Puntano alla spina dorsale dell’economia connessa e, quando colpiscono, possono mettere a repentaglio il successo, o addirittura l’esistenza, di aziende di ogni dimensione e settore. Secondo l’Allianz Risk Barometer 2018 realizzato da Allianz Global Corporate & Specialty (AGCS), i principali rischi aziendali a livello globale sono rappresentati dalla Interruzione di attività (n°1 con il 42% delle risposte / n°1 nel 2017) e dai Rischi informatici (n°2 con il 40% delle risposte, in aumento rispetto al 3° posto nel 2017).
Anche le maggiori perdite dovute alle Catastrofi naturali (n°3 con il 30% delle risposte, in aumento rispetto al 4° posto del 2017) sono una preoccupazione crescente per le aziende, con il 2017 che si è distinto come anno peggiore; questo ha anche fatto sì che il Cambiamento climatico/aumentata instabilità metereologica (n°10) si collochi per la prima volta tra i primi 10 rischi più importanti. Mentre, l’impatto del rischio delle Nuove tecnologie (n°7 nel 2018 / n°10 nel 2017) è uno di quelli in maggior crescita, in quanto le aziende riconoscono che innovazioni come l’intelligenza artificiale o la mobilità autonoma potrebbero creare in futuro nuove responsabilità e perdite su larga scala, così come le opportunità. Al contrario, le imprese sono meno preoccupate degli Sviluppi del mercato (n°4 nel 2018 / n°2 nel 2017) rispetto a 12 mesi fa.
Sono questi i principali risultati del settimo Allianz Risk Barometer, pubblicato ogni anno da Allianz Global Corporate & Specialty (AGCS), che per il 2018 si basa sull’analisi di ben 1.911 esperti di rischio provenienti da 80 Paesi.
“Per la prima volta, l’interruzione di attività e il cyber risk hanno la stessa importanza secondo quanto emerge dall’Allianz Risk Barometer, e questi rischi sono sempre più interconnessi”, afferma Chris Fischer Hirs, CEO di AGCS. “Che si tratti di attacchi come WannaCry, o più frequentemente di guasti di sistema, gli incidenti informatici sono oggi una delle principali cause di interruzione di attività per le aziende collegate in rete, i cui principali asset sono spesso i dati, le piattaforme di servizio o i loro gruppi di clienti e fornitori. Tuttavia, i gravi disastri naturali dello scorso anno ci ricordano che l’impatto dei pericoli dell’ambiente o del clima non dovrebbe essere sottovalutato. I risk manager dovranno affrontare in futuro un ambiente estremamente complesso e imprevedibile, caratterizzato sia dai rischi aziendali tradizionali che dalle nuove sfide tecnologiche”.
I rischi più sentiti nel 2018: focus Italia
Anche in Italia il rischio più temuto dalle aziende si conferma l’Interruzione di attività, indicato dal 51% (in crescita rispetto al 36% della precedente rilevazione). Al secondo posto troviamo i Rischi informatici, che con il 38% guadagnano ben due posizioni, seguiti dalle Catastrofi naturali (30%). Il Danno reputazionale o d’immagine, che passa dalla 10a alla 4a posizione nel 2018, è invece il rischio in maggior crescita.
“Sottovalutato per molto tempo, il rischio informatico è una preoccupazione crescente per le aziende italiane, arrivando al 2° posto nel Risk Barometer, e anche il Danno reputazionale è una minaccia in aumento”, commenta Nicola Mancino, CEO di AGCS Italia.
La top 10 dei rischi in Italia
Emergono nuovi scenari rispetto all’Interruzione di attività
A livello globale, l’Interruzione di attività (BI) è il rischio più sentito per il sesto anno consecutivo e si colloca ai primi posti in 13 Paesi e nelle aree di Europa, Asia Pacifico, Africa e Medio Oriente. Nessuna impresa è troppo piccola per essere colpita. Le aziende si trovano ad affrontare un numero crescente di scenari, che vanno dalle esposizioni tradizionali come incendi, disastri naturali e interruzioni della supply chain, ai nuovi fattori scatenanti derivanti dalla digitalizzazione e dall’interconnessione, che in genere non causano danni fisici, ma comportano ingenti perdite finanziarie. Un guasto ai principali sistemi informatici, il terrorismo o gli eventi socio-politici, gli incidenti legati alla qualità dei prodotti o un cambiamento normativo inatteso possono portare le aziende a un blocco temporaneo o prolungato con un effetto devastante sui ricavi.
Per la prima volta, secondo le aziende e gli esperti di rischi, anche gli incidenti informatici sono considerati il fattore scatenante più temuto della BI, e l’interruzione di attività è considerato il principale fattore di perdita dopo un incidente informatico. L’esperto di analisi del rischio Cyence, che collabora con AGCS, stima che l’impatto sul costo medio di un blackout del cloud della durata di oltre 12 ore per le aziende dei settori finanziario, sanitario e retail potrebbe ammontare a 850 milioni di $ in Nord America e 700 milioni di $ in Europa.
Secondo l’Allianz Risk Barometer, l’Interruzione di attività è anche il secondo rischio più sottovalutato. “Le aziende possono essere sorprese dell’effettiva causa, portata e impatto finanziario di una perturbazione e sottovalutare la complessità del ‘ritorno all’attività’. Dovrebbero continuamente perfezionare i loro piani di emergenza e di business continuity per riflettere il nuovo ambiente BI e prendere adeguatamente in considerazione la crescente minaccia della BI informatica”, afferma Volker Muench, esperto Global Property e BI, AGCS.
I rischi informatici continuano ad evolversi
I rischi informatici continuano la tendenza al rialzo nell’Allianz Risk Barometer. Cinque anni fa erano al 15° posto, mentre nel 2018 sono al 2°. Varie minacce come la violazione dei dati, gli attacchi degli hacker o l’interruzione di attività a seguito di un blocco informatico, collocano questo tipo di rischio al 1° posto in 11 Paesi intervistati e nella regione delle Americhe e al 2° posto in Europa e Asia Pacifico. È anche considerato il rischio più sottovalutato e il principale pericolo a lungo termine.
Eventi recenti come gli attacchi WannaCry e Petya hanno causato notevoli perdite finanziarie a un gran numero di imprese. Altri, come Mirai, il più grande attacco DDoS (Denial of Service) mai sferrato contro le principali piattaforme e servizi internet in Europa e Nord America alla fine del 2016, dimostra i rischi dell’interconnessione e della dipendenza che esiste, visto il condiviso utilizzo delle infrastrutture e dei fornitori di servizi Internet. A livello individuale, le carenze di sicurezza recentemente individuate nei chip dei computer in quasi tutti i dispositivi moderni rivelano la vulnerabilità informatica delle società moderne. Nel 2018 continuerà a crescere il potenziale di eventi cosiddetti “uragani informatici”, in cui gli hacker attaccano un numero sempre maggiore di imprese, concentrandosi sulle dipendenze delle infrastrutture comuni.
Il rischio privacy è di nuovo sotto i riflettori a seguito di grandi violazioni dei dati negli Stati Uniti. L’introduzione del Regolamento generale sulla protezione dei dati (GDPR) in tutta Europa nel maggio 2018 intensificherà ulteriormente il controllo, con la prospettiva di ulteriori e maggiori sanzioni per le imprese che non si adeguano. Il tempo sta per scadere ed è necessario essere pronti al GDPR.
“Rispetto agli Stati Uniti, dove le leggi sono già rigide, in Europa le imprese non sono altrettanto consapevoli dei rischi per la privacy. Molte aziende si renderanno rapidamente conto che le questioni relative alla privacy possono creare costi elevati una volta che il GDPR sarà pienamente implementato”, afferma Emy Donavan, Global Head of Cyber di AGCS. “L’esperienza passata ha dimostrato che la risposta di un’azienda a una crisi informatica, come una violazione, ha un impatto diretto sui costi, sulla reputazione e sul valore di mercato dell’ azienda. Ciò diventerà ancora più vero nel quadro del GDPR”.
Le minacce informatiche variano anche a seconda delle dimensioni dell’azienda o del settore. “Le piccole aziende rischiano di essere paralizzate se colpite da un attacco ransomware, mentre le aziende più grandi sono bersaglio di una gamma più ampia di minacce, come gli attacchi DDoS che possono sopraffare i sistemi”, dice Donavan.
I risultati dell’Allianz Risk Barometer mostrano che la consapevolezza della minaccia cyber è in aumento tra le piccole e medie imprese, con un notevole balzo dal 6° al 2° posto per le piccole e dal 3° al 1° per le medie imprese. Per quanto riguarda l’esposizione settoriale, gli incidenti informatici si collocano ai primi posti nelle industrie dell’Entertainment & Media, dei Servizi Finanziari, della Tecnologia e delle Telecomunicazioni.
Rischio meteorologico e tecnologico in aumento
Dopo un record di 135 miliardi di $ di perdite a causa delle sole catastrofi naturali del 2017 – le più alte mai registrate – causate dagli uragani Harvey, Irma e Maria negli Stati Uniti e nei Caraibi, le Catastrofi naturali tornano ad occupare la classifica dei primi tre rischi aziendali a livello globale. “L’impatto delle catastrofi naturali va ben oltre i danni fisici alle strutture delle zone colpite. Man mano che le industrie diventano più snelle e interdipendenti, le catastrofi naturali possono coinvolgere una grande varietà di settori in tutto il mondo che a prima vista potrebbero non sembrare direttamente interessati “, afferma Ali Shahkarami, responsabile della Catastrophe Risk Research, AGCS.
Gli intervistati temono che il 2017 possa essere un presagio della crescente intensità e della frequenza dei pericoli naturali. I fattori di Cambiamento climatico / aumentata instabilità metereologica sono un nuovo elemento nella top 10 del Risk Barometer del 2018 e il potenziale di perdita per le imprese è ulteriormente aggravato dalla rapida urbanizzazione delle zone costiere.
L’impatto del rischio delle Nuove tecnologie è, invece, uno dei principali elementi in aumento nella classifica dell’Allianz Risk Barometer, e passa dal 10° al 7° posto; si colloca inoltre al secondo posto tra i maggiori rischi per il futuro a lungo termine dopo gli incidenti informatici, con i quali è strettamente interconnesso. La vulnerabilità e i guasti di macchine automatiche o addirittura autonome o auto-apprendenti, gli atti cyber dolosi come estorsioni o spionaggi, aumenteranno in futuro e potrebbero avere un impatto significativo qualora venissero coinvolte infrastrutture critiche, come le reti IT o l’alimentazione elettrica.
“Anche se potremo assistere ad un numero inferiore di perdite grazie all’automazione e al monitoraggio che minimizzano il fattore di errore umano, persiste un grande potenziale di perdite su larga scala a seguito del verificarsi di un incidente”, spiega Michael Bruch, Responsabile di Emerging Trends, AGCS.
Le aziende devono anche prepararsi ad affrontare nuovi rischi e obblighi, in quanto le responsabilità passano dall’uomo alla macchina, e quindi al produttore o al fornitore di software. La copertura e il trasferimento della responsabilità diverranno in futuro molto più impegnative.