La formazione sul cyber risk all’interno delle compagnie assicurative: obbligo normativo o auspicio?
Siamo in ottobre, mese che da nove anni è mese europeo della Cybersecurity, ed è naturale pensare anche alla sua applicazione nel settore a cui ci rivolgiamo.
La Cyber Security è oggi per tutti un tema di fondamentale importanza: lo è a maggior ragione per quelle imprese, come le compagnie di assicurazioni, che gestiscono una enorme mole di dati personali dei clienti.
La lettera al mercato di Ivass
In ambito assicurativo, questo aspetto ha assunto un ruolo di primo piano con la lettera al mercato del 29/12/2017.
Con la lettera, l’IVASS si attende “che una quota del 20% del monte ore di formazione biennale obbligatoria per l’aggiornamento professionale, ex articolo 7 del Regolamento IVASS n. 6 del 2 dicembre 2014, venga dedicata, a partire dal 2018, ai temi della sicurezza informatica”.
La lettera è stata pubblicata in seguito ad un’indagine volta a conoscere sia la consapevolezza degli intermediari riguardo ai rischi informatici sia le azioni di protezione poste in essere per aumentare la sicurezza aziendale e la protezione dei dati personali dei clienti.
Benché buona parte degli intervistati sì sia dimostrata consapevole del rischio informatico, è comunque emersa la necessità di una maggiore protezione dei dati e delle informazioni della clientela.
La situazione attuale
A questo quadro di per sé abbastanza complesso, bisogna inoltre aggiungere l’epidemia Covid-19 che, se da un lato ha accelerato il processo di digitalizzazione, basti ad esempio pensare al consolidato strumento dello Smart Working, ha dall’altro introdotto nuovi rischi cibernetici.
In quest’ottica l’attenzione degli organi di controllo è massima: sia la Banca d’Italia che l’IVASS, ciascuno per le proprie competenze istituzionali, contribuiscono infatti a garantire la sicurezza del sistema finanziario e assicurativo, tutelando le persone e le imprese, principalmente quelle che prima dell’epidemia facevano ricorso alla rete internet in misura modesta.
L’Ivass si attende quindi che gli intermediari tradizionali adottino di anno in anno specifiche politiche protettive e di tutela sul cyber risk, visto che lo stesso è per sua natura mutevole.
E in questo senso una efficace politica di formazione sull’argomento è un tema che acquisisce ulteriormente importanza.