IN COLLABORAZIONE CON

LA GESTIONE DELLA
CYBERSECURITY
NEL SETTORE
ASSICURATIVO

Report 2021 ANIA-CERTFin

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
SOMMARIO 2

. Executive summary

1. Organizzazione e Strutture di Cybersecurity

1.1 Un nuovo scenario per il 2020
1.2 Le strutture interne di Cybersecurity

2. Dimensionamenti dei fenomeni rilevati

2.1 Trend dei principali fenomeni cyber e relativi impatti
2.2 Clonazioni di siti web ufficiali e ghost broking

3. Mitigazione del rischio cyber

3.1 Budget per la Sicurezza informatica
3.2 Livello di maturità percepito
3.3 Iniziative di awareness
3.4 Cyber insurance

4. Dimensionamento delle attività di cyber insurance

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
 IN COLLABORAZIONE CON

EXECUTIVE
SUMMARY

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
EXECUTIVE
SUMMARY
4

La pandemia da COVID-19 ha modificato profondamente i modelli

organizzativi di molti settori, tra cui anche quello assicurativo.
Il ricorso al lavoro da remoto, unitamente all’incremento dei dispositivi
connessi alla rete e dei volumi di dati scambiati tra utenti, hanno ampliato
l’esposizione aziendale al rischio informatico, richiedendo una repentina
evoluzione della gestione della Cybersecurity.
Anche il settore assicurativo, come altri sul panorama italiano, si è
chiesto in che modo indirizzare gli investimenti in cyber security. Per tutti
la finalità è stata quella di ridurre il rischio supportando le proprie
strutture aziendali con l’incremento di addetti dedicati alla tematica e
adottando strumenti atti a tutelare i processi nelle nuove configurazioni
organizzative imposte dal momento storico che stiamo vivendo.
È quindi evidente come oggi, più di un anno fa, la gestione della sicurezza
informatica non passi solo attraverso il team di Information Technology
ma debba essere affrontata con il supporto di differenti professionalità,
competenze e l’awareness di ogni stakeholder che interagisca con
l’impresa.
Le compagnie hanno confermato operativamente come ogni singolo
individuo sia fondamentale nel mantenimento del framework di sicurezza
complessivo organizzando iniziative di awareness a dipendenti, reti
distributive e agli utenti o clienti dei propri prodotti assicurativi.
La pubblicazione del secondo report - edizione 2021- relativo alla
Cybersecurity nel settore assicurativo si pone come obiettivo di fornire
alle imprese assicuratrici dati ed insight utili per valutare la propria
security posture, tenendo in considerazione gli strumenti, le strategie e le
minacce più comuni all’interno del settore assicurativo italiano.
EXECUTIVE
SUMMARY
5

In continuità con l’attività svolta nell’anno precedente, su iniziativa di ANIA

e di CERTFin è stata diffusa una survey di settore con l’obiettivo di:
- analizzare la conformazione delle strutture di cybersecurity adottate
dal settore raffrontandole con quanto emerso nella precedente edizione
(Capitolo 1);
- effettuare un dimensionamento ed un’analisi degli impatti di alcuni
eventi cyber rilevati dalle imprese assicurative italiane nell’arco del 2020
(Capitolo 2);
- mappare i volumi di budget destinati alle attività di sicurezza informatica,
il livello medio di maturità rispetto a diversi ambiti di cybersecurity
percepito e le iniziative di sensibilizzazione adottate (Capitolo 3);
- quantificare il mercato delle polizze di cyber insurance, che si conferma
essere in crescita e di interesse per il settore (Capitolo 4).
Ringraziamo i colleghi delle 19 Imprese che hanno dedicato tempo a questa
iniziativa, permettendo la realizzazione di questo report giunto alla sua
seconda edizione.

Tutte le attività legate all’impostazione, all’elaborazione dei dati della

survey e alla redazione del Report sono state condotte da:
Per ANIA: Sergio Mattiuz, Giancarlo Vismara
Per CERTFin: Romano Stasi, Mario Trinchera, Roberto Tordi,
Maria Ferrucci, Piero Piperno, Simone Coltellese

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
 IN COLLABORAZIONE CON

1
ORGANIZZAZIONE
E STRUTTURE
DI CYBERSECURITY

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
ORGANIZZAZIONE
E STRUTTURE 7
DI CYBERSECURITY

Seguendo l’impostazione già adottata all’interno della precedente edizione

del report, questo primo capitolo sarà dedicato all’analisi della conformazione
delle strutture di cybersecurity delle imprese assicurative italiane.

1.1 Un nuovo scenario per il 2020

Nel corso del 2020, la pandemia da COVID-19 ha modificato
profondamente le modalità di azione di molti settori produttivi, tra cui
anche l’assicurativo.
Il ricorso massivo al lavoro agile, attuato in brevissimo tempo, ha
ampliato la superficie di attacco a disposizione dei cyber criminali con la
conseguente necessità da parte delle imprese di introdurre metodologie e
strumenti in grado di garantire la sicurezza degli endpoint e delle reti.
Investimenti, questi ultimi, che come vedremo saranno di utilità anche a
conclusione dell’attuale crisi pandemica.
Per  fornire alcuni elementi di analisi sulle dimensioni del fenomeno
appena descritto, possiamo far riferimento al grafico evidenziato nella
figura 1.1, costruito su un campione di 18 rispondenti, che mostra come,
prima della crisi pandemica, il lavoro agile fosse uno strumento già in uso
nel 67% delle imprese.
Figura  1.1 - P
 ercentuale di imprese che utilizzavano il “lavoro agile” prima dell’inizio
della pandemia da COVID-19 - (19 rispondenti)

33%
SI

67% NO
ORGANIZZAZIONE
E STRUTTURE 8
DI CYBERSECURITY

A seguito dell’inizio della pandemia, il 100% degli stessi rispondenti,

ovvero la totalità, ha dichiarato di aver introdotto lo strumento del lavoro
agile al proprio interno, seppur con quote di personale differenziate.
Il grafico della figura 1.2, costruito sullo stesso campione di rispondenti,
segnala che nell’arco del 2020 il 72% delle imprese ha indirizzato fino al
100% del proprio personale verso il lavoro agile, il 17% delle imprese,
invece, ha indirizzato una quota di personale variabile tra il 50 e il 70%
mentre l’11% dei rispondenti dichiara di aver indirizzato meno del 50% del
proprio personale al lavoro agile.

Figura  1.2 - Percentuale di dipendenti indirizzati verso il lavoro agile nell’arco

del 2020 - (18 rispondenti)

Fino al 100%
72%
del personale

Tra il 50% al 99%

17%
del personale

Meno del 50% 11%

del personale

0% 20% 40% 60% 80% 100%

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
ORGANIZZAZIONE
E STRUTTURE 9
DI CYBERSECURITY

Si parla dunque di cifre rilevanti che, come già detto, hanno richiesto un
ulteriore sforzo per garantire la sicurezza degli strumenti in dotazione del
personale che opera da remoto.
 

L’83% dei rispondenti, inoltre, dichiara di aver avviato iniziative di

awareness specifiche.
Come detto in precedenza, questi sforzi evolutivi, avvenuti in gran parte
durante l’anno 2020, potranno essere di utilità anche nel breve-medio
periodo, se si considerano i dati riportati all’interno della figura 1.4, dalla
quale è possibile evincere che il 94% delle imprese prevede di mantenere
il lavoro agile come possibile modalità di lavoro per il personale
dipendente anche a conclusione dell’attuale crisi pandemica.

Figura  1.3 - Dotazione di strumenti tecnologici per prevenire eventuali eventi di

sicurezza verso dipendenti/agenti che operano da remoto
(18 rispondenti)

MFA/VPN 94%

Hardening e patching
delle postazioni di lavoro
89%

Interventi di awareness 83%

EDR (Endpoint Detection

78%
and Response)

0% 20% 40% 60% 80% 100%

ORGANIZZAZIONE
E STRUTTURE 10
DI CYBERSECURITY

Figura  1.4 - Percentuale di imprese che prevedono di mantenere il lavoro agile

come possibile modalità di lavoro per il personale dipendente anche
dopo la conclusione della crisi pandemica - (18 rispondenti)

6%

SI
NO
94%

1.2 Le strutture interne di Cybersecurity

Già nella precedente edizione del report, era stata avviata un’analisi della
conformazione delle strutture di cybersecurity delle imprese assicurative
italiane. Ne era emersa la centralità del CISO che nella maggior parte
dei casi risulta essere figura di riferimento per tutti i processi interni di
cybersecurity.
Volendo continuare su questa linea di azione, quest’anno è stato ritenuto
opportuno indagare le figure interne a cui fa diretto riferimento il CISO
aziendale.

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
ORGANIZZAZIONE
E STRUTTURE 11
DI CYBERSECURITY

Non risulta infatti un orientamento prevalente tra tutte le opzioni di

risposta.
Figura  1.5 - Figure interne alle quali riporta direttamente il CISO
(18 rispondenti)

11%
6%

39% 11%

33%

CEO CRO CTO CIO Altro

La maggior parte dei rispondenti, il 39%, ha selezionato l’opzione «Altro»

chiarendo poi nelle note a margine la propria specificità. Secondo quanto
dichiarato, nella maggior parte dei casi il CISO aziendale risponde
direttamente alla Direzione Generale dell’impresa.
Nel 33% dei casi invece il CISO risponde direttamente al Chief Information
Officer, nell’11% dei casi al CEO o al CTO e solo nel 6% dei casi al CRO.
L’analisi dei risultati della rilevazione di quest’anno, inoltre, ci consente
di poter improntare una stima del rapporto tra risorse impiegate nell’IT e
risorse impiegate nell’ambito della cybersecurity.
ORGANIZZAZIONE
E STRUTTURE 12
DI CYBERSECURITY

A tal proposito, si segnala che, in alcuni casi, i dati raccolti hanno

presentato una forte disomogeneità, in parte anche dovuta alle differenti
dimensioni dei soggetti rispondenti.
Al fine, dunque, di normalizzare i dati raccolti è stato necessario
raccogliere le risposte di un campione più ridotto di rispondenti e
suddividerli in «classi dimensionali» secondo i criteri di segmentazione
già utilizzati dal CERTFin, basati sul totale generale della raccolta annuale
dei premi dichiarati da ogni gruppo assicurativo e pubblicati dall’ANIA
all’interno del rapporto annuale denominato «Premi del Lavoro Diretto
Italiano».
In questo modo è stato possibile suddividere i rispondenti inseriti nel
campione all’interno di 4 classi:
- Prima fascia dimensionale: Imprese con una raccolta di premi annuali
superiore ai 10 mld di Euro
- Seconda fascia dimensionale: Imprese con una raccolta di premi annuali
tra i 3 mld e i 10 mld di Euro
- Terza fascia dimensionale: Imprese con una raccolta di premi annuali
tra i 1 mld e i 3 mld di Euro
- Quarta fascia dimensionale: Imprese con una raccolta di premi annuali
inferiori al miliardo di Euro

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
ORGANIZZAZIONE
E STRUTTURE 13
DI CYBERSECURITY

Dopo aver esplicato il criterio secondo il quale sono stati elaborati i dati
in oggetto, è possibile analizzare quanto emerge dal grafico 1.6 dal quale
si evincere che tra le imprese di prima e seconda fascia dimensionale,
mediamente, vi sono 106 addetti dedicati alla struttura IT 8, dei quali
specificamente impiegati nell’ambito delle attività di cybersecurity.

Figura  1.6 - Numero medio di risorse impiegate nelle strutture IT e numero

medio di risorse impiegate per le attività di cybersecurity -
(15 rispondenti) Suddivisione per fasce dimensionali rif. paragrafo 1.2

120
106
100

80
Numero medio di risorse
impiegate nelle strutture IT
60
42 Numero medio di risorse
strutture cybersecurity
40

20
8
3
0
Prima e Seconda fascia Terza e Quarta fascia
dimensionale dimensionale

Per quanto riguarda invece le imprese di terza e quarta fascia

dimensionale, il numero medio di addetti impiegati all’interno delle
strutture IT è di 42 mentre le risorse dedicate alle attività di cybersecurity
in media sono 3.
Si tratta di numeri differenti, che ovviamente rispecchiano le diverse
dimensioni dei soggetti che compongono il campione.
È  interessante, però, notare che il rapporto tra risorse IT e risorse di
cybersecurity si attesta, in entrambi i cluster, intorno al 7%.
ORGANIZZAZIONE
E STRUTTURE 14
DI CYBERSECURITY

All’interno del grafico 1.7 ,invece, si offre una panoramica dei diversi ambiti in
cui, mediamente, le risorse di cybersecurity vengono impiegate in termini di
FTE - Full-Time Equivalent.

Figura  1.7 - Numero di risorse dedicate ai diversi ambiti della cybersecurity -

(14 rispondenti)

Identity and
Access Management
Server Security

Physical Security

End Point Security

Data Security

Application Security

Cyber Defence

Neetwork Security

Cloud Security

Security Governance

0 0,5 1,0 1,5 2,0 2,5

La «security governance» sembra essere l’ambito a cui vengono dedicate il

maggior numero di risorse, seguono poi l’ambito della «cyber defence»,
dell’endpoint security e dell’ «identity management».

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
ORGANIZZAZIONE
E STRUTTURE 15
DI CYBERSECURITY

Infine, il grafico 1.8, costruito su un campione di 18 rispondenti, segnala

che il 39% delle imprese prevede, nel medio-breve periodo, un aumento
delle risorse impiegate in attività di Cybersecurity, mentre il restante 61%
prevede che tali risorse restino stabili.

Figura  1.8 - Trend relativo al numero di risorse umane che si prevede di

assegnare alle strutture di Cybersecurity nel breve-medio termine -
(18 rispondenti)

100%
90%
80% 39%
70%
60%
50%
40%
30% 61%
20%
10%
0%

Decrescente Stabile Crescente

È importante segnalare che, come già avvenuto in occasione della

precedente rilevazione, nessuna impresa rispondente prevede una
diminuzione del personale da impiegare nelle attività di sicurezza.
 IN COLLABORAZIONE CON

2
DIMENSIONAMENTI
DEI FENOMENI
RILEVATI

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTI
DEI FENOMENI 17
RILEVATI

La seconda sezione del report è dedicata all’analisi e al dimensionamento

di alcuni eventi cyber rilevati dalle imprese assicurative italiane nell’arco
del 2020 ed i relativi impatti percepiti.
Rispetto allo scorso anno, la rilevazione è stata ampliata ed estesa ai
principali fenomeni di interesse per il settore, talvolta proprio su richiesta
di alcune organizzazioni che hanno partecipato alle iniziative attivate, nel
corso dell’anno, dal CERTFin e dall’ANIA.

2.1 Trend dei principali fenomeni cyber e relativi impatti

In relazione alla pratica del furto di credenziali, si segnala che, anche
quest’anno, è stata confermata la rilevanza quasi marginale di questo
fenomeno all’interno del settore assicurativo italiano.
Su un campione di 18 rispondenti, solo 5 imprese hanno segnalato di aver
riscontrato episodi di furto di credenziali ai danni della clientela e nella
maggior parte dei casi, il numero delle vittime è stato davvero molto basso.
Una sola impresa ha segnalato un numero più rilevante di casi,
nell’ordine dei 200 circa, a testimonianza del fatto che seppur questo
fenomeno,
al momento, sembri essere poco rilevante, resta comunque presente
all’interno del settore.
Sono stati, inoltre, esaminati i trend (in diminuzione, costante, in
aumento) dei principali fenomeni cyber che hanno interessato, più in
generale, il settore finanziario, prendendo come riferimento i volumi ed il
livello di sofisticazione.

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTI
DEI FENOMENI 18
RILEVATI

Rispetto ai volumi riscontrati per ogni evento preso in esame, come

riportato dalla figura 2.1, costruita su un campione di 17 rispondenti, si
segnala che il 78% delle imprese ha dichiarato di aver registrato, nel corso
del 2020, un aumento delle campagne di phishing, mentre il 56% delle
aziende ha segnalato un aumento dei casi di attacchi di tipo ransomware.

Figura  2.1 - Tendenza evolutiva in termini di volumi degli attacchi cyber rilevati -
(16 rispondenti)

100%
90% 19% 24% 35%
29%
80%
47%
70% 56%
60% 78%
50%
56%
59% 47%
40% 71%
30% 47%
20% 44%
10% 25% 22%
18% 18%
0% 6%
ed ud on ge ... re e
ut f... fra ti ka n) ia wa gn
b ec a
le tio ut pa hing
i
str al
o
CE
O inf ov om m
Di eni ar
e a ta iltra tid ns Ca phis
D xf en Ra di
D
Malw (e Ev

In diminuzione Costante In aumento

Un trend, quest’ultimo, perfettamente in linea con quanto rilevato dal

CERTFin all’interno di altri comparti afferenti al macro-settore finanziario.
Il 25% delle imprese rispondenti, inoltre, segnala di aver rilevato una
diminuzione dei casi di attacco DDoS, ancora molto presenti, ad esempio,
all’interno del settore bancario e nell’ambito delle infrastrutture del
mercato finanziario.
DIMENSIONAMENTI
DEI FENOMENI 19
RILEVATI

Per quanto riguarda invece il livello di sofisticazione dei diversi

modelli di attacco rilevati (figura 2.2), si segnala che il 78% delle
imprese rispondenti ha rilevato, innanzitutto, un aumento del grado di
sofisticazione delle campagne di phishing e il 50% un aumento della
sofisticazione degli attacchi ransomware.

Figura  2.2 - Tendenza evolutiva in termini di sofisticazione degli attacchi cyber

rilevati - (16 rispondenti)
100%
90% 19% 24%
80% 29% 29%
35% 50%
70%
60% 78%
50% 63%
65%
40% 65% 71%
30% 65%
50%
20%
10% 19% 22%
12% 6%
0%
ed ge ud on ... re e
ut f... ka n) fra ti ia wa gn
ib a
le tio fec ut pa hing
str al
o O i n ov om m
Di eni ta iltra CE e id ns Ca phis
a
D xf ar en
t Ra
D (e alw Ev di
M

In diminuzione Costante In aumento

In generale, rispetto agli eventi di Data Leakage, tra i più attenzionati

dal settore, si evidenzia come i dati raccolti in relazione all’anno 2020
sembrino rappresentare una tendenza evolutiva grossomodo costante, sia
in termini di volumi che in termini di sofisticazione.
Infine, è stato chiesto ai rispondenti di valutare la rilevanza degli impatti
derivanti dai diversi modelli di attacco cyber subiti nel corso dell’anno
2020.

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTI
DEI FENOMENI 20
RILEVATI

I risultati, rappresentati dal grafico 2.3, indicano un basso livello di

impatto percepito, oscillando da un valore minimo di 1,14 per le
«sanzioni» a 2 per le «frodi esterne», su una scala di valori che va da 1 a
5, dove 1 è il minimo e 5 è il massimo.

Figura  2.3 - Valutazione degli impatti relativi agli attacchi subiti

(in una scala da 1 a 5, dove 1 = minimo, 2 = basso, 3 = medio,
4 = elevato, 5 = massimo) - (15 rispondenti)

Sanzioni 1,14

Frodi esterne 2,00

Perdita/Alterazione
1,87
di dati

Interruzione
1,80
delle attività

0,00 1,00 2,00 3,00 4,00 5,00

2.2 Clonazioni di siti web ufficiali e ghost broking

Su richiesta di alcune imprese interessate, a partire da quest’anno si è
deciso di analizzare l’incidenza di alcuni fenomeni cyber di rilevanza per
il settore che in parte sono stati attenzionati anche dagli organismi di
vigilanza.
DIMENSIONAMENTI
DEI FENOMENI 21
RILEVATI

Si fa riferimento al fenomeno della clonazione, a scopo fraudolento, dei siti

web ufficiali delle imprese assicurative e al fenomeno del ghost broking,
ovvero la pratica secondo la quale il frodatore, spacciandosi per agente di
un’impresa assicurativa, a seguito del pagamento di «premio», rilascia al
cliente una polizza assicurativa ovviamente falsa.
Rispetto al primo fenomeno descritto, il grafico 2.4, costruito su un
campione di 17 rispondenti, evidenzi la maggior parte delle imprese, il
72%, ha dichiarato di non aver rilevato casi di clonazione dei propri siti web
nell’arco del 2020.

Figura  2.4 - Percentuale di imprese che hanno rilevato casi di clonazione di siti
web ufficiali di proprietà dell’azienda - (17 rispondenti)

28%
SI
72% NO

Il restante 28%, dichiara, al contrario, di aver rilevato questo tipo fenomeno.

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTI
DEI FENOMENI 22
RILEVATI

Il grafico 2.5 offre una panoramica degli strumenti e delle modalità tramite i
quali le imprese sono venute a conoscenza degli eventi sopra descritti.

Figura  2.5 - Modalità con le quali l’impresa è venuta a conoscenza dei «siti
clone» - (5 rispondenti)

100%
90%
80%
70%
60%
50%
40%
30% 65%

20%
10% 18% 16%
1%
0%
Utilizzo Segnalazione Segnalazione Segnalazione
di servizi da parte della della rete
di monitoraggio del CERTFin clientela agenziale
della rete

Nella maggioranza dei casi, il 65%, sono stati utilizzati servizi di

monitoraggio della rete, nel 18% sono state utilizzate segnalazioni
del CERTFin indirizzate alle imprese interessate e nel 16% dei casi, le
segnalazioni sono state inoltrate dalla clientela.
DIMENSIONAMENTI
DEI FENOMENI 23
RILEVATI

Per quanto riguarda il «ghost broking» perpetrato attraverso il canale internet,

invece, si fa riferimento a quanto emerge dall’analisi dei grafici 2.6 e 2.7.

Figura 2.6 - Percentuale di imprese che hanno rilevato casi di «ghost broking»
ai danni della clientela perpetrati tramite canale internet -
(17 rispondenti)

33%
SI

67% NO

Figura  2.7 - Ambiti all’interno dei quali si sono verificati casi di «ghost broking»
nell’anno 2020 - (6 rispondenti)

100%
90%
80%
70%
60%
50% 100%
40%
30%
20%
33%
10% 17%
0%
Polizze Auto Polizze danni Polizze Vita
non Auto

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTI
DEI FENOMENI 24
RILEVATI

Il 33% delle imprese rispondenti ha segnalato di aver rilevato casistiche

di questo fenomeno ai danni della clientela.
La totalità di queste ultime, ovvero il 100%, ha dichiarato che i casi
riscontrati hanno riguardato l’ambito delle polizze RCA; il 33%, invece, ha
registrato casistiche anche nell’ambito delle polizze danni non auto, mentre
il 17% dei casi, nell’ambito delle polizze vita.
Ulteriori elementi di analisi raccolti durante le diverse occasioni di
confronto con i principali player del settore assicurativo italiano lasciano
ipotizzare, per il futuro, un trend in aumento del fenomeno del «ghost
broking».
Per questo motivo, è auspicabile avviare una discussione interna al settore,
al fine di trovare una soluzione efficace per arginare questo fenomeno che,
oltre a minare la reputazione delle imprese coinvolte, può mettere in seria
difficoltà la vittima del raggiro, convinta di potersi avvalere, all’occorrenza, di
una copertura assicurativa che in realtà non possiede.
 IN COLLABORAZIONE CON

3
MITIGAZIONE DEL
RISCHIO CYBER

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
MITIGAZIONE DEL 26
RISCHIO CYBER

La gestione del rischio cyber è diventata tale da richiedere la collaborazione

di tutte le funzioni all’interno delle organizzazioni per sviluppare un livello di
maturità e preparazione adeguati alle situazioni più critiche.
Alla luce di tale considerazione, l’obiettivo del seguente capitolo è l’analisi
dei volumi di budget destinati alle attività di sicurezza informatica così
come il livello medio di maturità rispetto a diversi ambiti di cybersecurity
percepito dai principali player del settore assicurativo italiano. Saranno
inoltre analizzate le modalità con cui le organizzazioni del settore
assicurativo hanno sensibilizzato rispettivamente clientela e dipendenti su
fenomeni fraudolenti e attacchi informatici.

3.1 Budget per la Sicurezza informatica

Considerando un campione di 19 rispondenti, come si evince dal grafico in
f i gura 3.1, per l’anno 2021, il 55% delle aziende ha destinato alle attività
di sicurezza informatica una quota di budget che oscilla tra il 3% e il 6%
del volume complessivo del budget destinato all’ICT. Rispetto alla
rilevazione dello scorso anno, è aumentato il numero delle aziende che
investono maggiormente nella sicurezza informatica.
Figura  3.1 - Percentuale di budget destinati alla sicurezza informatica, rispetto al totale
del budget ICT stanziato dall’azienda per l’anno 2021 - (19 rispondenti)
60%
55%

50%

40%

30%
25%

20%
15%

10%
5%

0%
Meno del 3% Dal 3% al 6% Dal 6% al 10% Oltre il 10%

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
MITIGAZIONE DEL 27
RISCHIO CYBER

In figura 3.2 sono rappresentati gli ambiti specifici verso i quali si sono
concentrati gli investimenti sostenuti nel 2020 e quelli previsti per l’anno 2021.

Figura  3.2 - Ripartizione percentuale di budget impiegata nell’anno 2020

e prevista per l’anno 2021, per progetti/interventi destinati ad
incrementare i livelli di sicurezza informatica - (17 rispondenti)
20
19%

15%
15

13% 13% 13% 13%

12% 12% 12%
11%
10%
10
9% 9%
8% 8% 8% 8%

5% 5% 5%
5

0% 0%
0
y

ity

y
en d

ce

:
y

e)
rit

rit
rit

rit

rit
rit

nc
em an

en
ur

ar
t

cu

cu
cu

cu

cu

cu

na
ag ity

ec

fic
ef
Se

Se
Se
Se

Se

Se

er
an nt

rD
tS

ci
ov
M Ide

pe
er

ta

k
al

ns

d
in

be

or

ou

yG
ic

Da
rv

(s
io
Po

Cy

w
ys

Cl
Se

at

rit

o
et
Ph

tr
ic

du
N
En

Al
ss

pl

Se
Ap
ce
Ac

Percentuale di budget impiegato nel 2020 Percentuale di budget previsto nel 2021
MITIGAZIONE DEL 28
RISCHIO CYBER

Dai dati raccolti, la maggior parte del budget allocato per il 2020 e destinato
alla sicurezza informatica è stato investito su sistemi di Identity and Access
Management, Security Governance, Cyber Defence e Server Security.
A fronte degli investimenti importanti volti ad adeguare i sistemi di Identity
and Access Management nel 2020, nel 2021 è prevista una flessione
significativa rispetto a tale esigenza. Tuttavia, è previsto per il 2021 un
aumento percentuale di budget impiegato rispetto agli ambiti di Data
Security, Application Security, Cyber Defence, Network Security e Cloud
Security. Rimane invece sostanzialmente invariata la percentuale di budget
dedicata ad altre aree come quelle della Physical Security e della Endpoint
Security.
Infine, secondo le indicazioni prospettiche ricevute riguardo alla spesa
dedicata alla “security posture”, (figura 3.3) nessuno dei rispondenti ha
indicato una decrescita degli investimenti; tale trend è in linea con quanto
indicato nella rilevazione dello scorso anno. In particolare, il 73,7% dei
rispondenti ha indicato un trend crescente per quanto riguarda le spese
dedicate alla “security posture”, valore in continua crescita con quello
rilevato lo scorso anno (67% considerando un campione di 22 rispondenti).

Figura  3.3 - Previsione del trend di spesa dedicata alla “security posture” -
(19 rispondenti)

26,3%
Stabile

73,7% Crescente

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
MITIGAZIONE DEL 29
RISCHIO CYBER

3.2 Livello di maturità percepito

Analizzando complessivamente i dati relativi al grado di maturità percepito
in relazione ai diversi fattori che compongono le strutture interne di
cybersecurity, dalla figura 3.4 si può evincere che tutti i rispondenti
percepiscono un’adeguata maturità rispetto alle aree Risorse Finanziarie
(3,63), Tecnologia (3,58) e Organizzazione(3,53).
Figura  3.4 - Valutazione media del livello di maturità percepito dal personale in
relazione alle componenti delle strutture di cybersecurity interne (in
una scala da 1 a 5, dove 1= minimo, 2=basso, 3=medio, 4=elevato,
5=massimo) - (19 rispondenti)
Organizzazione

3,53

Risorse finanziarie Processi e procedure

3,63 3,42

3,42

Tecnologia 3,58 Capitale umano

Tuttavia, non si discostano di molto dai valori appena citati i livelli medi
delle valutazioni riguardanti le aree Processi e Produzione (3,42) e Capitale
Umano (3,42).
MITIGAZIONE DEL 30
RISCHIO CYBER

Quindi, mediamente, tutte le organizzazioni valutano come più che

adeguato il loro livello di maturità rispetto alle componenti sopra
menzionate, con tuttavia margini di miglioramento per raggiungere un
livello di maturità medio di settore elevato per ciascuna area.
Analoga percezione, inoltre, è stata segnalata sui livelli di maturità relativi
ai processi che caratterizzano la gestione interna della cybersecurity.
A tal proposito, la f figura 3.5, costruita su un campione di 19 rispondenti,
mostra che le aree valutate con un maggior grado di maturità sono
rispettivamente quelle relative alla Cyber Defence (3,83), EndPoint Security
(3,83) e Physical Security (3,78). La sicurezza applicativa invece risulta
essere l’ambito con il minor livello di sicurezza percepito (3,11), tuttavia con
un livello di maturità medio percepito in crescita rispetto alla rilevazione
dello scorso anno (2,9).

Figura  3.5 - Valutazione media del livello di maturità in relazione ai seguenti

ambiti di cybersecurity (in una scala da 1 a 5, dove 1= minimo,
2=basso, 3=medio, 4=elevato, 5=massimo) - (19 rispondenti)
Identity and Access
Management
3,42
3,61
Security Governance Server Security
3,53
3,21
Cloud Security Physical Security
3,78

3,68
Network Security End Point Security
3,83

3,83
Cyber Defense Data Security
3,53
3,11
Applications Security

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
MITIGAZIONE DEL 31
RISCHIO CYBER

3.3 Iniziative di awareness

In relazione alle iniziative di awareness rivolte alla clientela, dalla figura
3.6 si evince che il canale internet risulta essere quello maggiormente
utilizzato per diffondere informative (63,2%); a seguire si riportano i canali
di posta elettronica (42,1%) e quello del social network (36,8%).
Figura  3.6 - Canali impiegati dall’azienda per sensibilizzare la clientela sui
fenomeni fraudolenti perpetrabili sui canali digitali -
(19 rispondenti)

Informativa sui canali internet 63,2%

Informativa via e-mail 42,1%

Informativa sui social network 36,8%

Informativa presso le agenzie 26,3%

Informativa su canale mobile 26,3%

L’azienda non ha svolto attività
di sensibilizzazione 21%
Informativa associata
21%
alla contrattualistica

Altro 5,3%

0% 10% 20% 30% 40% 50% 60% 70%

Da un confronto con i dati dello scorso anno si può evincere che la

percentuale delle organizzazioni che utilizzano tali canali per veicolare
campagne di awareness sta crescendo. Difatti nel 2019 il 41% delle
organizzazioni aveva indicato il canale internet come secondo canale, dietro
solo quello della rete agenziale (53%) per diffondere informative.
MITIGAZIONE DEL 32
RISCHIO CYBER

Inoltre, sono anche in percentuale minore le aziende che non hanno

effettuato campagne di sensibilizzazione verso la propria clientela, in
particolare 29% nel 2019 rispetto al 21,1% del 2020.
Analizzando invece le campagne di awareness rivolte al personale
dipendente delle organizzazioni rispondenti, si può evincere dalla
figura 3.7 che la maggioranza di tali iniziative sono state rivolte al
personale appartenente alle strutture di Back Office (73,7%) ed al Top
Management (73,7%). In percentuale minore, tali campagne hanno
interessato anche il personale afferente alle strutture di contact center
(57,9%), il personale specialistico (52,6%), il personale della rete agenziale
(47,4%) e broker assicurativi (5,3%). Infine, il 36,8% dei rispondenti ha
indicato ‘altro’.
Figura  3.7 - Destinatari di iniziative di sensibilizzazione e formazione in
merito alle modalità di perpetrazione delle frodi e degli attacchi
informatici, durante l’anno 2020 - (19 rispondenti)
Personale afferente alle
73,7%
strutture di Back Office

Top Management 73,7%

Personale afferente alle

strutture di Contact Center
57,9%

Personale specialistico 52,6%

(Team cybersecurity)

Personale della
47,4%
rete agenziale

Altro 36,8%

Broker Assicurativi 5,3%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Rispetto quindi alla rilevazione dello scorso anno, si nota un decremento

significativo nella percentuale delle iniziative di awareness rivolte al top
management (85% nel 2019) e ai broker assicurativi (10% nel 2019).

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
MITIGAZIONE DEL 33
RISCHIO CYBER

In tutte le attività di formazione sono stati affrontati i temi del corretto

utilizzo della posta elettronica, della gestione sicura dell’identità e degli
strumenti di sicurezza forniti (figura 3.8). È sensibilmente aumentata
l’attenzione verso alcune tematiche quali la sicurezza nell’utilizzo dei
dispositivi quando connessi alle rete (76% nel 2019 e 93,8% nel 2020), rischi
legati al Social Engineering (76% nel 2019 e 88,2% nel 2020) e il corretto
utilizzo del software e i rischi legati ad un loro utilizzo non autorizzato (76%
nel 2019 e 88,2% nel 2020).

Figura  3.8 - Tematiche affrontate durante le attività di sensibilizzazione e

formazione rivolte ai propri dipendenti - (20 rispondenti)

Gestione sicura dell’identità e degli

strumentidi sicurezza forniti
100%

Corretto utilizzo
della posta elettronica
100%

Sicurezza nell’utilizzo dei dispositivi

quando connessi alla rete 100%

Rischi legati
al Social Engineering
88,2%
Corretto utilizzo del software /
Rischi legati all’utilizzo 88,2%
di software non autorizzato
L’azienda non ha voluto attività
di sensibilizzazione 5,9%

Altro 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

3.4 Cyber insurance

Come noto, negli ultimi anni, è aumentata la diffusione degli strumenti
di trasferimento del rischio, cioè le cosiddette «Cyber Insurance». Tali
polizze aiutano a proteggere le organizzazioni dalle conseguenze di attacchi
informatici e minacce di pirateria informatica.
MITIGAZIONE DEL 34
RISCHIO CYBER

Avere una polizza assicurativa informatica può inoltre aiutare a ridurre al

minimo l’interruzione dell’attività durante un incidente informatico e le sue
conseguenze, oltre a coprire potenzialmente il costo finanziario di alcuni
elementi per affrontare l’attacco e riprendersi da esso. Tale mercato è in
continua espansione e affermato anche in Italia.
Difatti il grafico in figura 3.9 chiaramente mostra che il 76,5% dei
rispondenti ha stipulato una polizza cyber per la propria protezione.

Figura  3.9 - Rilevazione aziende che hanno stipulato una polizza cyber per la
propria protezione - (18 rispondenti)

23,5%
SI

NO
76,5%

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
 IN COLLABORAZIONE CON

4
DIMENSIONAMENTO
DELLE ATTIVITÀ
DI CYBER INSURANCE

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTO
DELLE ATTIVITÀ DI 36
CYBER INSURANCE

Nella precedente edizione del report, era stato segnalato un trend di crescita
positivo del mercato delle polizze di cyber insurance, segmento nuovo per il
settore assicurativo, che spesso presenta diversi ostacoli per le imprese che
intendono accedervi, soprattutto in relazione alla difficoltà di individuare dei
parametri utili per determinare il reale rischio cyber del cliente.
L’andamento positivo segnalato in precedenza è stato confermato anche
nell’ambito della rilevazione 2021. 
Tra gli elementi chiave che si ritiene abbiano sostenuto la domanda di
questo tipo di strumenti possiamo, senz’altro, citare la sempre maggiore
consapevolezza del «rischio cyber» da parte delle aziende ed una maggiore
esposizione dei differenti settori produttivi agli attacchi e alle minacce cyber
registrata nel corso del 2020.
Come si evince dalla figura 4.1, costruita su un campione di 19 rispondenti,
il 58% delle imprese dichiara di essere presente sul mercato delle polizze
di cyber insurance, mentre il 37% delle organizzazioni intervistate dichiara
di non fornire, al momento, questo tipo di strumento di Cyber insurance.

Figura  4.1 - Rilevazione imprese presenti sul mercato Cyber Insurance

(19 Rispondenti)

Non presente su questo segmento

di mercato ma prevede di attivare 5%
servizi di Cyber Insurance entro il 2021

Non presente su questo segmento

di mercato e non prevede di attivare 37%
servizi di Cyber Insurance

Presente sul mercato polizze

Cyber Insurance 58%

0% 10% 20% 30% 40% 50% 60% 70%

DIMENSIONAMENTO
DELLE ATTIVITÀ DI 37
CYBER INSURANCE

Il 5% dei rispondenti, pur non essendo presente nel mercato, prevede di

attivare tali servizi entro il 2021.
La forte ascesa di questo segmento di mercato, cui si è accennato in
precedenza, è confermata raffrontando i dati raccolti quest’anno (riferiti al
2020) con i dati raccolti lo scorso anno (riferiti al 2019): in occasione della
rilevazione dello scorso anno, infatti, solo il 40% delle imprese dichiarava di
essere presente sul mercato della cyber insurance, a fronte del 56% appena
menzionato.
 

Figura  4.2 - Funzioni aziendali coinvolte nella definizione e quantificazione dei

rischi Cyber - (9 Rispondenti)

Danni/sinistri 78%

Riassicurazione 67%

Rischi 67%

Attuariale 67%

Security 56%

Business Development 44%

Innovazione 33%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

LA GESTIONE DELLA CYBERSECURITY NEL SETTORE ASSICURATIVO:

Report 2021 ANIA-CERTFin
DIMENSIONAMENTO
DELLE ATTIVITÀ DI 38
CYBER INSURANCE

Alcuni rispondenti hanno anche evidenziato il coinvolgimento di altre aree

aziendali come, ad esempio, la security (56%) e in più di un caso l’area
dell’innovazione (33%)
In relazione, invece, alle principali garanzie offerte dalle imprese
italiane nell’ambito delle polizze di cyber insurance (f figura 4.3), si
segnala che in maggiore frequenza risulta essere presente:
«l’assistenza tecnica» nel 91% dei casi, mentre nell’82% dei casi è
presente la copertura dei «danni da interruzione di esercizio». Nel 73%
dei casi, invece, le imprese italiane dichiarano di offrire garanzie per
l’«assistenza legale», i «danni reputazionali» e i «danni causati a terzi».
Infine, si segnala che nessuna delle imprese inserite all’interno del campione
di rilevazione e presenti sul mercato delle polizze di cyber insurance ha
dichiarato di aver rilevato sinistri, in questo ambito, durante il 2020.

Figura  4.3 - Percentuale delle coperture Cyber offerte nell’ambito degli strumenti
di cyber insurance offerti sul mercato -
(11 Rispondenti)

Assistenza tecnica/Incedent response 91%

Danni da interruzione di esercizio 82%

Assistenza Legale 73%

Danno reputazionale (attività
multimediale e pubblicitaria) 73%

RIsarcimento danni a terzi 73%

Risarcimenti danni
ai sistemi informatici 64%

Estorsione di denaro 45%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
 IN COLLABORAZIONE CON

www.certfin.it

www.ania.it

Via di S. Nicola da Tolentino, 72 | 00187 Roma | Tel. 06.326881