Approfondimento Tech

Cyber-assicurazioni e rischio

Guida pratica a cyber-assicurazioni e quantificazione del rischio: metriche, clausole, requisiti e un cyber risk score in Excel/Python.

la cyber-polizza

28 Gennaio 2026

Indice dei contenuti

  • Stato attuale del mercato: perché le imprese cercano la cyber-polizza
  • Cos’è e come funziona una polizza cyber: strutture e meccanismi
  • Quantificazione del rischio: principi e obiettivi
  • Metriche che contano: MTTD, MTTR, costo medio per record, supply-chain exposure
  • Dati, big data e scenario analysis (Monte Carlo)
  • Come dimensionare massimale e franchigia (e perché influiscono sulla resilienza)
  • Cosa richiedono le polizze: controlli minimi, audit, report
  • Clausole delicate: ransomware, esfiltrazione, business interruption, esclusioni
  • Integrazione con il piano di sicurezza: la polizza non è il piano
  • Come scegliere il broker assicurativo e impostare una RFP efficace

Le cyber-assicurazioni sono passate in pochi anni da strumento di nicchia a componente strutturale della governance della sicurezza. Spinte dall’aumento degli incidenti di ransomware, dalla complessità della supply-chain digitale e da un quadro regolatorio sempre più esigente, le imprese soprattutto le PMI cercano polizze in grado di trasferire una parte del rischio residuo. Ma senza quantificazione del rischio e senza integrare la polizza nel piano di sicurezza, il rischio è pagare un premio elevato per una copertura inefficace.

Questo articolo offre una mappa completa: stato del mercato, modelli e metriche per misurare il rischio, requisiti richiesti dalle compagnie, clausole critiche (dalla esfiltrazione dati alle estensioni ransomware), un esempio pratico di cyber risk score (in Excel e con script Python) e una guida operativa per scegliere la polizza cyber giusta e integrarla nei processi aziendali.

Stato attuale del mercato: perché le imprese cercano la cyber-polizza

Negli ultimi anni la domanda di cyber-assicurazioni è cresciuta perché gli impatti economici degli incidenti sono aumentati in frequenza e gravità. Il ransomware non è più un evento isolato, ma un’industria criminale strutturata che combina cifratura, esfiltrazione dati e ricatto reputazionale.

La supply-chain digitale (fornitori SaaS, MSP, librerie open-source, terze parti di pagamento) amplifica la superficie d’attacco e rende il rischio interdipendente: un anello debole può propagare il danno. Parallelamente, normative e prassi (es. obblighi di notifica, due diligence nei contratti, standard di settore) spingono le aziende a dimostrare capacità di prevenzione e continuità operativa. In questo contesto, la polizza cyber diventa una leva di trasferimento del rischio residuo (non eliminabile con controlli), ma la sua efficacia dipende da come si misura il rischio e da quanto la copertura è allineata al profilo operativo dell’impresa.

Le compagnie, dal canto loro, hanno “maturato” le condizioni: questionario di underwriting sempre più dettagliato, clausole più granulari (sottolimiti, esclusioni, waiting period), e richiesta di controlli minimi (MFA, backup offline, EDR, gestione patch, Zero Trust di base). Risultato: i premi sono più correlati al rischio reale, e gli sconti (o i rifiuti) più frequenti se i controlli non sono adeguati.

Cos’è e come funziona una polizza cyber: strutture e meccanismi

Una polizza cyber tipicamente copre due macro-aree: danni propri (first-party) e danni a terzi (third-party).

  • First-party
    Costi di risposta all’incidente (DFIR, legali, PR), ripristino sistemi e dati, perdita di profitto per business interruption, estensione ransomware (costi di negoziazione, talvolta riscatto laddove legale), spese di notifica per perdita dati, credit monitoring per gli interessati, “bricking” hardware in talune polizze.
  • Third-party
    Responsabilità verso clienti/utenti/partner per violazioni di dati personali o confidenziali, violazioni contrattuali di sicurezza, richieste di risarcimento, sanzioni amministrative (quando assicurabili), spese di difesa.

Elementi chiave:

  • Massimale (limite massimo per sinistro/anno) e franchigia (quota a carico dell’assicurato).
  • Sottolimiti per estensioni specifiche (es. ransomware, esfiltrazione dati, forensics).
  • Periodi di carenza e waiting period per attivare la business interruption.
  • Retroattività (copre eventi iniziati prima della stipula?) e claims-made vs loss occurrence.
  • War/terrorism exclusions e clausole “hostile act” (attenzione alle minacce “statali”).
  • Panel vendor: in caso di sinistro si devono usare fornitori accreditati? Con quali SLA?

Quantificazione del rischio: principi e obiettivi

Fare quantificazione del rischio significa stimare, con la massima oggettività possibile, la perdita annuale attesa(ALE) e la perdita potenziale per scenari gravi ma plausibili, per poi confrontare questi valori con i costi di controllo e con il premio della polizza. Alcuni concetti utili:

  • Single Loss Expectancy (SLE)
    Perdita media per un singolo evento (es. costo medio di perdita dati).
  • Annualized Rate of Occurrence (ARO)
    Frequenza attesa annua (quante volte l’evento si verifica in media in un anno).
  • Annualized Loss Expectancy (ALE)
    SLE × ARO (perdita annua attesa, utile per budget e massimale).
  • Modelli ispirati a FAIR (Factor Analysis of Information Risk)
    Scompongono la perdita in frequenza e magnitudo, con distribuzioni di probabilità per scenari (integra bene Monte Carlo e scenario analysis).
  • Metriche operative che alimentano la stima
    MTTD (Mean Time To Detect), MTTR (Mean Time To Respond), copertura patching, tasso di supply-chain exposure, densità di dati sensibili per sistema, maturità backup, posture Zero Trust.

Obiettivo: tradurre “cybersicurezza” in numero, così da ottimizzare acquisti e investimenti: quali controlli riducono meglio l’ALE? Quanto massimale serve? Qual è la franchigia sostenibile? Quali clausole sono davvero critiche per il nostro profilo?

Metriche che contano: MTTD, MTTR, costo medio per record, supply-chain exposure

Tre gruppi di indicatori rendono robusta la stima:

  • Tempo e capacità di risposta
    MTTD e MTTR hanno impatto diretto sulla business interruption. Ridurre MTTD/MTTR abbatte giorni di fermo e costi di ripristino.
  • Valore dell’informazione e sensibilità
    Costo unitario della perdita dati (€/record o €/dossier), presenza di IP critico, obblighi contrattuali. Più alta la densità di dati sensibili, più grande la SLE.
  • Interdipendenze
    Supply-chain (numero e criticità di terze parti, privilegi, SLA), concentrazione su singoli vendor (rischio sistemico), dipendenza da cloud e MSP.

Queste metriche alimentano la scenario analysis: “cosa succede se” un fornitore critico cade? Se un attacco ransomware blocca l’ERP 5 giorni? Se la esfiltrazione dati tocca 50.000 clienti?

Dati, big data e scenario analysis (Monte Carlo)

L’uso di big data (interni ed esterni) consente di stimare frequenze e impatti con intervalli di confidenza. Il metodo Monte Carlo è utile per simulare migliaia di scenari: assegni distribuzioni (es. lognormale per la perdita, Poisson per la frequenza) e calcoli la distribuzione dell’ALE e dei quantili (P90, P95). La scenario analysis unisce queste simulazioni a ipotesi specifiche (es. compromissione account privilegiato, fault di un CSP, failure della segmentazione). Il risultato non è un numero “magico” ma una curva di probabilità ideale per dialogare con il broker assicurativo su massimale e franchigia.

cyber risk

Come dimensionare massimale e franchigia (e perché influiscono sulla resilienza)

  • Il massimale dovrebbe coprire almeno tra il P90 e il P95 della perdita per lo scenario peggiore plausibile (non necessariamente il massimo teorico). Usando Monte Carlo, individua il quantile e confrontalo con budget e rischio appetito.
  • La franchigia va scelta in funzione della liquidità disponibile per incidenti “minori ma frequenti”. Una franchigia più alta riduce il premio ma aumenta l’esposizione ai sinistri di bassa entità; ottimizzarla richiede analisi storica dei near-miss e dei costi “medi”.
  • Considera sottolimiti: se la fetta principale del rischio è ransomware con business interruption, valuta che il sottolimite di BI (per giorno × giorni) sia coerente con la tua MTTD/MTTR realistica.

Esempio pratico: un cyber risk score in Excel e in Python

Di seguito un esempio concreto semplice ma estendibile per calcolare un cyber risk score utilizzabile sia per la priorizzazione dei controlli, sia per dimensionare massimale/franchigia.

Modulo Excel (struttura e formule)

Crea un foglio con colonne:

  • Asset/Processo (ERP, CRM, E-commerce, Mail, OT line 1, …)
  • Valore dati (da 1 a 5: 1=irrilevante, 5=critico)
  • Esposizione supply-chain (1-5)
  • MTTD (ore)
  • MTTR (ore)
  • Controlli chiave (MFA, EDR, backup offline, micro-segmentazione) punteggio 0/1 per ciascuno
  • Eventi/anno attesi (ARO)
  • Costo medio evento (SLE, €)
  • Prob. esfiltrazione dati (0-1)
  • Prob. ransomware (0-1)
  • Giorni BI attesi (media)
  • Costo BI/dì (€)

Formule di esempio (celle per riga i):

  • Punteggio postura (0-100):
    =MIN(100; (Valore_dati*10) + (Esposizione_supply_chain*8) + (LOG10(MTTD+1)*8) + (LOG10(MTTR+1)*8) – (Somma_controlli_chiave*6))
    (Più alto = peggio; i controlli riducono il punteggio)
  • SLE aggiustata:
    =SLE * (1 + Prob_esfiltrazione_dati*0,6 + Prob_ransomware*0,8)
  • ALE per asset:
    =ARO * (SLE_aggiustata + (Giorni_BI_attesi * Costo_BI_di))
  • Cyber Risk Score (0-100): normalizza su tutta la tabella:
    =MIN(100; 100 * ALE / MAX(ALE_colonna)) * 0,6 + MIN(100; Punteggio_postura) * 0,4

Infine, somma gli ALE per stimare l’ALE complessiva (base per massimale). Il cyber risk score serve a ordinare asset/processi per priorità di controllo.

Script Python (estendibile a Monte Carlo)

# Cyber Risk Score – esempio didattico

# Nota: sostituisci i dati con i tuoi; puoi leggerli anche da CSV.

from dataclasses import dataclass

from math import log10

from statistics import mean

@dataclass

class AssetRisk:

    name: str

    value_data: int                 # 1..5

    supply_chain_exposure: int      # 1..5

    mttd_hours: float

    mttr_hours: float

    controls: dict                  # es. {"MFA":1,"EDR":1,"BackupOffline":0,"Segmentation":0}

    aro: float                      # eventi/anno

    sle_euro: float                 # costo medio per evento

    p_exfil: float                  # 0..1

    p_ransom: float                 # 0..1

    bi_days: float                  # giorni di interruzione

    bi_cost_per_day: float          # euro/dì

    def posture_score(self) -> float:

        controls_score = sum(self.controls.values())

        score = (self.value_data*10) + (self.supply_chain_exposure*8) \

                + (log10(self.mttd_hours+1)*8) + (log10(self.mttr_hours+1)*8) \

                - (controls_score*6)

        return max(0, min(100, score))

    def sle_adj(self) -> float:

        return self.sle_euro * (1 + self.p_exfil*0.6 + self.p_ransom*0.8)

    def ale(self) -> float:

        return self.aro * (self.sle_adj() + (self.bi_days * self.bi_cost_per_day))

assets = [

    AssetRisk(

        name="ERP",

        value_data=5, supply_chain_exposure=3,

        mttd_hours=8, mttr_hours=24,

        controls={"MFA":1,"EDR":1,"BackupOffline":1,"Segmentation":1},

        aro=0.6, sle_euro=120000, p_exfil=0.3, p_ransom=0.4,

        bi_days=2.5, bi_cost_per_day=35000

    ),

    AssetRisk(

        name="E-commerce",

        value_data=4, supply_chain_exposure=4,

        mttd_hours=6, mttr_hours=12,

        controls={"MFA":1,"EDR":1,"BackupOffline":0,"Segmentation":1},

        aro=0.9, sle_euro=80000, p_exfil=0.4, p_ransom=0.5,

        bi_days=1.2, bi_cost_per_day=20000

    ),

    # Aggiungi altri asset/processi qui...

]

ale_values = [a.ale() for a in assets]

ale_max = max(ale_values) if ale_values else 1.0

def cyber_risk_score(a: AssetRisk) -> float:

    # 60% peso all'ALE normalizzata, 40% alla postura

    ale_norm = min(100, 100 * a.ale() / ale_max)

    return round(ale_norm*0.6 + a.posture_score()*0.4, 2)

portfolio_ale = sum(ale_values)

scores = [(a.name, cyber_risk_score(a), a.ale(), a.posture_score()) for a in assets]

print("ALE complessiva (€/anno):", round(portfolio_ale, 2))

for name, score, ale, posture in sorted(scores, key=lambda x: x[1], reverse=True):

    print(f"{name:15s} | Score: {score:6.2f} | ALE: €{ale:,.0f} | Postura: {posture:5.1f}")

Come usarlo:

  • inserisci i tuoi asset e parametri; 2) esegui; 3) osserva ALE per il dimensionamento del massimale e confronta i cyber risk score per priorizzare i controlli.
  • Estensioni possibili
    Integra distribuzioni (es. numpy.random.lognormal) per una Monte Carlo semplificata e calcola i quantili di perdita (P90, P95).

Cosa richiedono le polizze: controlli minimi, audit, report

Le compagnie richiedono sempre più spesso una baseline di controlli:

  • MFA su account privilegiati e accessi remoti.
  • EDR/XDR su endpoint/server, con capacità di containment.
  • Backup offline/immutabili, test di ripristino documentati.
  • Gestione patch con SLA e copertura sistemi critici.
  • Segmentazione/micro-segmentazione (Zero Trust di rete e identità).
  • Hardening di posta (SPF, DKIM, DMARC) e protezione phishing.
  • Formazione anti-phishing e simulazioni periodiche.
  • Vulnerability management e, talvolta, pentest su asset esposti.

Questi elementi compaiono nel questionario di underwriting e possono essere verificati via audit o scansioni esterne. Dichiarazioni inesatte possono causare rivalse o decadenze di copertura: conviene allineare la realtà tecnica ai moduli dichiarativi e mantenere un “evidence pack” aggiornato (policy, procedure, screenshot, report di test).

Clausole delicate: ransomware, esfiltrazione, business interruption, esclusioni

Alcune clausole meritano lettura riga per riga:

  • Ransomware
    Verifica il sottolimite, la presenza di co-insurance (quota a carico tuo), i requisiti (es. backup offline e MFA). Valuta anche estensioni per “cyber extortion” e negoziazione tramite fornitori del panel.
  • Esfiltrazione dati
    Copertura dei costi di notifica, PR, difesa legale e (quando ammesso) sanzioni. Attenzione a esclusioni per “mancata cifratura” se dichiarata come controllo standard.
  • Business Interruption
    Definizione di “interruzione”, waiting period (es. 12-24 ore prima che parta l’indennizzo), metodo di calcolo della perdita (margine vs ricavo), sottolimitazione per giorno e numero massimo di giorni.
  • War/Hostile Acts
    Alcune polizze escludono attacchi attribuibili a stati; valuta estensioni laddove disponibili.
  • OFAC/Illegal Payments
    Limitazioni al pagamento di riscatti verso soggetti sanzionati.
  • Bricking
    Non sempre coperti i device resi inutilizzabili; serve estensione esplicita.
  • Retroattività
    Utile se l’intrusione è avvenuta prima della stipula ma scoperta dopo.
  • Silent Cyber
    Evita che altre polizze tradizionali “escludano” tacitamente eventi cyber che pensavi coperti.

Integrazione con il piano di sicurezza: la polizza non è il piano

Una polizza non sostituisce un programma di sicurezza. Deve inserirsi in un ciclo di gestione del rischio:

  • Identificare asset, dati, dipendenze di supply-chain.
  • Valutare minacce e vulnerabilità, stimare SLE/ARO, costruire la curva di perdita (anche con scenario analysis).
  • Trattare il rischio: evitare, ridurre (controlli), trasferire (polizza), accettare (residuo).
  • Monitorare con KPI/KRI (MTTD, MTTR, tasso di incidenti, copertura patch).
  • Rivedere annualmente la polizza, aggiornando massimale/franchigia alla luce dei cambiamenti (nuovi sistemi, nuove normative, nuovi fornitori).

Integrare la polizza con playbook incident response, tabletop exercise e termini contrattuali coi fornitori (obblighi di sicurezza, notifica e cooperazione) aumenta la reale insindacabilità del sinistro e riduce tempi e costi.

Modello operativo (90/180/365 giorni) per PMI

  • Entro 90 giorni
    Mappa degli asset e dei dati, inventario fornitori supply-chain, implementa MFA ovunque, attiva backup offline, stabilisci tempi obiettivo MTTD<12h e MTTR<24-48h, esegui questionario di underwriting onesto e condiviso con IT.
  • Entro 180 giorni
    EDR/XDR, hardening di posta, segmentazione di rete, procedure IR testate, scenario analysis di 3 scenari (es. ransomware su ERP, esfiltrazione dati clienti, failure SaaS critico). Stima ALE e seleziona massimale/franchigia.
  • Entro 365 giorni
    Zero Trust pilota (conditional access, micro-segmentazione), esercizi Monte Carlo base, revisione contratti con fornitori (obblighi di sicurezza e indennizzo), rinnovo polizza con evidenze di miglioramento (potenziale sconto premio).

Come scegliere il broker assicurativo e impostare una RFP efficace

Il broker assicurativo giusto lavora su tre fronti: (1) traduzione tecnica–assicurativa (dal tuo cyber risk score ai termini di polizza), (2) confronto tra compagnie su clausole e sottolimiti realmente rilevanti, (3) gestione sinistri con rapidità, conoscendo il panel vendor.

Cosa chiedere in una RFP:

  • Matrice comparativa di coperture/sottolimiti/esclusioni sulle tue priorità (BI, ransomware, esfiltrazione dati, forensics, PR).
  • Opzioni di massimale/franchigia con impatto sul premio e su P90/P95.
  • Flessibilità sul panel vendor (pre-accettazione dei tuoi fornitori).
  • Clausole su retroattività, sub-limits cumulativi vs separati, definizione di “evento”.
  • Percorso di rinnovo con “merit rating” basato su miglioramenti di postura (legare sconti a KPI: MTTD/MTTR, copertura EDR, test di ripristino).

Trappole frequenti e come evitarle

  • Dichiarazioni eccessivamente ottimistiche nel questionario di underwriting
    Rischi rifiuto o rivalsa. Allinea sempre realtà e dichiarato.
  • Sottolimiti sproporzionati: BI “giorno × tetto” che copre solo una frazione del fermo realistico.
  • Esclusioni nascoste
    Cifratura “obbligatoria” non rispettata, war/hostile acts troppo ampi, pagamento riscatti limitato.
  • Lock-in sul panel
    Se non puoi usare un team DFIR di fiducia, i tempi si allungano e i costi salgono. Negozia panel “aperto previa approvazione”.
  • Mancata integrazione contrattuale con i fornitori
    Senza obblighi di sicurezza e cooperazione, potresti non recuperare danni o non rispettare SLA di notifica.

Conclusioni: rendere la polizza un moltiplicatore di resilienza

Una polizza cyber non è un paracadute “magico”, ma un contratto che funziona se inserito in un sistema: quantificazione del rischio, controllo tecnico, processi di risposta, governance e contrattualistica. Il cyber risk score(Excel/Python) ti consente di parlare lo stesso linguaggio dell’assicuratore e del broker assicurativo, negoziando massimale, franchigia e clausole con numeri alla mano.

Per le PMI, partire da pochi controlli “ad alto impatto” (MFA, backup offline, EDR, email security, tabletop) consente spesso di ridurre sia la probabilità che l’impatto, migliorare la trattativa sul premio e aumentare la reale capacità di stare in piedi durante una crisi.

Nota finale operativa

Usa il modello Excel e lo script per creare un “cyber risk score di baseline”, aggiornalo trimestralmente, collegalo ai KPI (MTTD/MTTR, incidenti, patch). Porta i numeri al tavolo con il broker assicurativo: potrai ottimizzare massimale, franchigia e clausole, evitando le principali trappole e integrando davvero la polizza nella tua governance della sicurezza.

Domande e risposte

  1. Che differenza c’è tra polizza cyber first-party e third-party?
    La first-party copre i tuoi costi diretti (DFIR, ripristino, business interruption, notifica perdita dati), la third-party copre responsabilità verso terzi (clienti, partner, autorità) per violazioni o inadempienze di sicurezza.
  2. Come scelgo il massimale giusto?
    Stima la perdita annuale attesa (ALE) e i quantili di scenario (P90/P95) con scenario analysis o Monte Carlo. Il massimale dovrebbe coprire almeno il P90 dello scenario peggiore plausibile; poi verifica sottolimiti specifici (es. ransomware).
  3. La polizza copre sempre i riscatti ransomware?
    Non sempre. Spesso la copertura è soggetta a clausole (backup, MFA), sotto limiti, divieti OFAC e valutazioni legali. Verifica condizioni e alternative (ripristino da backup, negoziazione professionale).
  4. Che ruolo hanno MTTD e MTTR nell’assicurazione?
    MTTD e MTTR influenzano la durata e il costo della business interruption: tempi più brevi riducono indennizzi attesi e possono migliorare premio e condizioni.
  5. Come incidono i fornitori di supply-chain?
    Aumentano la probabilità di eventi e l’impatto. Mappa dipendenze critiche, obblighi contrattuali di sicurezza e SLA di notifica; considera estensioni per incidenti che originano da terze parti.
  6. Posso usare un mio fornitore DFIR durante un sinistro?
    Dipende dal panel vendor. Molte polizze impongono fornitori accreditati. Negozia in anticipo l’inclusione dei tuoi partner o una clausola di approvazione rapida.
  7. Cos’è la franchigia e come incide?
    La franchigia è la parte del danno che resta a tuo carico. Una franchigia alta riduce il premio ma aumenta l’esposizione ai sinistri minori. Va calibrata sulla tua liquidità e sulla frequenza attesa degli eventi.
  8. La polizza copre sanzioni regolatorie per data breach?
    Dipende dai paesi e dalle clausole: talvolta sì come spese di difesa o sanzioni amministrative, talvolta no. Serve analisi legale e confronto polizza-per-polizza.
  9. Come dimostro alla compagnia che i controlli esistono davvero?
    Prepara un “evidence pack”: policy firmate, report di patching, screenshot MFA, report di test di ripristino, export di EDR, registri di tabletop e KPI (MTTD/MTTR).
  10. Le PMI come possono iniziare senza budget enorme?
    Concentrarsi su controlli ad alto ROI (MFA, backup offline, EDR, email security), allenare la risposta, misurare ALE con il cyber risk score proposto e negoziare con il broker assicurativo una polizza cyber con massimale e sottolimiti centrati sui propri scenari.
2
To top