UNA MUTUA PER IL RISCHIO CYBER

Nella precedente puntata di questi approfondimenti (pubblicata su Insurance Review di giugno 2023) sulla difficile situazione del mercato assicurativo e riassicurativo a fronte di una crescente domanda di coperture assicurative, abbiamo puntato i riflettori sulla anomala crescita per frequenza e intensità dei danni da catastrofi naturali e rischi cyber. Dal punto di vista assicurativo, il rischio cyber è particolarmente interessante: ha infatti avuto, negli ultimi anni, una incredibile e diffusa crescita, sia in termini di sinistri che, conseguentemente, di premi. Non si è salvato nessuno. Molti non amano raccontarlo per non incorrere anche in danni reputazionali. Nel 2021 siamo arrivati, solo in Europa, parlando di sinistri ransomware gran parte non assicurati, a 20 miliardi di euro, e lato premi siamo passati da 400 milioni di euro del 2018 a 2 miliardi nel 2022. Cifre impressionanti che non accennano a diminuire.

Siamo certamente convinti che l’assicurazione sia l’ultimo dei rimedi, ma resta uno strumento molto importante. È quella famosa rete che, quando tutto quello che era stato studiato per contenere il danno non ha funzionato, fa da ammortizzatore, evitando il peggio. Da un testo di polizza cyber piuttosto elementare di qualche anno fa, si è arrivati ora a prodotti molto sofisticati, che includono anche servizi accessori e che vengono venduti solo dopo analisi e verifiche molto approfondite. Tuttavia, data la sinistrosità galoppante, la situazione è drammatica. Non è più solo una questione di premio: le capacità tradizionali del mercato assicurativo e riassicurativo si stanno esaurendo. Abbiamo già scritto che, secondo MunichRe, la criminalità organizzata ritiene questa attività più profittevole e meno rischiosa del traffico di droga. Anche per gli assicuratori però è una sorta di droga. I premi crescono a un ritmo impressionante e sono accattivanti; secondo Gallagher sono aumentati nel 2022 mediamente del 37%, con punte fino all’80%. Ma, data la giovane storia di questa tipologia di rischio, non si dispone di statistiche affidabili che consentano di fare adeguate valutazioni attuariali. Inoltre, il recente avvento dell’intelligenza artificiale, la debolezza dei sistemi casalinghi utilizzati nell’home working o nell’Iot, il metaverso, lo sviluppo dell’information technology e dell’internet of things (IoT), più la tecnologia operativa (OT), hanno ampliato, e svilupperanno sempre più, le capacità criminali di mafie esperte, spesso coperte da immunità concessa dai governi esteri.

In questo scenario estremamente fluido è nata nel 2022, in Belgio, una mutua denominata Miris. È un coraggioso esempio da osservare con attenzione, anche per lo schema applicabile ad altri rischi catastrofali. Ce ne ha parlato Roberto Muscogiuri, che ringraziamo e che già siede nel board di un’altra mutua interessante, la Elini, che copre i rischi nucleari dei propri soci. Muscogiuri è di professione attuario, ha diretto per anni l’ufficio assicurativo dell’Enel ed è stata sua, anni addietro, l’idea di creare una captive che ora ha raggiunto dimensioni veramente ragguardevoli e copre i rischi di Enel in tutto il mondo. 

Ma torniamo alla nostra Miris, che è una mutua assicurativa di proprietà dei partecipanti e opera esclusivamente per i membri stessi. Assicura solo i rischi informatici. Ha ottenuto una licenza operativa nel dicembre 2022 e ha iniziato la sottoscrizione a gennaio di quest’anno. È giovanissima.

Si tratta di una mutua capitalizzata: l’adesione è concessa solo dopo il pagamento del capitale. I potenziali membri devono passare attraverso un processo di screening, sia per la verifica della loro capacità finanziaria che per la loro capacità di gestione del rischio informatico. Il consiglio di amministrazione di Miris raccoglie i risultati del processo di screening e decide se presentare una domanda di adesione all’assemblea generale di tutti i membri, che decide quindi se accettare il nuovo membro.

Tutti i membri partecipano all’assemblea generale e tutti i membri hanno un voto a testa. La prima polizza della Miris è stata emessa il 1° gennaio 2023. Per gli anni di sottoscrizione 2023 e 2024, Miris assegna fino a 25 milioni di euro di capacità a ciascun membro. La mutua opererà in coassicurazione con il mercato assicurativo, adottando il wording e il prezzo dal mercato. Il punto minimo di attacco per Miris sarà di 10 milioni di euro, che rimarranno a carico dell’assicurato o della compagnia che assicura il primo layer. A seconda dell’andamento del rapporto sinistri a premi di Miris, la capacità concessa dovrebbe aumentare a 30 milioni di euro nel 2025.

Miris è un assicuratore europeo e può accettare solo membri dall’UE. Può coprire le attività dei suoi membri in tutto il mondo, ma solo attraverso polizze emesse in Europa. È stata sottoposta a una rigorosa revisione antitrust per garantire che le attività dei membri al di fuori dell’Europa non violino le normative locali in materia di concorrenza.

I ciso (chief information security officer) dei membri hanno formato una commissione che ha due scopi. Il primo è lo screening dei nuovi membri, dato che la performance di Miris dipende dal mantenimento di un profilo di rischio aggregato migliore rispetto al mercato; il secondo è quello di condividere tra i membri le migliori pratiche di gestione del rischio per garantire l’alta qualità nella gestione del rischio.

Poiché si tratta di una mutua, Miris raccoglie dai suoi membri un contributo annuale e non un premio, anche se in pratica funziona allo stesso modo. La quota di rischio assunta da Miris avrà lo stesso prezzo del premio leader di mercato, ma con uno sconto percentuale. L’intermediazione non è prevista, a meno che l’assicurato non scelga di includere una remunerazione nel suo premio lordo.

Miris sarà riassicurata? L’obiettivo della mutua è fornire capacità indipendentemente dalle fluttuazioni convenzionali del mercato. Il piano aziendale è stato studiato in base all’utilizzo delle sole proprie forze, senza nessuna riassicurazione; tuttavia Miris è libera di acquistare riassicurazione se si presentano favorevoli opportunità.

L’associazione è partita con un capitale adeguato per conformarsi a Solvency II e applicherà un modello di sottoscrizione conservativa. Le prove di stress attuariali mostrano una probabilità molto bassa di esaurimento delle riserve di capitale. Se ciò dovesse accadere, i membri saranno soggetti a chiamate integrative, come per il meccanismo utilizzato dai club P&I.

Miris è un’associazione mutualistica senza scopo di lucro. La sua eventuale e auspicata eccedenza di sottoscrizione sarà versata in un conto di riserva, dove si accumulerà negli anni e sarà disponibile per sostenere la capacità concessa ai membri.

Auguriamo lunga vita a questa iniziativa, che a nostro avviso va nella auspicata direzione di trovare nuovi, anche se antichi, metodi di protezione e garantire supporto al sistema produttivo, pur quando il mercato assicurativo tradizionale è in difficoltà.