nuove clausole ed esclusioni polizze


C’era un tempo in cui ottenere una polizza cyber insurance era relativamente semplice: un questionario di poche pagine, qualche dichiarazione sull’uso dell’antivirus e dei backup, e la copertura era garantita. Quel tempo è finito.

L’esplosione dei sinistri ransomware tra il 2019 e il 2022, con riscatti medi passati da poche decine di migliaia a diversi milioni di dollari, ha costretto il mercato assicurativo a una revisione radicale dei criteri di sottoscrizione.

Il risultato è un mercato profondamente cambiato: premi aumentati del 50-150% in tre anni, questionari tecnici di assessment che richiedono evidenze concrete di controlli specifici e clausole di esclusione sempre più dettagliate che escludono dalla copertura esattamente gli scenari per cui le organizzazioni pensavano di essere assicurate.

Per i CISO e i responsabili IT, questo cambiamento ha implicazioni operative immediate: la polizza cyber non è più uno strumento che si acquista e si dimentica fino al sinistro. È un documento contrattuale che impone obblighi di sicurezza continui, che richiede evidenze documentali al momento della sottoscrizione e del rinnovo e che può essere invalidato – con conseguente rifiuto del risarcimento – se l’organizzazione non mantiene nel tempo i controlli dichiarati nel questionario di proposta.


Come cambia il mercato delle polizze cyber insurance

Il mercato globale della cyber insurance ha attraversato una fase di rapida maturazione accelerata dalla sinistrosità eccezionale del periodo 2020-2022.

Le compagnie assicurative, che in precedenza offrivano coperture ampie con criteri di sottoscrizione relativamente superficiali, si sono trovate a gestire un volume di sinistri ransomware che in alcuni casi ha superato i premi incassati, generando loss ratio superiori al 100%.

La risposta del mercato è stata duplice: aumento significativo dei premi e introduzione di requisiti tecnici di sicurezza sempre più stringenti come precondizione per la copertura.

In Italia, il mercato della cyber insurance rimane relativamente giovane rispetto ai mercati anglosassoni, ma la tendenza internazionale si sta trasferendo rapidamente anche nel contesto domestico.

Le compagnie internazionali che operano nel mercato italiano (Chubb, AXA XL, Zurich, Generali, Allianz) hanno allineato i propri questionari di sottoscrizione agli standard dei mercati più maturi, introducendo requisiti tecnici specifici che molte PMI italiane faticano a soddisfare.


Il risultato è un fenomeno di selezione avversa: le organizzazioni con posture di sicurezza deboli faticano a ottenere copertura o la ottengono a premi proibitivi, mentre quelle con controlli robusti beneficiano di condizioni più favorevoli.

L’impatto della direttiva NIS2 sui criteri di valutazione del rischio

L’entrata in vigore della direttiva NIS2, recepita in Italia con il D.lgs. 138/2024, ha introdotto un elemento di discontinuità significativo nel rapporto tra le organizzazioni nei settori critici e il mercato assicurativo cyber.

Da un lato, la NIS2 ha formalizzato un set di requisiti minimi di sicurezza che le organizzazioni sono tenute ad implementare (misure di gestione del rischio, autenticazione multi-fattore, gestione degli incidenti, sicurezza della supply chain) che coincidono in larga misura con i requisiti tecnici che gli assicuratori stavano già richiedendo.

Dall’altro, la direttiva ha aumentato il profilo di rischio delle organizzazioni soggette introducendo sanzioni significative per i soggetti non conformi, un elemento che gli assicuratori stanno iniziando a considerare nel pricing del rischio.

Dal punto di vista degli assicuratori, la NIS2 ha avuto un effetto paradossale: ha reso più trasparente e verificabile il livello di sicurezza delle organizzazioni nei settori critici attraverso il processo di registrazione ACN e le valutazioni di conformità, ma ha anche evidenziato che molte di queste organizzazioni hanno gap significativi rispetto ai requisiti della direttiva.


Le compagnie più sofisticate stanno iniziando a utilizzare la conformità NIS2 come indicatore proxy del rischio: un’organizzazione che può dimostrare adeguamento a NIS2 è, per definizione, un’organizzazione che ha implementato un set minimo di controlli di sicurezza che riducono il rischio assicurativo.

Dal questionario all’assessment tecnico: la nuova selettività delle compagnie

Il questionario di sottoscrizione tradizionale chiedeva dichiarazioni generiche: «avete un antivirus?», «eseguite backup regolari?», «avete un piano di incident response?». Le risposte erano autodichiarazioni non verificate, e le compagnie le accettavano come tali.

Il nuovo approccio degli assicuratori è radicalmente diverso: per le polizze sopra determinate soglie di massimale (tipicamente 2-5 milioni di euro) molte compagnie richiedono un assessment tecnico condotto da una terza parte indipendente prima della sottoscrizione.

Questo assessment verifica l’effettiva implementazione dei controlli dichiarati, non la sola dichiarazione della loro esistenza.

Per le polizze di importo inferiore, i questionari si sono evoluti in documenti molto più dettagliati che richiedono evidenze specifiche: non «avete la MFA?» ma «su quale percentuale degli utenti è implementata la MFA? Su tutti gli accessi remoti? Su tutti gli account privilegiati? Con quale tecnologia? Esistono eccezioni documentate?».


La capacità di rispondere a queste domande con precisione e con documentazione di supporto è diventata un prerequisito per ottenere condizioni competitive.

Le organizzazioni che rispondono in modo vago o che non dispongono della documentazione richiesta vengono classificate come rischi più elevati, con premi corrispondentemente più alti o coperture ridotte.

Le nuove esclusioni di polizza che minacciano il risarcimento aziendale

Le clausole di esclusione nelle polizze cyber insurance sono la sezione del contratto più critica e meno letta.

Le organizzazioni acquistano una polizza convinte di avere una copertura ampia per qualsiasi incidente cyber, e scoprono al momento del sinistro che l’evento specifico che si è verificato rientra in una delle numerose esclusioni previste dal contratto.

Questa scoperta, nel momento peggiore possibile, quando l’organizzazione sta già gestendo una crisi, può avere conseguenze finanziarie devastanti.


Le esclusioni nelle polizze cyber si sono moltiplicate e si sono rese più specifiche negli ultimi anni, in risposta alla sinistrosità elevata.

Alcune esclusioni sono storiche e relativamente note (gli atti di guerra e gli attacchi di cyber terrorismo) ma la loro interpretazione si è fatta più controversa dopo che alcune compagnie hanno tentato di applicare la war exclusion ad attacchi ransomware condotti da gruppi legati a governi stranieri (il caso NotPetya/Merck è il riferimento più citato, con dispute legali durate anni).

Le esclusioni più recenti e meno note riguardano invece la negligenza nell’aggiornamento dei sistemi, le vulnerabilità preesistenti, gli attacchi alla supply chain e le restrizioni specifiche sul ransomware.

Mancato aggiornamento dei sistemi e vulnerabilità preesistenti come causa di rifiuto

Una delle clausole di esclusione in più rapida diffusione riguarda gli incidenti causati da vulnerabilità note non patchate.

La logica è apparentemente ragionevole dal punto di vista dell’assicuratore: se una vulnerabilità critica è nota, pubblicata nel database CVE e per cui esiste una patch disponibile da settimane o mesi, un’organizzazione che non l’ha applicata ha contribuito causalmente al proprio danno attraverso negligenza.


In questi casi, le compagnie contestano il risarcimento totale o applicano clausole di riduzione proporzionale del risarcimento in funzione del «grado di colpa» dell’assicurato.

Questa logica ha implicazioni operative concrete: le organizzazioni con processi di patch management carenti sono esposte non solo al rischio tecnico di compromissione, ma anche al rischio assicurativo di vedersi negare il risarcimento proprio quando ne hanno più bisogno.

La documentazione del processo di patch management (SLA di remediation per ogni livello di severity, evidenza delle patch applicate con timestamp, gestione documentata delle eccezioni) diventa quindi un elemento di tutela assicurativa oltre che un controllo di sicurezza.

Un’organizzazione in grado di dimostrare che i propri processi di patch management sono strutturati e documentati è in una posizione molto più solida in caso di contestazione del sinistro, anche se una specifica vulnerabilità non era stata patchata alla data dell’incidente.

Attacchi alla catena di fornitura e limitazioni sulle infrastrutture di terze parti

Gli attacchi alla supply chain rappresentano uno degli scenari di maggiore incertezza nel mercato della cyber insurance. Il problema fondamentale è la diffusione del danno: un attacco a un singolo fornitore può colpire simultaneamente centinaia di clienti, generando sinistri aggregati che eccedono di gran lunga i premi raccolti.


Il caso SolarWinds, con migliaia di organizzazioni colpite attraverso un singolo aggiornamento software compromesso, ha evidenziato in modo drammatico l’esposizione sistemica degli assicuratori al rischio cyber della catena di fornitura.

La risposta del mercato è stata l’introduzione di clausole specifiche che limitano o escludono la copertura per incidenti originati da fornitori terzi, o che introducono sublimiti di copertura significativamente inferiori al massimale principale per questa categoria di eventi.

Le formulazioni di queste clausole variano significativamente tra le compagnie, ma alcune tendenze sono comuni:

  • esclusione o sublimite per incidenti causati da vulnerabilità nel software di terze parti installato nell’organizzazione assicurata;
  • limitazioni per incidenti causati da provider cloud o CSP di grandi dimensioni (con riferimento specifico agli hyperscaler);
  • clausole di aggregazione che limitano il risarcimento totale in caso di eventi sistemici che colpiscono simultaneamente un numero elevato di assicurati.

Prima di sottoscrivere una polizza, è essenziale verificare come vengono trattati gli scenari supply chain e negoziare esplicitamente le condizioni di copertura per i fornitori critici dell’organizzazione.

Clausole restrittive sui ransomware e sul pagamento dei riscatti

Il ransomware è la minaccia che più di ogni altra ha trasformato il mercato della cyber insurance, e le clausole relative sono tra le più complesse e controverse delle polizze moderne.


Le restrizioni più comuni riguardano tre aree: le condizioni per la copertura del riscatto, i requisiti tecnici che condizionano la copertura ransomware, e le implicazioni legali del pagamento.

Sul fronte del riscatto, molte compagnie hanno introdotto requisiti specifici:

  • il pagamento deve essere autorizzato dalla compagnia prima di essere effettuato (con tutto ciò che questo implica in termini di tempistiche in una situazione di emergenza);
  • deve essere gestito attraverso un intermediario specializzato approvato dalla compagnia;
  • deve seguire un processo di due diligence per verificare che il destinatario non sia un soggetto sanzionato (un requisito che deriva dal rischio di violazione delle normative OFAC negli USA e dei regolamenti europei sulle sanzioni).

La copertura del riscatto è inoltre condizionata alla dimostrazione che l’organizzazione non aveva opzioni alternative praticabili per il ripristino, il che significa che la presenza di backup immutabili e testati non solo è un requisito per mantenere la copertura ransomware, ma può anche essere usata dalla compagnia per contestare il pagamento del riscatto se i backup erano disponibili e avrebbero consentito il ripristino.

La logica è quella di un controllo morale sull’azzardo: la copertura ransomware non deve diventare un incentivo a non investire nei backup e a pagare il riscatto invece di ripristinare dai backup stessi.

I requisiti minimi di sicurezza richiesti per ottenere la copertura

Il mercato della cyber insurance ha de facto standardizzato un set di requisiti tecnici minimi che le organizzazioni devono soddisfare per ottenere copertura a condizioni ragionevoli.


Questi requisiti non sono sempre esplicitati in modo identico da ogni compagnia, ma convergono su un nucleo comune che riflette i controlli di sicurezza con il maggiore impatto sulla riduzione del rischio di sinistro.

La conoscenza di questi requisiti è essenziale non solo per chi sta per sottoscrivere una nuova polizza, ma anche per chi deve rinnovare una polizza esistente: i requisiti si sono inaspriti significativamente negli ultimi anni, e molte organizzazioni scoprono al rinnovo che i controlli che erano sufficienti tre anni fa non lo sono più.

Requisito Livello richiesto Impatto sul premio se assente
MFA su tutti gli accessi remoti e privilegiati Obbligatorio — assenza causa spesso diniego della polizza Rifiuto della proposta o esclusione della copertura per incidenti da credential theft
EDR/XDR su tutti gli endpoint Obbligatorio per la maggior parte degli assicuratori enterprise Aumento del premio del 20-40% o esclusione malware/ransomware
Backup immutabile testato periodicamente Obbligatorio per copertura ransomware Esclusione della copertura ransomware o sublimite significativo
Patch management con SLA documentati Richiesto processo formale con evidenze Esclusione per incidenti da vulnerabilità note non patchate
Segmentazione di rete e firewall aggiornati Richiesta documentazione dell’architettura di rete Aumento del premio o sublimite per incidenti da movimento laterale
Formazione periodica anti-phishing documentata Richiesta evidenza di training annuale con test Possibile esclusione per incidenti da social engineering
Piano di incident response testato Richiesto IRP documentato e testato con tabletop annuale Riduzione del premio fino al 10-15% se documentato e recente

Autenticazione a più fattori e protezione degli accessi privilegiati

L’MFA è diventato il requisito di ingresso più universale nel mercato della cyber insurance: senza MFA su tutti gli accessi remoti e su tutti gli account privilegiati, la maggior parte delle compagnie rifiuta la proposta o applica esclusioni significative per gli incidenti causati da compromissione delle credenziali.

La ragione è empirica: i dati di sinistrosità mostrano con chiarezza che la maggior parte degli incidenti ransomware e dei data breach inizia con la compromissione di credenziali non protette da MFA e gli assicuratori non intendono coprire rischi che l’assicurato potrebbe eliminare con un controllo relativamente semplice e poco costoso.

La protezione degli accessi privilegiati attraverso soluzioni PAM (Privileged Access Management) è il requisito successivo che molte compagnie stanno introducendo per le polizze di importo più elevato.


La logica è la stessa: gli account privilegiati sono il bersaglio finale della maggior parte degli attacchi ransomware (perché consentono di cifrare l’intera infrastruttura) e la loro protezione riduce significativamente il potenziale di danno anche in caso di accesso iniziale compromesso.

Le evidenze richieste tipicamente includono: nome e versione della soluzione PAM adottata, percentuale di account privilegiati gestiti attraverso il vault, modalità di gestione delle sessioni (registrazione, JIT access), e frequenza di rotazione delle password privilegiate.

Sistemi EDR e strategie di backup immutabile per la continuità operativa

L’EDR (Endpoint Detection and Response) è il secondo requisito tecnico universalmente richiesto: la presenza di un EDR con copertura completa degli endpoint è considerata dagli assicuratori come il controllo tecnico con il maggiore impatto sulla riduzione del tempo di rilevamento degli incidenti e quindi sul costo finale del sinistro.

Le compagnie più sofisticate distinguono tra EDR di diversa generazione, richiedendo strumenti con capacità di detection basata sul comportamento (behavioral detection) piuttosto che solo signature-based, e verificano la copertura effettiva attraverso il questionario: un EDR installato sull’80% degli endpoint lascia un 20% di superficie non protetta che può essere sfruttata come punto di ingresso.

Il backup immutabile, ossia un backup che non può essere modificato o cancellato da nessun processo, incluso il ransomware, è il requisito che condiziona specificamente la copertura ransomware.


La logica è diretta: se l’organizzazione ha backup immutabili, testati e aggiornati, il ripristino è possibile senza pagare il riscatto, riducendo il costo potenziale del sinistro per la compagnia.

Le caratteristiche richieste tipicamente includono: separazione fisica o logica dei backup dall’infrastruttura produttiva (air gap o immutabilità a livello di storage), frequenza dei backup proporzionata alla tolleranza alla perdita di dati (RPO), test di restore documentati con frequenza almeno trimestrale e conservazione per un periodo sufficiente a coprire il tempo medio di permanenza di un ransomware prima del rilevamento (tipicamente 30-90 giorni).

Errori nella compilazione della proposta e rischio di nullità del contratto

La nullità del contratto assicurativo o la sua annullabilità per dichiarazioni inesatte o reticenti è il rischio più grave che un’organizzazione affronta nel rapporto con la cyber insurance.

Il Codice civile italiano (art. 1892 c.c.) prevede che il contratto sia annullabile se l’assicurato ha taciuto o dichiarato inesattamente circostanze rilevanti per la valutazione del rischio, anche in buona fede, purché la compagnia dimostri che non avrebbe concluso il contratto o lo avrebbe concluso a condizioni diverse se avesse conosciuto la circostanza taciuta.

In ambito cyber, le dichiarazioni rilevanti sono quelle relative allo stato dei controlli di sicurezza: se al momento del sinistro emerge che un controllo dichiarato come implementato non lo era effettivamente, la compagnia ha basi solide per contestare il contratto.


Gli errori più comuni nella compilazione dei questionari di proposta non sono sempre frutto di malafede: spesso derivano da una conoscenza imprecisa dello stato dei controlli interni, dalla tendenza a rispondere in modo ottimistico («stiamo implementando la MFA» invece di «la MFA non è ancora implementata»), o dalla mancata comprensione del significato tecnico esatto delle domande.

Un responsabile IT che risponde «sì» alla domanda «avete un sistema di backup regolare» pensando ai backup dei file condivisi, senza considerare che i backup non sono testati e non sono immutabili, sta fornendo una risposta tecnicamente vera ma sostanzialmente fuorviante che potrebbe essere usata per contestare la copertura in caso di sinistro ransomware.

Come dimostrare l’adozione dei presidi organizzativi e la formazione del personale

La documentazione dei presidi di sicurezza organizzativi (policy scritte, procedure documentate, evidenze di formazione) è tanto importante quanto l’implementazione tecnica dei controlli.

Una compagnia che in fase di sinistro verifica lo stato dei controlli non si limita a guardare se i sistemi funzionano: verifica se esisteva una governance formale che richiedesse quei controlli, se il personale era formato sul loro utilizzo e se esisteva un processo di verifica periodica della loro efficacia.

La mancanza di documentazione, anche in presenza di controlli effettivamente implementati, indebolisce significativamente la posizione dell’assicurato in caso di contestazione.


Il fascicolo di compliance assicurativa, ossia l’insieme di documenti che l’organizzazione dovrebbe mantenere per supportare le dichiarazioni fatte nel questionario di proposta, dovrebbe includere almeno:

  1. le policy di sicurezza approvate e aggiornate (information security policy, acceptable use policy, incident response policy, backup policy);
  2. le evidenze dei training di security awareness con date e partecipanti;
  3. i report dei vulnerability assessment e penetration test più recenti;
  4. i log dei test di restore dei backup con i risultati;
  5. la documentazione del processo di patch management con SLA rispettati;
  6. i verbali dei tabletop exercise sull’incident response.

Questo fascicolo non deve essere prodotto al momento del sinistro, deve essere mantenuto aggiornato continuamente e deve essere disponibile in tempi brevi in caso di richiesta della compagnia.

Gestione dei sinistri: le buone pratiche per attivare la tutela finanziaria

La gestione del sinistro cyber è un processo che inizia molto prima che l’incidente si verifichi.

Le organizzazioni che gestiscono meglio i propri sinistri non sono necessariamente quelle che hanno le polizze più ampie: sono quelle che hanno costruito un rapporto strutturato con la compagnia prima dell’incidente, che conoscono in dettaglio le procedure di notifica e i tempi richiesti e che hanno predisposto la documentazione necessaria per supportare la richiesta di risarcimento.

In un momento di crisi operativa, avere un processo chiaro da seguire, invece di dover improvvisare mentre si gestisce l’emergenza tecnica, fa la differenza tra una gestione del sinistro efficiente e una caotica.


Il primo passo critico è la notifica tempestiva alla compagnia. La maggior parte delle polizze prevede un termine entro cui l’incidente deve essere notificato (tipicamente 24-72 ore dalla scoperta) e il mancato rispetto di questo termine può essere causa di riduzione o diniego del risarcimento.

Questo termine deve essere noto a chiunque nel team di incident response abbia responsabilità di comunicazione: non solo al CISO, ma anche al legal e al management che potrebbero essere i primi a ricevere informazioni sull’incidente.

La notifica iniziale non deve essere completa, anche perché è impossibile avere tutte le informazioni nelle prime ore, ma deve avvenire entro i termini contrattuali, anche se si tratta solo di una notifica preliminare che verrà integrata nelle ore e nei giorni successivi.

La documentazione dell’incidente, composta da cronologia degli eventi, sistemi coinvolti, misure adottate, costi sostenuti, è la base del risarcimento.

Le compagnie non rimborsano costi non documentati: ogni spesa sostenuta durante la gestione dell’incidente (IR team esterno, forensics, legal, PR, costi di ripristino, riscatto eventuale) deve essere documentata con fatture, contratti e evidenze del nesso causale con l’incidente.


Tenere un log cronologico dettagliato fin dalle prime ore, con timestamp, azioni intraprese, persone coinvolte e costi sostenuti, è una delle pratiche più semplici e più efficaci per massimizzare il rimborso assicurativo.

Le compagnie dispongono di liquidatori specializzati in sinistri cyber che valuteranno ogni voce di costo: la qualità della documentazione è direttamente proporzionale alla velocità e all’ampiezza del rimborso.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Paolo Tarsitano

Source link

Di