Cyber-assicurazione Per Le PMI: Cosa Copre, Cosa No – E Cosa Richiedono Gli Assicuratori

Le assicurazioni cyber sono tra i segmenti in piu rapida crescita nel mercato assicurativo. Swiss Re stima il volume globale dei premi per il 2025 a oltre 14 miliardi di dollari. Per le PMI svizzere si pone la domanda: vale la pena stipulare una polizza cyber — e cosa comporta realmente?

Cosa coprono le assicurazioni cyber

La maggior parte delle polizze cyber copre le conseguenze dirette di un incidente di sicurezza. Le prestazioni concrete variano a seconda del fornitore e della tariffa, ma il nucleo della copertura e simile nella maggior parte dei prodotti.

Incident Response e analisi forense: Costi per l’indagine sull’incidente, l’identificazione dei vettori di attacco e il contenimento del danno. Molti assicuratori collaborano con fornitori di servizi IR dedicati.
Interruzione dell’attivita: Mancato fatturato durante il periodo di inattivita — spesso la voce di costo singola piu elevata negli attacchi ransomware.
Ripristino dei dati: Costi per il ripristino di sistemi e dati da backup o tramite ricostruzione.
Spese legali e sanzioni: Spese legali, procedimenti regolatori e potenziali sanzioni ai sensi del GDPR o della nuova Legge svizzera sulla protezione dei dati (nLPD).
Costi di notifica: La nLPD prevede l’obbligo di segnalazione all’IFPDT in caso di violazioni della sicurezza dei dati. Con migliaia di clienti coinvolti, i costi si accumulano rapidamente.
Pagamento di riscatti: Sempre piu controverso. Alcuni assicuratori come AXA France hanno temporaneamente escluso i pagamenti ransomware dalla copertura. La tendenza va verso la restrizione.
Comunicazione di crisi: Consulenza PR e comunicazione con i clienti a seguito di un incidente.

Cosa non e coperto

Le esclusioni sono importanti almeno quanto la copertura. E qui che molte richieste di risarcimento falliscono.

Vulnerabilita note: Chi ignora una vulnerabilita di sicurezza critica per mesi e poi viene attaccato ha un problema. Gli assicuratori verificano se al momento dell’attacco era disponibile una patch.
Guerra e attacchi sponsorizzati da Stati: Dal 2023, Lloyd’s of London richiede clausole esplicite di esclusione bellica in tutte le polizze cyber. NotPetya nel 2017 ha generato contenziosi legali per miliardi proprio su questa questione.
Sicurezza di base inadeguata: Chi non rispetta le misure di sicurezza concordate contrattualmente rischia il rifiuto della prestazione.
Danni reputazionali a lungo termine: La perdita di clienti nei mesi e negli anni successivi a una violazione non e assicurabile.
Costi di miglioramento: I costi per il potenziamento della sicurezza dopo un incidente — nuovi firewall, migliore segmentazione — non sono coperti dall’assicurazione.
Furto di proprieta intellettuale: Il valore di segreti commerciali o progetti tecnici rubati e difficile da quantificare e generalmente escluso.

Cosa richiedono gli assicuratori prima della stipula

I tempi in cui un questionario con dieci domande era sufficiente per una polizza cyber sono finiti. Gli assicuratori hanno imparato dalle perdite degli ultimi anni e oggi pongono requisiti tecnici specifici.

Autenticazione multi-fattore (MFA): Obbligatoria per tutti gli accessi remoti, VPN, e-mail e account amministrativi. Senza MFA, la maggior parte dei fornitori non emette piu alcuna polizza.
Backup: Regolari, testati, offline o immutabili. Un backup che viene cifrato insieme al resto durante un attacco ransomware e privo di valore.
Endpoint Detection and Response (EDR): L’antivirus tradizionale non e piu sufficiente. Gli assicuratori richiedono soluzioni EDR moderne su tutti gli endpoint e i server.
Gestione delle patch: Un processo documentato per l’installazione tempestiva degli aggiornamenti di sicurezza. Patch critiche entro 14 giorni.
Formazione sulla security awareness: Formazione verificabile dei collaboratori, idealmente con simulazioni di phishing.
Piano di Incident Response: Un piano di emergenza documentato che viene regolarmente esercitato.
Penetration Testing: Un numero crescente di assicuratori richiede test di penetrazione regolari come prerequisito — oppure concede sconti sui premi alle aziende che possono dimostrarli.

Il paradosso dell’assicurazione cyber

C’e una certa ironia: un’azienda che implementa costantemente tutti i requisiti degli assicuratori — MFA, EDR, backup, patching, formazione, penetration test — ha gia ridotto massivamente il proprio rischio. La probabilita di un attacco riuscito diminuisce notevolmente. Ciononostante, un’assicurazione cyber rimane sensata: anche con una buona sicurezza non esiste una garanzia al cento per cento, e le conseguenze finanziarie di un incidente possono minacciare l’esistenza stessa dell’azienda.

Contesto svizzero

L’Associazione Svizzera d’Assicurazioni (ASA) ha pubblicato linee guida per le assicurazioni cyber che fungono da riferimento per il mercato svizzero. La FINMA vigila sugli assicuratori e presta sempre maggiore attenzione alla modellizzazione dei rischi nel settore cyber. Con la revisione della Legge sulla protezione dei dati (nLPD), in vigore da settembre 2023, gli obblighi di notifica sono diventati piu severi — un ulteriore motivo per cui le assicurazioni cyber stanno diventando sempre piu rilevanti per le PMI.

La prospettiva decisiva e questa: un’assicurazione cyber e una rete di sicurezza, non un sostituto della sicurezza. Chi si affida alla polizza trascurando le basi avra una spiacevole sorpresa in caso di sinistro.

Come Zerberos puo supportarLa

Molti dei requisiti tecnici posti dagli assicuratori possono essere soddisfatti attraverso misure di sicurezza mirate. Zerberos effettua penetration test e audit di sicurezza che non solo individuano vulnerabilita, ma fungono anche da documentazione per gli assicuratori. Numerosi fornitori concedono sconti sui premi alle aziende che possono dimostrare penetration test regolari. Le nostre valutazioni del rischio aiutano inoltre a valutare realisticamente la propria postura di sicurezza — un prerequisito per prendere la giusta decisione assicurativa.

Ci contatti per una consulenza senza impegno.

Fonti

Swiss Re Institute — Cyber Insurance: Strengthening Resilience (2024)
Munich Re — Cyber Insurance: Risks and Trends (2024)
Lloyd’s Market Association — Cyber War and Cyber Operation Exclusions (2023)
Associazione Svizzera d’Assicurazioni (ASA) — Linee guida per l’assicurazione cyber
FINMA — Comunicazioni di vigilanza sulla resilienza cyber
IFPDT — Nuova Legge sulla protezione dei dati (nLPD), in vigore dal 1 settembre 2023

Cosa coprono le assicurazioni cyber

Cosa non e coperto

Cosa richiedono gli assicuratori prima della stipula

Il paradosso dell’assicurazione cyber

Contesto svizzero

Come Zerberos puo supportarLa

Fonti

EU Cyber Resilience Act: Was Schweizer Unternehmen ab September 2026 beachten müssen

Lieferkettenangriffe 2026: Wenn Ihr IT-Dienstleister zum Sicherheitsrisiko wird

DarkSword iOS Exploit Kit: cosa può fare, cosa no – e perché non è un jailbreak

Sorveglianza con l’IA: Palantir, Pegasus e i confini della legalità

EU Cyber Resilience Act: Was Schweizer Unternehmen ab September 2026 beachten müssen

Lieferkettenangriffe 2026: Wenn Ihr IT-Dienstleister zum Sicherheitsrisiko wird

DarkSword iOS Exploit Kit: cosa può fare, cosa no – e perché non è un jailbreak

Cyber-assicurazione per le PMI: Cosa copre, cosa no – e cosa richiedono gli assicuratori

Cosa coprono le assicurazioni cyber

Cosa non e coperto

Cosa richiedono gli assicuratori prima della stipula

Il paradosso dell’assicurazione cyber

Contesto svizzero

Come Zerberos puo supportarLa

Fonti