Negli ultimi anni, le assicurazioni contro le truffe digitali, note come polizze cyber, hanno registrato una crescita significativa, evolvendo da prodotti di nicchia a soluzioni consolidate nei portafogli di banche e compagnie assicurative. Queste polizze prevedono il versamento di un premio periodico e garantiscono, entro limiti prestabiliti, il rimborso delle perdite derivanti da phishing, clonazione di carte, prelievi non autorizzati e, in alcuni casi, dall’uso fraudolento dell’identità digitale. Sebbene rappresentino uno strumento di protezione particolarmente rilevante per chi opera frequentemente online o gestisce patrimoni di valore, la loro efficacia è strettamente legata alla formulazione delle condizioni contrattuali.
L’IVASS, nell’analisi condotta su 50 polizze cyber destinate a privati, famiglie e piccole-medie imprese presenti sul mercato italiano al 30 luglio 2023, ha evidenziato una crescente diffusione di questi prodotti. Per i privati e le famiglie, le coperture sono generalmente offerte come moduli aggiuntivi ad altre polizze, includendo servizi di tutela legale, assistenza tecnica per il ripristino dei sistemi, rimborsi per frodi su carte e acquisti online, nonché supporto in caso di furto d’identità o uso improprio dei dati sui social network. Le PMI, invece, possono accedere a prodotti più articolati, che coprono danni ai sistemi informatici, interruzioni dell’attività, responsabilità verso terzi e gestione delle crisi aziendali in seguito a un attacco informatico.
Uno dei nodi critici emersi dall’indagine IVASS riguarda la mancanza di uniformità nel linguaggio contrattuale. Termini chiave come “dato”, “attacco informatico” o “evento cyber” sono interpretati in modo diverso da compagnia a compagnia. In alcune polizze, il concetto di “dato” è ampio, in altre è circoscritto; analogamente, l’elenco degli incidenti coperti varia sensibilmente. La sola lettura del titolo della garanzia, ad esempio “protezione cyber” o “difesa digitale”, non fornisce indicazioni sufficienti su quali situazioni saranno effettivamente indennizzate.
Esclusioni e requisiti tecnici nelle polizze assicurative
La maggior parte delle polizze esclude esplicitamente i danni connessi a guerra, sommosse o terrorismo, con alcune che citano anche la “guerra informatica”. In un contesto europeo caratterizzato da un aumento degli attacchi legati a tensioni internazionali, la distinzione tra criminalità e conflitto diventa sempre più sfumata. L’assenza di definizioni precise espone al rischio che eventi attribuiti, anche solo politicamente, a Stati o gruppi sponsorizzati vengano considerati non indennizzabili.
Un ulteriore elemento di complessità è rappresentato dalla formula “claims made”: la garanzia opera solo per i sinistri denunciati per la prima volta durante la validità della polizza, anche se l’attacco è avvenuto in precedenza. Chi scopre una violazione a distanza di mesi potrebbe non essere coperto, a meno che non sia prevista una clausola di retroattività o un periodo di denuncia postuma. A ciò si aggiungono i requisiti tecnici: molte coperture sono subordinate all’utilizzo di antivirus a pagamento, all’aggiornamento costante dei sistemi, all’adozione di politiche di backup e, in alcuni casi, al rispetto di limiti di età dei dispositivi. Il mancato rispetto di queste condizioni può comportare il rifiuto del risarcimento al momento del sinistro.
Le polizze cyber si intersecano con un altro aspetto delicato: la responsabilità delle banche nelle operazioni di pagamento non autorizzate. I contratti spesso includono clausole che escludono il rimborso in caso di “colpa grave” del cliente, ad esempio quando questi fornisce volontariamente i propri codici a un truffatore. Tuttavia, la normativa europea sui servizi di pagamento e la giurisprudenza italiana stabiliscono che è onere dell’intermediario dimostrare la presenza di frode, dolo o colpa grave del correntista per negare il rimborso. La sentenza del Tribunale di Napoli n. 9478/2024 conferma questo orientamento: non è sufficiente provare che l’operazione è stata eseguita con le credenziali del cliente; la banca deve dimostrare sia l’adeguatezza dei propri sistemi di sicurezza, sia un comportamento gravemente negligente dell’utente. In assenza di tali prove, le somme indebitamente prelevate devono essere restituite. Ciò implica che esiste una tutela legale di base che non può essere elusa mediante clausole contrattuali generiche.
L’efficacia delle polizze cyber
L’EIOPA (Autorità europea delle assicurazioni) ricorda che il ruolo delle polizze cyber è quello di integrare – non sostituire – le misure di sicurezza tecnologica e organizzativa. Per famiglie e piccole imprese, il rischio è di vivere la sottoscrizione come un “lasciapassare”, abbassando la guardia su password, aggiornamenti e procedure interne. In realtà, molti contratti chiedono esattamente l’opposto: senza un minimo di “igiene digitale” (ad esempio, uso di password sicure, aggiornamenti regolari, backup), la copertura può saltare.
Le polizze cyber possono essere uno strumento utile, ma la loro efficacia dipende dalla comprensione delle condizioni e dall’adozione di comportamenti responsabili. La legge e la giurisprudenza offrono già una tutela di base, ma la polizza può integrare questa protezione, a patto di sceglierla con consapevolezza e di rispettare gli obblighi previsti.
