Una sentenza in tema di copertura di rischi di origine informatica
Un giudice della corte superiore del New Jersey ha risolto in favore del gigante farmaceutico Merck un contenzioso con la sua compagnia di assicurazione. Un attacco informatico proveniente dalla Russia, come confermato dall’FBI, ha arrecato danni significativi all’azienda, ma la compagnia di assicurazione aveva rigettato la richiesta di rimborso, in quanto questo attacco era stato considerato come “atto di guerra”.
Ecco una sintesi dell’antefatto.
Nel 2017 una azienda con sede in Russia, NotPetya, aveva perpetrato degli attacchi informatici contro grandi aziende degli Stati Uniti. Questi attacchi avevano creato danni significativi a diverse aziende, tra cui il gigante farmaceutico Merck, che aveva avanzato una richiesta di risarcimento al proprio assicuratore, stiamo parlando di 1, 4 miliardi di dollari, avvalendosi del fatto che era stata stipulata una polizza di tipo “all risks”, a copertura dei beni aziendali.
La compagnia di assicurazione aveva rigettato la richiesta di rimborso, in quanto affermava che tra le clausole di esclusione della copertura vi era anche il rischio di guerra.
L’azienda farmaceutica era ricorsa in giudizio e ha visto il giudice esprimersi in suo favore.
Passiamo ora ad offrire una breve illustrazione ai lettori di alcuni aspetti delle coperture assicurative, che un’azienda può attivare per proteggere i suoi beni.
Queste coperture assicurative si dividono per solito in due grandi categorie:
- all risk,
- named risk.
La polizza all risk copre tutti i rischi, senza elencarli, proprio perché li copre tutti, salvo le situazioni elencate nell’articolo di polizza dedicato alle esclusioni.
Per contro, la polizza named risks, o rischi nominati, copre solo i rischi che sono stati specificamente elencati nell’apposito articolo.
Appare evidente l’attrattiva della polizza all risks, legata al fatto che non vi è rischio di dimenticare alcun rischio, perché tutti sono compresi.
A questo punto però occorre andare a leggere con attenzione le esclusioni della copertura, che sono però alquanto standardizzate.
Ad esempio, una tipica clausola di esclusione è legata al fatto che il sinistro sia causato dalla trasmutazione dell’atomo, oppure da terremoto, oppure da fenomeni naturali estremi, come fulminazioni, allagamenti, inondazioni e simili. Una clausola di esclusione, quasi sempre presente, è appunto quella legata al fatto che il sinistro sia conseguente ad un “atto di guerra”.
A questo punto il giudice americano ha dovuto esprimersi circa il fatto che un attacco informatico, portato da una azienda criminale, con sede in Russia e con probabili stretti legami con il governo russo, potesse essere classificato come un atto di guerra.
Il fatto che l’attacco avesse caratteristiche informatiche, invece che materializzarsi in un’esplosione di un ordigno, il lancio di un missile od altro, non è rilevante, in quanto l’elemento rilevante è il fatto che l’attacco, quale sia stato lo strumento di attacco, abbia causato perdite materiali all’azienda attaccata, come appunto è avvenuto nella fattispecie.
In altre parole, il giudice ha ritenuto che la compagnia farmaceutica, in perfetta buona fede, leggendo il testo di polizza, si sentisse protetta da danni causati da qualsiasi causa di attacco, ad eccezione delle forme tradizionali di attacchi bellici.
La diffusione crescente degli attacchi per ransomware, che arrecano materiali economici all’azienda attaccata, fa sì che anche una polizza, che protegge solo i beni fisici dell’azienda, e non i servizi informatici, possa essere chiamata in causa, sulla base di questa sentenza.
Si mette così in evidenza la differenza che vi è fra una copertura assicurativa a protezione dei beni informatici e dei servizi che essi consentono di rendere clienti, ed una copertura assicurativa a protezione dei beni fisici dell’azienda.
A questo punto c’è da aspettarsi un sensibile aumento dei premi delle polizze all risks, perché è evidente, come ha dichiarato il portavoce di una grande compagnia assicurativa americana, che una compagnia non possa essere chiamata a rimborsare un danno da 1, 4 miliardi di dollari, senza in qualche modo trovare protezione contro possibili futuri eventi similari.
In alternativa, una possibile soluzione sarebbe quella di modificare il testo standard delle polizze all risks, precisando meglio che cosa significa “atto di guerra”.
Staremo a vedere cosa accadrà, ma nel frattempo i lettori coinvolti in questi temi prestino molta attenzione.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.