Stiamo assistendo a un susseguirsi di “cigni neri” che non ha forse eguali, per rapida successione, nella storia. COVID-19 è un altro esempio di quanto sia necessario essere preparati ad affrontare i rischi prevedibili ma meno probabili, con potenziale elevato impatto e ampissima diffusione
Il silent cyber security risk – cioè il rischio che eventi di cybersecurity assumano silenziosamente, nel tempo, una incidenza in contesti in cui tradizionalmente non erano considerati – è un concetto nato e radicato nel mondo assicurativo, come testimoniato dal fatto che molti dei più famosi e citati casi di data breach avvenuti nel recente passato negli Stati Uniti, sono approdati a cause legali di risarcimento con le compagnie di assicurazione incentrate non su polizze relative al rischio cyber, cioè l’affirmative cyber risk, ma su polizze tradizionali. Il tema può apparire rilevante ma limitato al settore assicurativo. Non è così, per almeno due ordini di motivi: innanzitutto, la copertura assicurativa non può essere l’unica strategia di risk management posta in essere dalle aziende per fronteggiare il cyber risk – silent o affirmative che sia – come fa notare in un recente memo rivolto ai clienti, la law firm americana Covington.
Poi, la rilevanza assicurativa del silent cyber risk appare transitoria: verrà superata man mano che le compagnie e i loro clienti rinnoveranno le polizze in essere, considerando adeguatamente anche questo aspetto. Per contro, emerge sempre più la necessità per le imprese di comprendere e valutare i rischi silenti connessi alla trasformazione digitale, spesso strisciante, che caratterizza questo inizio secolo e che l’emergenza COVID-19 non farà altro che accelerare, secondo modalità straordinarie e dunque poco strutturate. Consideriamo, per esempio, il ricorso massiccio e non pianificato allo smart working dovuto all’emergenza COVID-19. Esso inserisce nel perimetro di rischio delle imprese la sicurezza degli ambienti domestici dei dipendenti che sono, essi stessi, in evoluzione grazie all’affermarsi della domotica e all’uso condiviso di dispositivi sempre più sofisticati, dai tablet alle smart tv.
Non è l’unico caso: basti pensare come influisce la sicurezza dei dispositivi individuali inevitabilmente di uso promiscuo – professionale e privato – sull’operatività di impianti controllati da remoto, per esempio in agricoltura, così come sull’esplosiva prospettiva dell’e-health e del monitoraggio remoto dei pazienti.
Non si tratta solo di valutare il rischio in un determinato istante e in uno specifico contesto, ma di considerare la dinamica evolutiva di mille ambienti distinti e del tutto al di fuori del controllo aziendale e le implicazioni di sicurezza derivanti: videocamere domestiche cinesi, social media russi, app statunitensi, videogame online giapponesi, e-commerce da chissà dove, tutti insieme vanno a costituire un quadro che si somma alle dinamiche evolutive interne alle aziende che, spesso, non sono neppure coordinate fra loro sotto il profilo della sicurezza. Il rischio cyber, dunque, non si limita a insinuarsi silenziosamente nei domini delle polizze assicurative tradizionali ma si insinua, in modi più o meno espliciti e spesso non considerati, anche nell’evoluzione delle modalità operative delle imprese e, forse più lentamente, delle pubbliche amministrazioni. La discussione in corso nel mondo assicurativo porterà le compagnie a trovare strumenti per gestire correttamente queste dinamiche e, probabilmente, a trarne un legittimo profitto. La domanda da porsi è se un’analoga discussione sia aperta fra i loro clienti, cioè nelle imprese, e se tale discussione recepisca adeguatamente la complessità della sfida che è insita nel trasformare così radicalmente e in così poco tempo non solo il modo di produrre ma anche le relazioni sociali fuori e dentro l’azienda.
Sergio Fumagalli e Luca Bechelli comitato scientifico CLUSIT
