201803.07
0
0

Clausola claims made e polizze cyber

in News

 Il contributo che segue – a proposito di clausole claims made e polizze cyber, anche in virtù di alcune sentenze della Corte di Cassazione – sulla Solvency II, l’importanza degli indici di solvibilità ed il peso che questi dovrebbero sempre avere in sede di sottoscrizione di un contratto assicurativo – è stato curato dall’Avv. Alberto Batini, socio fondatore e resident partner dell’ufficio di Londra dello Studio Batini Traverso Grasso & Associati (BTG Legal), nonché responsabile mondiale del Marine Special Interest Group di Global Insurance Law Connect (network internazionale di studi legali specializzati nel diritto assicurativo) 

Clausola claims made e polizze cyber – a cura dell’Avv. Alberto Batini – Partner Batini Traverso Grasso & Associati (BTG Legal) 

A distanza di poco meno di un anno dal pronunciamento delle Sezioni Unite della Corte di Cassazione (SS.UU. n. 9140 del 6 maggio 2016), la clausola claims made fa nuovamente discutere con recenti sentenze della Suprema Corte. Con sentenza 26 aprile 2017, n. 10506, la terza sezione civile della Suprema Corte applica il principio di meritevolezza della tutela ex art. 1322, comma secondo, codice civile ad una clausola di polizza che subordinava la copertura al fatto che tanto il danno quanto la richiesta di risarcimento avvengano nel periodo di durata dell’assicurazione, per negarne l’efficacia. 

Afferma in particolare la Suprema Corte: 

“La clausola c.d. claim’s made, inserita in un contratto di assicurazione della responsabilità civile stipulato da un’azienda ospedaliera, per effetto della quale la copertura esclusiva è prestata solo 

se tanto il danno causato dall’assicurato, quanto la richiesta di risarcimento formulata dal terzo, avvengano nel periodo di durata dell’assicurazione, è un patto atipico immeritevole di tutela ai sensi dell’art. 1322, comma secondo, c.c., in quanto realizza un ingiusto e sproporzionato vantaggio dell’assicuratore, e pone l’assicurato in una condizione di indeterminata e non controllabile soggezione” 

Da notare che ANIA era già intervenuta sull’argomento a favore della clausola claims made con un Position Paper nell’ottobre 2014, enucleando i problemi delle tradizionali clausole loss occurrence. 

Nei sinistri a manifestazione ritardata (long tail claims) o di lunga latenza il regime di garanzia loss occurrence, secondo ANIA, non appare efficiente e comporta numerose problematiche. 

In particolare il loss occurrence: 

  • impone alle imprese di stimare un importo di risarcimento sulla base di criteri valutativi non necessariamente in uso al momento della tariffazione; 
  • origina il fenomeno dell’IBNR (incurred but not reported, sinistri che sono avvenuti ma che non sono stati ancora denunciati), con la conseguenza che se un’impresa decidesse di uscire dal mercato dovrebbe fare i conti con le difficoltà che ne conseguono; 
  • comporta la necessità per l’assicuratore di effettuare proiezioni statistico-attuariali relative alla sinistralità tardiva, i cui eventuali errori di stima gravano su annualità di bilancio future rispetto a quella della polizza attivata; 
  • implica che l’assicurato non può prevedere se al momento della denuncia di sinistro la compagnia sarà attiva ed operante sul mercato: è infatti possibile che la polizza sia stata rilasciata da una compagnia non solida oppure che le condizioni del mercato siano cambiate in modo così radicale da comprometterne la stabilità; 
  • comporta la difficoltà di fissare nel tempo il momento esatto che rende operante la garanzia; 
  • non esclude la possibilità che siano astrattamente attivabili più coperture prestate da diversi assicuratori nei distinti momenti del processo di sviluppo del rischio da danno potenziale a danno effettivo e manifesto; 

Ho voluto quindi provare ad applicare i principi del nuovo regime “claims made” di elaborazione giurisprudenziale, alle polizze assicurative dei rischi cibernetici (o cyber risks policies). L’analisi che ne segue è tecnica prima ancora che giuridica. 

Le polizze cyber sono generalmente prestate nella forma “claims made”, salvo ove diversamente previsto. Esse pertanto coprono le richieste di risarcimento conseguenti ad eventi assicurati non noti verificatisi successivamente la data di retroattività indicata nel certificato ed avanzate per la prima volta nei confronti dell’assicurato nel periodo di assicurazione e da questi debitamente denunciate agli Assicuratori durante il periodo di assicurazione o durante la postuma (se concessa). 

I triggers di polizza (eventi assicurati) più comuni nelle polizze italiane sono: 

  • L’accesso non autorizzato o la trasmissione non autorizzata di dati personali per i quali la società assicurata è responsabile (responsabile del trattamento o titolare del trattamento – Legge privacy); 
  • Intrusione dovuta a difetto di sicurezza del sistema informatico della società assicurata (inclusi: accesso e uso non autorizzato, un attacco che provochi interruzione di servizio o di accesso, la ricezione o trasmissione di un codice che esegue operazioni nocive, di software nocivi o virus…); 
  • Un attacco cyber di terzi e/o qualsiasi effettivo o presunto atto, errore, omissione, negligenza o violazione colposa di doveri, attuale o asserita, da parte di un assicurato che abbia determinato: 
  • 1. Il furto, l’alterazione o la distruzione di dati elettronici di terzi; 
  • 2. L’accesso non autorizzato; 
  • 3. Il rifiuto di accesso al sistema informatico da parte di un utente autorizzato; 
  • 4. Alterazioni del sistema informatico che determinino guasti e/o danni a sistemi informatici di terzi; 
  • 5. La trasmissione di un malware al sistema informatico di un terzo; 

e nelle polizze di diritto anglosassone: 

The unauthorized acquisition, access, use or disclosure of, or the loss or theft of personal data, which compromises the security or privacy of that information such that it poses a significant risk of financial harm to the data subject; or any unauthorized acquisition, access, use or disclosure of personal data which triggers your obligations under any statute, law or regulation to make any notification of such unauthorized acquisition, access, use or disclosure 

Il problema principale generato dall’invalidità della clausola claims made in una tipica polizza cyber, risiede nel periodo di incubazione del malware e del virus informatico. Più breve è detto periodo di incubazione, più veloce sarà l’acquisizione di consapevolezza da parte dell’assicurato circa il verificarsi di una intrusione non autorizzata di ignoti nel proprio sistema informatico, che potrà essere denunciata agli assicuratori come circostanza o come danno a seconda delle condizioni di polizza e dei triggers in vigore. Al contrario, più lungo è il tempo di incubazione, maggiore è l’interesse dell’assicurato (non dell’assicuratore) a condizioni assicurative che gli consentano di “cristallizzare” la copertura assicurativa in attesa di una richiesta di risarcimento che necessariamente non potrà che essere futura ed eventuale. 

Esaminiamo tecnicamente le più comuni minacce informatiche esistenti sul mercato, tenendo in conto che l’abilità degli hackers e verosimilmente i fondi di entità ignote e stati nazione dietro questo business multimiliardario consentono aggiornamenti e perfezionamenti ormai quasi giornalieri. 

Cos’è un malware? La risposta è semplice e la si può cercare proprio nell’etimologia della parola che deriva dall’inglese malicious software, letteralmente programma malvagio detto anche codice maligno. 

Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall’utente anche per lunghi periodi di tempo (e.g. Regin malware). 

Le principali tipologie di malware sono: 

Virus: Per capire cos’è e come funziona un virus informatico dobbiamo prima capire perché si chiama in questo modo. I Virus informatici prendono il nome grazie alle analogie con i virus biologici. Un virus informatico attacca determinati tipi di file modificandone totalmente o parzialmente il funzionamento permettendo anche di replicarsi, mentre un virus biologico invece dei file modifica le cellule per gli stessi scopi, i virus biologici hanno la capacità di rimanere silenti e quindi di non mostrare alcun sintomo (incubazione), alcuni virus informatici hanno la medesima capacità. I Virus informatici non utilizzano internet per la loro diffusione ma devono appoggiarsi per forza di cose ad un programma esistente, infettandolo modificando parte del codice. Il programma infetto deve essere avviato da parte dell’utente. Essi non sono più diffusi come in passato visto l’avvento di Internet che ha aperto strade verso le attualmente più diffuse forme di malware. 

Worm: sono piccolissimi software autoreplicanti indipendenti capaci di infettare non solo un singolo file, ma un intero sistema operativo in modo da avviarsi autonomamente. Per la diffusione utilizzano spesso tecniche di ingegneria sociale applicata alle mail ed a siti internet poco affidabili oppure sfruttano dei bug per insediarsi all’interno di un pc senza l’ausilio di un utente esterno. Sono tra i più diffusi attualmente. Il più delle volte si limitano a rallentare il sistema operativo facendolo lavorare inutilmente. Possono avere periodi di incubazione di media durata (qualche mese). 

Ransomware: sono generalmente dei “malware mutanti”. La loro mutazione si ottiene attraverso l’attivazione di file totalmente diversi dal medesimo link a intervalli di tempo molto ravvicinati, anche nell’ordine del quarto d’ora. Da questi link vengono scaricati i file che potranno scatenare la crittografia dei dati o, in alternativa, l’attacco di altre tipologie di virus quali dropper, rootkit eccetera. Di fatto, con una frequenza di mutazione e distribuzione così ravvicinata, nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme di identificazione), sarà ragionevolmente in grado di bloccare preventivamente. Hanno inoltre un periodo di incubazione praticamente nullo. 

L’attivazione del ransomware produce immediatamente gli effetti malevoli e dannosi come il blocco dei file di uso più comune quali DOC, XLS, MDB, JPG eccetera e, in più di qualche occasione, anche i file di backup di alcuni dei più comuni sistemi in uso. 

CryptoLocker, CTB-Locker, CryptoWall e TeslaCrypt sono solo alcune delle molte varianti di crypto-malware che vengono re-impacchettati ogni ora con lo scopo di impedirne l’intercettazione e che per questo vengono anche chiamati malware “polimorfici”, cioè mutanti. Tale caratteristica è ottenuta attraverso l’attivazione dal medesimo link, ad intervalli di tempo molto ravvicinati, di file totalmente diversi. Con una frequenza di mutazione/distribuzione così assidua i software Antivirus basati su un approccio preventivo tradizionale non sono in grado di bloccare i crypto-malware, che hanno un periodo di incubazione praticamente nullo. 

Trojan horse: molto spesso celati sotto dei programmi che offrono utili funzionalità per indurre l’utente ad utilizzarli. Non hanno capacità di replicazione quindi devono essere inviati consapevolmente alla vittima. Contengono svariate istruzioni maligne che possono avere varie funzionalità. Possono avere periodi di incubazione brevi o lunghi a seconda del tipo di malware trasmesso. 

Regin malware: il 24 Novembre 2014 Symantec, la nota società che si occupa di sicurezza, ha pubblicato un rapporto sul malware “Regin”, un Trojan protagonista di campagne massive di spionaggio realizzate ai danni di obiettivi internazionali che includono aziende, enti pubblici e istituti di ricerca. 

Quasi la metà delle infezioni rilevate hanno interessato privati e piccole imprese e in particolare gli attacchi alle società di telecomunicazioni sembrano essere stati progettati per accedere al traffico telefonico. Si tratta di un malware complesso – difficile da rilevare – e il cui sviluppo e funzionamento hanno certamente richiesto un notevole investimento di tempo e risorse. Il malware in discorso cattura le credenziali, monitora il traffico di rete ed acquisisce illegittimamente informazioni sui processi in esecuzione e utilizzo di memoria. Regin è un malware flessibile che consente agli attaccanti di eseguire azioni personalizzate in base a singoli obiettivi decisi di volta in volta. Utilizza tecnologia Stealth per renderlo talora invisibile anche ai più sofisticati software di contrasto. Anche quando è individuato è spesso difficile capire cosa stia facendo e come stia operando. Symantec fu in grado soltanto di analizzare il payload dopo aver decriptato alcuni files campione. Ha periodi di incubazione potenzialmente lunghissimi e comunque modificabili dall’aggressore. 

Bootkit: un programmino capace di insediarsi nel boot sector di un pc come, per esempio, l’mbr di Windows non limitandosi ad infettare il sistema ma addirittura di diventare parte integrante del sistema stesso. Periodo di incubazione medio lungo. 

Conclusioni 

Come si vede, salvo poche eccezioni (Ransomware e CryptoLocker), la maggior parte dei malware in circolazione opera con periodi di incubazione lunghi o potenzialmente molto lunghi. Il periodo intercorrente tra l’accesso (l’infection) ed il manifestarsi dei sintomi e dei danni è variabile ma tendenzialmente può anche essere di alcuni mesi ed in alcuni casi anche di anni. E’ quindi interesse dell’assicurato, più che dell’assicuratore, beneficiare di una polizza assicurativa cyber in forma claims made piuttosto che loss occurrence. Ciò considerando soprattutto la difficoltà, in moltissimi casi, di risalire alla data esatta dell’infezione, operazione che potrebbe avere costi di forensic experts talora elevatissimi e ben superiori ai sotto limiti di polizza. Il principio indicato dalle Sezioni Uniti della Cassazione nel 2016 e, recentissimamente, applicato dalla terza sezione civile della Cassazione, mediante richiamo ai principi di meritevolezza della tutela ex art. 1322 secondo comma, c.c. potrebbe pertanto non applicarsi a fattispecie di rischi cibernetici, laddove la tutela opera esattamente in senso contrario. 

Leave a Reply

Your email address will not be published. Required fields are marked *