi aziende gestiscono in media 15 soluzioni di sicurezza e si avvalgono di 23 specialisti dedicati, mentre le PMI, con una disponibilità tecnologica e di personale più limitata, adottano in media 9 soluzioni di sicurezza, spesso con funzionalità di base, e si affidano a soli 4 specialisti per la gestione delle minacce informatiche. Lo ha rivelato lo studio “IT Security Economics Report 2024” dell’azienda di software Kaspersky. La carenza di professionisti qualificati rappresenta una delle principali sfide per le piccole e medie imprese, che devono affrontare rischi sempre più complessi con risorse spesso inadeguate. Le polizze cyber si suddividono in due grandi categorie di coperture.
Da un lato, vi sono le garanzie per i danni diretti e per l’interruzione dell’attività, che comprendono i costi di ripristino dei dati, interruzione dell’attività per un attacco informatico (perdita di ricavi) e le spese dovute a un data breach (fuga di dati). Dall’altro, vi sono le coperture legate alla conformità al GDPR, che includono tutti i costi per essere compliance alla normativa vigente, come i costi di notifica, il monitoraggio del credito e le investigazioni informatiche.
Photo: DC Studio / Freepik
Quali sono i criteri principali da valutare prima di scegliere una polizza cyber o multirischi?
Nella scelta di una polizza è essenziale considerare tre dimensioni chiave: l’organizzazione interna dell’azienda e la sua capacità di gestire la sicurezza, i processi interni adottati per mitigare i rischi informatici e l’infrastruttura tecnologica su cui si basano le operazioni aziendali. Le garanzie offerte da una polizza cyber generalmente comprendono diverse aree di copertura. La protezione dalle perdite pecuniarie assicura il recupero degli importi sottratti tramite frodi informatiche, come il furto o la clonazione di carte di credito e debito, gli acquisti online fraudolenti e il furto d’identità.
La responsabilità civile tutela l’azienda per i danni causati a terzi dall’uso improprio di strumenti digitali, mentre la tutela legale fornisce assistenza in caso di controversie relative all’utilizzo del web, agli acquisti online e alle violazioni della privacy. Infine, i servizi di assistenza garantiscono supporto in caso di emergenze informatiche, imprevisti in viaggio e protezione contro fenomeni come il cyberbullismo, il cyberstalking e il revenge porn.
Guardando al futuro, quali tendenze si stanno sviluppando nel settore assicurativo per far fronte ai nuovi rischi digitali ed energetici?
Il settore assicurativo si sta evolvendo rapidamente per rispondere alle nuove minacce digitali. L’analisi dettagliata delle esigenze del cliente e dello storico degli attacchi informatici consente di sviluppare prodotti sempre più mirati ed efficaci.
La tendenza attuale è quella di integrare coperture che non solo proteggano dalle minacce informatiche, ma che tengano conto anche dei nuovi rischi legati alla transizione energetica e all’uso sempre più diffuso delle tecnologie digitali nei processi aziendali.
