Come assicurare lo studio legale dal rischio di data breach


Le polizze assicurative degli studi legali appaiono ancora inadeguate per contrastare la minaccia informatica. Come è emerso, stando agli atti della indagine della procura di Roma EyEpyramid, gli studi professionali rappresentano una facile preda per i pirati del web. Non solo spesso sono detentori di informazioni sensibili relative ai proprio clienti ma sono anche più vulnerabili in quanto sprovvisti di adeguati sistemi di sicurezza.

Il problema della vulnerabilità informatica, in realtà, non riguarda solo gli studi legali ma in generale le piccole e medie imprese.
Stando ai risultati della quarta edizione del rapporto realizzato dall’osservatorio Cineas/Mediobanca sulla diffusione del risk management nelle imprese medie italiane (come tali si intendono quelle con un fatturato tra i 16 mio e 355 mio di euro), pubblicato a settembre 2016, sebbene il grado di percezione della minaccia informatica sia notevolmente aumentato rispetto agli anni passati, sono ancora pochissime le imprese che investono nella prevenzione e mitigazione di questa tipologia di rischio. Anche a livello assicurativo, seppur con delle eccezioni, l’offerta non è sempre esaustiva. E quella per gli studi legali non fa eccezione. L’entrata in vigore del decreto del Ministero della Giustizia 22 settembre 2016, che ha reso effettivo l’obbligo assicurativo previsto dalla Legge professionale 247/12 (introducendo requisiti minimi di copertura per infortuni e responsabilità professionale che le polizze sul mercato devono essere in grado di offrire), poteva rappresentare per le compagnie di assicurazione una buona occasione per implementare i prodotti per i professionisti del diritto anche con garanzie cyber specifiche. Nonostante nel corso degli ultimi anni l’ambito di applicazione delle polizze “All risk” offerte ai legali si è profondamente ampliato – andando a coprire, attraverso un sistema modulare di estensioni, anche attività che non rientrano strettamente nell’attività libero professionale tradizionale – sul fronte del rischio informatico, la maggior parte delle coperture offre garanzie solo per i danni derivanti dall’errato trattamento dei dati personali (incluse quelle derivanti da errata comunicazione e diffusione). Tale garanzia non può ovviamente rappresentare una risposta adeguata. La diffidenza delle compagnie assicurative ad offrire garanzie complete contro i pirati del web è principalmente legata alla oggettiva difficoltà di tracciare un confine se non certo, almeno potenziale della possibile esposizione economica. Inoltre, bisogna considerare che il cyber è un rischio complesso che richiede una gestione (e anche costi) molto più impegnativa rispetto ad altre categorie di rischio e a cui sarebbe necessario dedicare in polizza una sezione specifica.
Per dormire sonni tranquilli, probabilmente la cosa migliore, allo stato dei fatti, per i professionisti del diritto è quella di contrarre coperture ad hoc. Del resto non sono poche le compagnie che hanno iniziato a offrire prodotti di questo tipo, se non in relazione alla specifica professione di avvocato, almeno con riguardo alle attività di ufficio che comportano l’utilizzo di banche dati contenenti dati sensibili. Ma quali sono la garanzie che una polizza cyber deve essere in grado di offrire per potersi definire “completa”?

Premesso che la tipologia dei potenziali danni derivanti da un cyber attack può essere estremamente vasta (danni materiali, danni da business interruption, reputazionali o da estorsione informatica) le coperture che una polizza base cyber per potersi definire tale deve poter offrire sono le seguenti: 1) copertura per danni materiali al pc o al server (tale garanzia in genere è inclusa anche in una comune polizza incendio); 2) copertura per danni immateriali diretti determinati dall’impossibilità di accedere al sistema informatico e quindi di poter lavorare (business interruption); 3) copertura per danni derivanti da richieste di risarcimento di terzi (es. diffusione a causa di un cyber attack di dati sensibili). Inoltre, una buona polizza cyber deve senz’altro prevedere una serie di servizi di assistenza volti a ripristinare in tempi brevi l’utilizzo degli strumenti informatici. Last but not least, non bisogna comunque dimenticare che l’arma principale contro la minaccia informatica rimane sempre e comunque la prevenzione.

(Altalex, 23 gennaio 2017. Articolo di Simona Andreazza)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *