La triplice estorsione praticata dai gruppi ransomware — blocco operativo, furto di dati e pressione diretta su clienti e regolatori — ha reso strutturalmente inadeguato il modello di gestione del rischio cyber basato principalmente sull'assicurazione. Il caso Change Healthcare del febbraio 2024 ha reso plasticamente evidente questa frattura: un danno da 3,09 miliardi di dollari a fronte di un riscatto di circa 22 milioni pagato al gruppo ALPHV, con la copertura assicurativa che ha coperto soltanto una frazione del totale.
Il mercato assicurativo cyber, strutturato per un modello di minaccia ormai superato, sta rapidamente ridefinendo i propri perimetri di copertura. I carrier introducono sub-limit specifici per eventi ransomware, clausole di esclusione per attacchi attribuiti a stati nazionali e requisiti di controllo della sicurezza che molti assicurati non hanno mai verificato di soddisfare effettivamente. Il risultato pratico: una polizza da 10 milioni di dollari può avere un sub-limit ransomware di soli 2 milioni, con una disputa sulla copertura che si sviluppa in parallelo alla gestione dell'incidente per i successivi 18 mesi.
Il caso Merck-NotPetya ha attraversato i tribunali per anni prima di giungere a un accordo nel gennaio 2024, con la corte d'appello che ha stabilito che l'esclusione per azioni "ostili e di guerra" non si applicava a un'azienda non combattente. Lloyd's of London ha risposto mandando un segnale inequivocabile al mercato: con il Market Bulletin Y5381 dell'agosto 2022, ha imposto a tutte le polizze cyber standalone l'esclusione delle perdite derivanti da operazioni cibernetiche state-sponsored, con efficacia dal 31 marzo 2023. La direzione del mercato è contraria agli assicurati.
Il rapporto Verizon Data Breach Investigations 2024 documenta ransomware o estorsione come fattore nel 32% di tutte le violazioni, con gruppi criminali organizzati responsabili della maggior parte degli incidenti. La meccanica della triplice estorsione è ormai consolidata: l'encryption rappresenta solo la prima mossa, funzionale a bloccare le operazioni; l'esfiltrazione dei dati — eseguita prima dell'attivazione del ransomware — crea una leva negoziale che nessun backup può neutralizzare; il terzo livello, il più insidioso, è il contatto diretto con clienti, regolatori e azionisti, calibrato per massimizzare la pressione nel momento peggiore.
Nel caso Change Healthcare, il gruppo ALPHV è entrato attraverso un portale Citrix privo di autenticazione multifattore e ha trascorso settimane a muoversi lateralmente nella rete prima che qualcuno se ne accorgesse. L'ufficio per i diritti civili del Dipartimento della Salute statunitense (HHS-OCR) ha aperto un'indagine formale sulla conformità alle norme HIPAA mentre l'organizzazione era ancora in fase di recovery attiva, definendo pubblicamente l'episodio come la più grande violazione di dati sanitari nella storia americana. La pressione regolatoriale non attende il ripristino dei sistemi.
L'attacco a MGM Resorts nel 2023, attribuito al gruppo Scattered Spider, ha invece dimostrato il limite opposto: tecnologia adeguata ma layer umano compromesso. Il social engineering dell'help desk IT ha garantito l'accesso iniziale agli attaccanti, con un costo stimato di 100 milioni di dollari in mancato fatturato e costi di remediation in un solo mese. Le esercitazioni tabletop hanno valore, ma raramente simulano il caos reale di un incidente: i blackout comunicativi, la pressione dell'ufficio del CEO, le chiamate dei media prima ancora di aver confermato l'entità della violazione.
Il framework NIST Cybersecurity 2.0 fornisce l'architettura di riferimento più adottata per la maturità della risposta agli incidenti, articolata su identificazione, protezione, rilevamento, risposta e recovery. Quello che ha fatto la differenza nella campagna MOVEit di Cl0p nel 2023 non era la dimensione della polizza assicurativa, ma la capacità di mappare i flussi dati, limitare l'esposizione non necessaria e disporre di un team capace di intervenire in ore, non in giorni. L'assicurazione è un meccanismo di trasferimento del rischio residuale, non un sostituto delle difese.
La domanda che i consigli di amministrazione dovrebbero porsi non riguarda la probabilità di essere colpiti — per qualsiasi organizzazione di dimensioni significative, inserita in una supply chain connessa, la questione è già superata — ma quale sia il reale livello di preparazione quando accadrà. Le piattaforme ransomware-as-a-service hanno abbassato le barriere all'ingresso; i dati sui pagamenti vengono analizzati per calibrare le richieste future; i gruppi criminali studiano i bilanci aziendali. In questo scenario, quanto del vantaggio competitivo di un'organizzazione dipende dalla qualità dei dati che detiene, e quanto di quel valore è oggi realmente protetto?