Cyber Insurance in Italia: coperture, esclusioni e requisiti nel 2025

Il panorama della cyber insurance in Italia attraversa una fase di profonda trasformazione, sospesa tra l’accelerazione della domanda e la necessità di ridefinire i parametri di rischio in un contesto geopolitico e tecnologico sempre più complesso. Mentre il mercato globale delle assicurazioni informatiche si prepara a raggiungere i 32 miliardi di dollari entro il 2030 secondo le proiezioni contenute nel rapporto “Cyber Insurance – Risks and Trends 2025” di Munich Re, l’Italia rappresenta un territorio di sviluppo strategico ma ancora largamente sottoassicurato, con meno del dieci percento delle imprese dotate di una copertura specifica contro i rischi cyber.

La crescita del settore assicurativo cyber nel nostro Paese risponde a una convergenza di fattori che hanno progressivamente elevato la consapevolezza del rischio informatico da questione meramente tecnica a tema di governance aziendale.

L’implementazione del Regolamento UE 2016/679 (GDPR) ha rappresentato il primo vero spartiacque, rendendo tangibili e quantificabili le conseguenze economiche delle violazioni dei dati attraverso un sistema sanzionatorio che può arrivare fino al quattro percento del fatturato globale annuo. A questo si sono aggiunti gli obblighi derivanti dalla Direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024 pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, e l’entrata in vigore del regolamento DORA (Digital Operational Resilience Act) dal 17 gennaio 2025, che ha imposto al settore finanziario requisiti ancora più stringenti in materia di resilienza operativa digitale.

L’indagine IVASS sulle polizze cyber risk dell’ottobre 2023, che ha esaminato cinquanta contratti assicurativi (ventisei dedicati alle PMI e ventiquattro rivolti a privati e famiglie), ha messo in luce un’offerta caratterizzata da significative eterogeneità e ambiguità contrattuali. Circa trenta compagnie propongono soluzioni cyber ma con presupposti di assicurabilità, esclusioni e linguaggi tecnici spesso divergenti tra loro. Questa frammentazione genera complessità interpretative che possono tradursi in contenziosi al momento della liquidazione dei sinistri, quando l’assicurato scopre che determinate fattispecie di danno sono escluse o soggette a franchigie tali da ridurre significativamente l’indennizzo effettivo.

L’architettura delle coperture: tra danni propri e responsabilità verso terzi

Le polizze cyber italiane si articolano tipicamente su tre direttrici fondamentali, ciascuna con caratteristiche e limitazioni specifiche che richiedono un’attenta valutazione da parte del sottoscrittore. La prima direttrice riguarda i cosiddetti “danni propri” (first party coverage), ovvero l’insieme delle perdite dirette subite dall’organizzazione colpita. In questa categoria rientrano le spese di risposta all’emergenza cyber, che comprendono l’intervento di specialisti forensi per l’identificazione della causa e dell’estensione dell’attacco, i costi per il ripristino dei sistemi informatici compromessi e la ricostituzione dei dati danneggiati o crittografati.

La gestione della business interruption, ovvero la perdita di profitto derivante dall’indisponibilità totale o parziale dei sistemi IT, rappresenta uno degli aspetti più critici e onerosi, con impatti che in alcuni casi hanno raggiunto diverse settimane di fermo operativo.

La seconda direttrice concerne la responsabilità civile verso terzi (third party coverage), ambito particolarmente rilevante nell’economia digitale interconnessa dove una violazione può avere effetti a cascata su clienti, fornitori e partner commerciali. Le polizze coprono le richieste di risarcimento derivanti da violazioni della privacy e della riservatezza dei dati, dalla compromissione della sicurezza di rete e dai danni arrecati attraverso l’uso improprio di strumenti multimediali. A queste si aggiungono le coperture per diffamazione o calunnia online, violazione dei diritti di proprietà intellettuale e discriminazione perpetrata attraverso i canali digitali dell’azienda.

La terza componente riguarda gli aspetti legali e regolamentari, con particolare riferimento alle sanzioni amministrative previste dagli standard PCI-DSS Payment Card Industry (Payment Card Industry Data Security Standard) per le società che gestiscono transazioni con carte di pagamento e alle multe irrogate dalle autorità di vigilanza per violazioni normative. Alcune compagnie, prevalentemente di matrice anglosassone operanti sul mercato italiano, includono nella copertura anche i costi derivanti da estorsioni cyber, compreso il pagamento del riscatto in caso di attacco ransomware, sebbene tale aspetto sollevi evidenti questioni etiche e giuridiche legate al finanziamento di attività illecite.

Il territorio delle esclusioni: dove la copertura si arresta

L’efficacia di una polizza cyber risk si misura tanto per ciò che include quanto per ciò che esplicitamente esclude, e proprio su questo terreno si gioca spesso la differenza tra una copertura realmente protettiva e una mera illusione di sicurezza. La clausola di esclusione più controversa riguarda gli “atti di guerra”, presente nella stragrande maggioranza dei contratti analizzati dall’IVASS ma caratterizzata da un’ambiguità definitoria che può rivelarsi fatale in sede di liquidazione.

Il caso paradigmatico del malware NotPetya, che nel 2017 causò danni per oltre cento milioni di dollari a Mondelez International, ha evidenziato come gli assicuratori possano invocare l’esclusione per “guerra informatica” anche in presenza di attacchi che, pur essendo riconducibili ad attori statuali, colpiscono aziende private senza alcuna connotazione bellica formale.

Altrettanto problematica risulta la gestione degli attacchi ransomware nella copertura di base, frequentemente esclusi salvo sottoscrizione di estensioni specifiche a fronte di un premio aggiuntivo.

Questa scelta assicurativa appare paradossale se si considera che il ransomware rappresenta la minaccia informatica più diffusa e finanziariamente impattante per le imprese italiane, con un incremento registrato dal Rapporto Clusit 2024 sulla sicurezza ICT che ha visto l’Italia vittima del 7,6% degli attacchi globali con un aumento del 169% in soli dodici mesi. Gli attacchi di social engineering, incluse le tecniche di phishing e business email compromise, sono spesso esclusi dalla copertura base poiché considerati derivanti da negligenza umana piuttosto che da falle tecniche dei sistemi informatici, sebbene rappresentino uno dei vettori di attacco più efficaci utilizzati dai cybercriminali.

Le minacce interne, sia malevole che derivanti da negligenza dei dipendenti, raramente trovano tutela nelle polizze standard, così come sono tipicamente esclusi i danni causati da vulnerabilità note e non rimediate. Quest’ultima esclusione riveste particolare rilevanza pratica: se gli attaccanti sfruttano una falla di sicurezza di cui l’organizzazione era a conoscenza ma che non ha provveduto a correggere nei tempi appropriati, l’assicuratore può legittimamente negare l’indennizzo invocando la mancanza di diligenza da parte dell’assicurato. Analogamente, le interruzioni di sistema non causate da attacchi informatici ma da errori di configurazione, hardware failure o altri malfunzionamenti interni generalmente non rientrano nel perimetro di copertura.

I requisiti minimi di assicurabilità: dal questionario alla conformità

L’accesso a una polizza cyber richiede oggi la dimostrazione di un livello minimo di maturità nella gestione della sicurezza informatica, traducendosi in un processo di underwriting sempre più rigoroso e tecnicamente approfondito. Le compagnie assicurative sottopongono i potenziali assicurati a questionari dettagliati che indagano l’architettura dei sistemi IT, le politiche di sicurezza implementate e le procedure di gestione degli incidenti, con particolare attenzione ad alcuni requisiti divenuti ormai imprescindibili.

Il primo e più universale tra questi riguarda l’autenticazione multifattoriale (MFA), divenuta requisito tassativo dalla metà del 2022 per tutti gli accessi remoti ai sistemi aziendali. La pandemia ha dimostrato come le credenziali basate esclusivamente su username e password rappresentino il punto di ingresso privilegiato per gli attaccanti, rendendo l’MFA una misura di sicurezza fondamentale e non più negoziabile. Parallelamente, gli assicuratori richiedono l’implementazione di backup secondo la regola del 3-2-1, ovvero tre copie dei dati su due supporti diversi con almeno una copia disconnessa dalla rete aziendale.

La prassi di verificare periodicamente l’effettiva ripristinabilità dei backup attraverso test programmati è diventata parte integrante dei requisiti, dopo che numerosi sinistri hanno rivelato come le organizzazioni scoprissero l’inconsistenza o l’obsolescenza delle proprie copie di sicurezza solo al momento della necessità.

La protezione degli endpoint costituisce il terzo pilastro dei requisiti minimi, con gli assicuratori che non si accontentano più dei tradizionali antivirus ma richiedono soluzioni di Endpoint Detection and Response (EDR) o, preferibilmente, di Extended Detection and Response (XDR) che estendano la capacità di rilevamento e risposta anche ai server e agli apparati di rete.

La gestione delle vulnerabilità attraverso un processo strutturato di patch management e l’isolamento dei sistemi obsoleti non più supportati dai produttori completano il quadro dei presidi tecnici richiesti. A questi si aggiungono requisiti organizzativi quali la presenza di personale dedicato o di contratti di assistenza tecnica esterna, l’implementazione di programmi di formazione continua sulla security awareness e l’esistenza di un piano di disaster recovery e continuità operativa adeguatamente documentato e testato.

Secondo analisi condotte da operatori del settore assicurativo, circa il quaranta percento delle aziende italiane non è in grado di soddisfare questi requisiti minimi a causa di sistemi informatici sottodimensionati od obsoleti e di una scarsa attività di prevenzione, trovandosi di fatto escluse dalla possibilità di accedere al mercato della cyber insurance in Italia. Questo dato evidenzia un significativo protection gap che espone una vasta porzione del tessuto produttivo italiano a rischi finanziari potenzialmente devastanti, in un contesto dove gli attacchi informatici hanno registrato nel 2023 un impatto valutato come “elevato” nel 79% dei casi, rispetto al 50% dell’anno precedente.

L’impatto dei framework normativi: NIS2 e DORA come catalizzatori

L’evoluzione del quadro regolamentare europeo sta progressivamente ridefinendo i parametri di riferimento per la sottoscrizione delle assicurazioni cyber, introducendo standard di sicurezza più elevati che fungono da de facto requisiti anche per l’assicurabilità.

La Direttiva UE 2022/2555 (NIS2), che ha esteso significativamente il perimetro dei soggetti obbligati rispetto alla precedente versione, impone misure minime di cybersicurezza che includono l’analisi dei rischi, la gestione degli incidenti, la continuità operativa e la sicurezza della supply chain. I soggetti essenziali, che devono registrarsi entro il 28 febbraio 2025 presso la Piattaforma nazionale NIS dell’ACN, sono tenuti ad adottare l’autenticazione multifattoriale per tutti gli accessi, a implementare processi di gestione delle vulnerabilità e a garantire la segmentazione delle reti, requisiti che coincidono significativamente con quanto richiesto dalle compagnie assicurative.

Il Regolamento UE 2022/2554 (DORA), direttamente applicabile dal 17 gennaio 2025 senza necessità di recepimento nazionale, introduce per le entità finanziarie obblighi ancora più stringenti in materia di gestione dei rischi ICT, con particolare enfasi sulla resilienza operativa digitale e sulla gestione dei fornitori terzi di servizi critici. La normativa dedica trentasette articoli su sessantaquattro a requisiti in materia di sicurezza e resilienza, con un livello di dettaglio e prescrittività significativamente superiore rispetto alla NIS2. Per le organizzazioni che ricadono sotto entrambi i regimi normativi, DORA costituisce lex specialis e prevale sulla Direttiva NIS2, comportando l’applicazione del corpus normativo più rigoroso.

L’introduzione di questi framework normativi sta generando un effetto di convergenza tra compliance regolamentare e assicurabilità cyber, con le compagnie che sempre più frequentemente richiedono evidenze di conformità agli standard normativi come prerequisito per la sottoscrizione. Alcune realtà assicurative stanno sviluppando modelli di pricing che premiano le organizzazioni certificate secondo standard internazionali quali la ISO/IEC 27001:2022 per la sicurezza delle informazioni, riconoscendo un valore economico alla dimostrazione di processi strutturati e verificati da enti terzi.

Trend 2025: stabilizzazione, requisiti crescenti e segmentazione del mercato

L’anno in corso si configura come un momento di relativa stabilizzazione dopo il periodo turbolento che ha caratterizzato il biennio 2021-2022, quando i prezzi delle polizze cyber hanno subito aumenti drammatici a fronte di una escalation nella frequenza e gravità dei sinistri. Le analisi di S&P Global Ratings indicano prospettive stabili per il settore, ancorate ai guadagni di sottoscrizione conseguiti nel 2023 e 2024 grazie agli aumenti tariffari e alle condizioni di polizza più restrittive implementate nel periodo precedente.

I prezzi hanno registrato una diminuzione del quindici percento rispetto ai picchi raggiunti a fine 2021 e inizio 2022, pur rimanendo significativamente più elevati rispetto ai livelli pre-pandemia. S&P prevede che i premi annuali globali per le assicurazioni informatiche cresceranno da circa quattordici miliardi di dollari nel 2023 a ventitré miliardi di dollari entro il 2026, riflettendo un tasso di crescita annuale del 15-20%.

Il mercato europeo, che rappresenta attualmente circa il ventuno percento del mercato globale delle assicurazioni cyber contro il sessantanove percento del Nord America, è destinato a una crescita accelerata nei prossimi anni. Per le principali economie europee (Germania, Francia, Italia e Spagna), la potenziale crescita nella raccolta premi è stimata nell’ordine di settecento milioni di euro qualora si replicassero i livelli di penetrazione raggiunti nei mercati più maturi. Il mercato italiano specificamente è proiettato a crescere con un tasso annuale composto dell’11,091% nel periodo 2025-2035, passando dai duecento milioni di dollari stimati per il 2023 a settecentosei milioni entro il 2035.

Tuttavia, questa crescita non sarà uniforme né priva di sfide. Le compagnie assicurative stanno richiedendo requisiti di assicurabilità sempre più stringenti, con alcuni operatori che hanno pubblicamente dichiarato la volontà di ritirarsi dal mercato cyber a causa della difficoltà nel valutare accuratamente i rischi e nel gestire il potenziale accumulo di sinistri. La dichiarazione di Mario Greco, CEO di Zurich Insurance, sulla riluttanza a sottoscrivere nuove polizze cyber ha rappresentato un segnale della complessità che caratterizza questo ramo assicurativo, dove la mancanza di dati storici sufficienti e l’evoluzione continua delle minacce rendono estremamente complessa la modellizzazione attuariale del rischio.

Il segmento delle piccole e medie imprese rappresenta contemporaneamente la maggiore opportunità di crescita e la sfida più complessa per il mercato della cyber insurance in Italia. Le PMI, che costituiscono il tessuto portante dell’economia nazionale, sono sempre più esposte agli attacchi informatici ma spesso non dispongono delle risorse economiche e delle competenze tecniche necessarie per implementare i presidi di sicurezza richiesti dalle compagnie. Alcuni operatori stanno sviluppando piattaforme tecnologiche dedicate al segmento PMI che consentono di effettuare assessment automatizzati delle vulnerabilità esterne, di emettere polizze con condizioni flessibili che si adattano progressivamente ai miglioramenti della postura di sicurezza implementati dall’assicurato e di facilitare l’accesso al mercato riducendo gli oneri burocratici in ingresso.

L’intelligenza artificiale sta emergendo come fattore di trasformazione sia sul fronte delle minacce che delle opportunità. Da un lato, l’AI generativa sta potenziando le capacità offensive dei cybercriminali, rendendo più sofisticati gli attacchi di social engineering e accelerando lo sviluppo di malware polimorfi difficilmente rilevabili dai sistemi di difesa tradizionali. Dall’altro lato, le compagnie assicurative stanno integrando strumenti di intelligenza artificiale nei processi di sottoscrizione per analizzare più efficacemente i questionari, valutare automaticamente la postura di sicurezza attraverso l’analisi dell’esposizione digitale esterna e personalizzare i modelli di pricing sulla base di un numero più ampio di variabili di rischio.

Il fenomeno della doppia estorsione nei ransomware, dove oltre alla cifratura dei dati si procede all’esfiltrazione e alla minaccia di pubblicazione delle informazioni sottratte, sta modificando la struttura dei sinistri e la gestione delle richieste di indennizzo. Nel terzo trimestre del 2023, il novanta percento degli attacchi ransomware ha incluso questa modalità operativa, amplificando significativamente l’impatto reputazionale e le potenziali responsabilità verso terzi per le organizzazioni colpite. Le polizze stanno progressivamente adattando le coperture cyber per includere i costi di public relations e gestione della reputazione, oltre ai tradizionali aspetti di ripristino tecnico e interruzione operativa.

Criticità strutturali e prospettive evolutive

Il mercato italiano della cyber insurance si trova oggi di fronte a un paradosso: mentre la domanda potenziale è in costante crescita e la consapevolezza del rischio aumenta progressivamente, permangono significative barriere culturali e tecniche che ne limitano lo sviluppo. Cesare Burei, esperto di cyber risk insurance presso Margas, ha efficacemente sintetizzato questa situazione affermando di dover spesso agire come “mediatore culturale” piuttosto che come broker assicurativo, dovendo far dialogare al medesimo tavolo figure aziendali con basi culturali completamente diverse quali il CEO, il CFO, il direttore di produzione e il responsabile IT.

La mancanza di un linguaggio tecnico standardizzato tra le diverse compagnie assicurative rappresenta un ostacolo significativo alla comparabilità delle offerte e alla comprensione effettiva delle condizioni di polizza da parte degli assicurati. L’IVASS ha evidenziato come le definizioni di concetti fondamentali quali “attacco informatico”, “emergenza cyber” o “interruzione di attività” varino significativamente tra i diversi contratti, generando ambiguità interpretative che possono tradursi in contenziosi al momento della liquidazione. L’adozione di glossari standardizzati, quale il Cyber Lexicon del Financial Stability Board, rappresenterebbe un passo avanti fondamentale verso una maggiore chiarezza e trasparenza del mercato.

La questione dei cosiddetti “silent cyber risks”, ovvero le coperture implicite del rischio informatico presenti in polizze tradizionali non specificamente dedicate, costituisce un ulteriore elemento di complessità che richiede attenzione da parte sia degli assicuratori che degli assicurati. Molte polizze property o di responsabilità civile generale contengono clausole che potrebbero teoricamente coprire alcuni aspetti dei danni cyber senza che l’assicuratore abbia riservato una quota specifica di premio per questo rischio. Questa situazione genera incertezza sulla reale estensione delle coperture disponibili e può portare a sovrapposizioni o, al contrario, a lacune nella protezione complessiva dell’organizzazione.

Il ruolo degli intermediari specializzati, quali i broker con competenze specifiche nel cyber risk, sta diventando sempre più cruciale nel facilitare l’incontro tra domanda e offerta in un mercato caratterizzato da elevata complessità tecnica e continua evoluzione. Questi professionisti non si limitano a collocare polizze ma svolgono una funzione consulenziale che comprende l’analisi della postura di sicurezza dell’organizzazione, l’identificazione dei gap nei presidi implementati, il supporto nella selezione delle coperture più appropriate rispetto al profilo di rischio specifico e l’assistenza nella gestione del sinistro qualora si verifichi un incidente.

L’integrazione crescente tra coperture assicurative cyber e polizze Directors & Officers (D&O), che tutelano gli amministratori e i dirigenti dalle conseguenze delle loro decisioni gestionali, rappresenta un’evoluzione significativa nella protezione del top management. Le normative quali NIS2 e DORA attribuiscono responsabilità dirette agli organi di gestione in materia di cybersicurezza, richiedendo approvazione delle politiche di sicurezza, supervisione continua sull’implementazione delle misure e mantenimento di competenze aggiornate attraverso formazione specifica. Questa attribuzione di responsabilità personali sta generando una domanda crescente di soluzioni assicurative integrate che coprano tanto i danni all’organizzazione quanto le eventuali azioni di responsabilità nei confronti degli amministratori.

Conclusioni: verso una maturità del mercato

La cyber insurance in Italia si trova nel mezzo di una transizione fondamentale, che la sta conducendo da prodotto di nicchia per grandi organizzazioni sensibili al rischio a strumento standard di gestione del rischio per imprese di qualsiasi dimensione e settore. Il cammino verso questa maturità richiede tuttavia significativi progressi su molteplici fronti: la standardizzazione dei linguaggi contrattuali e delle definizioni tecniche, lo sviluppo di modelli attuariali più sofisticati basati su dataset più ampi e rappresentativi del contesto italiano, l’innalzamento generalizzato della postura di sicurezza delle organizzazioni attraverso investimenti in tecnologie e competenze, e l’evoluzione culturale che porti a considerare la cybersicurezza non come costo ma come investimento strategico per la continuità e la competitività aziendale.

I framework normativi europei, pur introducendo obblighi e complessità aggiuntive per le organizzazioni, stanno di fatto creando un terreno comune tra requisiti di compliance e condizioni di assicurabilità cyber, facilitando potenzialmente l’accesso al mercato assicurativo per quelle realtà che implementano seriamente i presidi richiesti dalle normative. La convergenza tra regolamentazione, standard tecnici internazionali e requisiti assicurativi rappresenta un’opportunità per elevare complessivamente il livello di resilienza del sistema economico italiano di fronte alle minacce cyber, trasformando la necessità di conformità in leva per la protezione effettiva delle organizzazioni e dei dati che esse gestiscono.

Il futuro della cyber insurance in Italia dipenderà dalla capacità del mercato di trovare equilibri sostenibili tra esigenze di redditività degli assicuratori, accessibilità economica per le imprese e ampiezza effettiva delle coperture offerte, in un contesto dove le minacce continueranno a evolversi e dove la trasformazione digitale dell’economia renderà il rischio cyber sempre più pervasivo e interconnesso. La sfida consiste nel costruire un ecosistema in cui la polizza assicurativa non sia percepita come sostituto della sicurezza ma come complemento naturale di una strategia complessiva di cyber risk management, dove prevenzione, protezione e trasferimento del rischio operino in sinergia per garantire la resilienza operativa delle organizzazioni nell’era digitale.

Condividi sui Social Network:

25 anni di eccellenza italiana nelle tecnologie quantistiche

Quando l’AI non è una bacchetta magica: promesse e limiti dell’intelligenza artificiale nella cybersecurity

Ransomware e intelligenza artificiale: il nuovo fronte della cybersecurity

Dal rilevamento alla prevenzione: come XM Cyber riduce la superficie d’attacco identificando i choke point critici

Dalla dottrina militare alla cybersecurity civile: come le Cyber Operations stanno ridefinendo la difesa digitale

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine