Apocalissi cyber? Forse, ma comunque preoccupano

La scorsa settimana parlavamo della possibile “preoccupazione” da parte di un gruppo di cyber criminali dopa avere violato i sistemi di una compagnia aerea: il rischio che avevamo percepito era quello di compromettere sistemi critici per la sicurezza dei passeggeri. In questi giorni Mario Greco, il Chief Executive Officer di Zurich, uno dei gruppi assicurativi più grandi d’Europa, ha spiegato come “quanto diventerà non assicurabile sarà il cyber" e per chiarire i termini della questione ha posto una domanda assolutamente retorica: "E se qualcuno prende il controllo di parti vitali delle nostre infrastrutture, quali potrebbero essere le conseguenze?".

Ad avviso del top manager i privati non sono in grado di assicurare rischi di tipo sistemico come quello cyber che sono paragonabili a quelli prodotti da catastrofi naturali o attacchi terroristici. La maggior parte delle persone potrebbe sospettare che sia i criminali sia Mario Greco stiano esagerando: in fondo per certi disastri ci vogliono le forze della natura o la follia degli uomini. Soffermiamoci su quest’ultima.

L’11 settembre del 2001 il mondo ha visto realizzarsi, praticamente in diretta televisiva, l’inimmaginabile. Quattro aerei di linea erano stati trasformati da un gruppo terroristico in armi cinetiche finendo per radere al suolo il World Trade Center e causando migliaia di vittime. E’ curioso constatare come il gruppo di cyber criminali che ha violato i sistemi di Air India, forse ha avuto il dubbio di poter produrre un effetto simile perché sempre di aerei stiamo parlando. L’evento che, invece, ha più scosso il mercato assicurativo è stato probabilmente il caso NotPetya. Il malware diffusosi nel giugno 2017 ha prodotto ingenti danni a centinaia di aziende che immediatamente si sono rivolte alle loro assicurazioni. Queste ultime si sono difese presentando l’accaduto come un “atto di guerra”. Tuttavia, nel caso che ha portato la Merck a ottenere il risarcimento record di 1,4 miliardi dollari, il giudice ha dato ragione al colosso farmaceutico perché, sì, tra le clausole di esclusione vi erano gli atti di guerra, ma intesi in senso “tradizionale”. La colpa della compagnia è stata quella di non aver adeguatamente aggiornato il linguaggio della polizza, specificando che anche un evento cibernetico poteva configurarsi come tale. Atti terroristici, che possono avere la potenza distruttiva di un uragano e produrre danni materiali e perdite umane analoghi, potrebbero manifestare il rischio cyber nelle sue estreme conseguenze. In ultima analisi, quello che ci stanno “dicendo” i criminali da un lato e gli assicuratori dall’altro è che quanto abbiamo visto fino ad oggi sono piccole cose: pistole e fucili, magari qualche mitragliatore, ma niente di veramente “grosso”. Questo per la semplice ragione che gli stati sanno che si potrebbero fare danni che vanno al di là della loro capacità di controllarli e contenerli, mentre per quanto riguarda i terroristi possiamo soltanto limitarci a sperare…