Le principali cause di business interruption sono infatti i cyber attacchi, seguiti dalle catastrofi naturali, dalla pandemia e dalla disruption della supply chain.
L’Italia è uno dei Paesi più sotto-assicurati d’Europa. Per capire come si possa colmare questo gap, MAG ha intervistato Gabriele Giacoma, amministratore delegato di Assitca, realtà nata nel 1982 e quotata a Piazza Affari dal 2015, e attiva nella gestione dei rischi d’impresa e nel brokeraggio assicurativo.
Indice dei contenuti
Quali sono i nuovi tipi di rischio che si riscontrano nell’ultimo periodo?
Dagli ultimi report di mercato si può notare che ci troviamo di fronte a nuovi trend che sono diventati di massima importanza solo pochi anni fa. Un esempio sono i rischi informatici, che costituiscono una priorità sia per le persone fisiche che per le imprese. Le crisi spesso hanno l’effetto di accelerare trend che esistevano già ma si muovevano a ritmi più bassi. L’Italia, per elementi fortuiti, è stato uno dei primi Paesi industrializzati a entrare in una forte crisi pandemica. In quei mesi l’Italia è stato il Paese più soggetto agli attacchi informatici dopo gli Stati Uniti.
Un altro aspetto è quello della business interruption: per la prima volta il nostro Paese ha vissuto un lockdown, con il conseguente smart working, e alcune aziende, non considerate essenziali, si sono dovute fermare. Si sono conseguentemente create delle disruption nella supply chain, oggi aggravate dalla mancanza di materie prime e dalla crisi energetica, con il conseguente innalzamento dei prezzi.
Ci sono altri trend da segnalare?
Abbiamo assistito anche a un forte incremento in termini di frequenza ed entità degli eventi climatici, quindi di tutti quei danni provocati dalle catastrofi naturali come uragani, alluvioni, siccità e incendi.
Nel 2021, secondo vari studi, i danni relativi a questi eventi corrispondono a 105-115 miliardi di dollari assicurati. Se li elenchiamo sembrano temi disgiunti, in realtà sono fortemente correlati. Le principali cause di business interruption sono infatti i cyber attacchi, seguiti dalle catastrofi naturali, dalla pandemia e dalla disruption della supply chain. Quindi sono tutti la causa-effetto, l’uno dell’altro.
La guerra in Ucraina può acuire il rischio di cyber attacchi?
La crisi ucraina potenzialmente alza il livello di allerta, ma la protezione attuale del mercato e del Paese, a livello di infrastrutture, aziende e persone, è così bassa che c’è da fare indipendentemente dalla guerra.
Sempre più attività di svolgono online, quindi sta cambiando completamente il mercato dell’utilizzo dei dati, oltre che la profilazione del rischio delle imprese.
Anche nel rischio informatico c’è un gap fondamentale che deve essere coperto: il 70% degli attacchi va a buon fine non perché sia particolarmente sofisticato ma per una disattenzione umana, perché qualcuno ha cliccato su un link inserendo le proprie credenziali o aprendo un allegato di una mail.
Per quanto riguarda la business interruption, ancora oggi il numero di aziende che ha un piano di continuità non è alto.
Come è possibile far fronte a questi rischi?
Essendo temi dall’impatto strategico, devono essere gestiti con una nuova modalità nella direzione di una gestione integrata del rischio. In primo luogo è necessario capire come si può evitare che si concretizzino avvenimenti disruptive, quindi agire in maniera preventiva. Si deve poi organizzare l’azienda in modo che sia resiliente, in grado di mitigare i rischi e ripartire velocemente. Infine la parte residua di rischio deve essere inserita in una polizza e trasferita al mercato assicurativo.
Secondo uno studio di Mediobanca e Cineas, che confronta i dati delle aziende che hanno implementato una gestione integrata del rischio con chi non lo ha fatto, le realtà che hanno scelto di tutelarsi in questo modo hanno livelli di redditività molto superiori, perché sono abituate a pianificare, fare strategie e definire degli scenari alternativi.
Come si devono comportare le aziende in concreto?
Il rischio informatico è percepito come tecnico, ma deve necessariamente essere messo sui tavoli dei consigli di amministrazione delle aziende. Si devono prendere in considerazione tre livelli di sicurezza: organizzativa, logica e fisica. Devono infatti essere inclusi sia gli strumenti, sia i comportamenti dei dipendenti, per fare in modo che tutte le persone siano formate sulle procedure e coscienti del rischio.
In che modo la normativa può aiutare ad andare in questa direzione?
Le leggi a cui ci si deve adeguare sono spesso degli ottimi veicoli di sviluppo. Il fatto di dover ottemperare a una norma, aiuta ad analizzare la propria situazione rispetto a essa. Parliamo tanto di cybersecurity anche grazie alla recente normativa sulla privacy, che ha spinto le aziende a guardarsi all’interno per capire la gestione di questi dati.
Perché, nonostante questi stimoli, l’Italia resta un Paese in cui ci si assicura poco?
La cultura sull’argomento è scarsa, quindi anche la percezione del rischio è bassa. Quello che cerchiamo di spiegare alle aziende è che se non si conosce un tema è difficile riuscire a valutarlo. Come Assiteca, abbiamo creato e investito una fetta importante del fatturato sulla formazione. Siamo uno dei più grandi operatori del settore e partiamo dal presupposto che, se vuoi crescere, il mercato te lo devi creare. Tanti anni fa abbiamo creato un’academy con cui eroghiamo dei corsi che sono molto seguiti online, i manager si iscrivono e possono formarsi sul risk management. Il successo dell’iniziativa mostra che esiste una sete di sapere, bisogna trovare i canali giusti per trasmetterlo. (e.f.)
Commento a cura di Gabriele Giacoma, amministratore delegato di Assiteca
