
Un’azienda è stata vittima di un malware e vuole ottenere un rimborso dall’assicurazione per i rischi cyber? Si potrebbe veder rispondere che si trattava di un atto di guerra e non ottenere un centesimo.
Tutto questo è accaduto a Mondelēz International, grande multinazionale USA nel settore alimentare con oltre 80.000 dipendenti (tratta marchi noti come Fonzies, Hag, Splendid, Oreo, Philadelphia, Saiwa, Sottilette, Toblerone, Vitasnella e molti altri).
Nel 2017 il ransomware NotPetya causa all’azienda danni per 180 milioni di dollari fra spese e mancati introiti. Il NotPetya si diffuse grazie all’exploit EternalBlue della NSA, rubato e rilasciato online dal gruppo di hacker noto come ShadowBrokers.
Il ransomware colpì soprattutto aziende in Ucraina, ma ovviamente non si fermò ai confini geografici. Molte furono le organizzazioni internazionali attaccate dal malware, fra le quali appunto Mondelēz International, che chiese quindi al suo assicuratore Zurich American Insurance Company un rimborso. Quest’ultima tuttavia fra marzo e giugno dello scorso anno ha cambiato la classificazione del NotPetya da atto criminale ad atto di guerra, applicando quindi la clausola che evita il rimborso.
Mondelēz ovviamente non ci sta e ha citato Zurich American Insurance Company per violazione di contratto. Gli esiti della causa sono ancora tutti da scrivere.
Resta la perplessità di come sia quasi sempre difficile attribuire a uno Stato la paternità di un attacco hacker o malware. Poiché era stata attaccata l’Ucraina tutti hanno puntato il dito contro la Russia, e a onor del vero ESET – pur guardandosi bene dal compiere qualsiasi tipo di attribuzione – ha scoperto un collegamento fra il NotPetya e altro malware che in passato ha attaccato le infrastrutture critiche ucraine, in quelli che sono sembrati atti di sabotaggio anziché estorsione.
Ma ammesso e non concesso che il NotPetya sia effettivamente l’azione di hacker governativi, non so quanto l’argomentazione del non ti pago perché il malware era un atto di guerra faccia bene al mercato assicurativo. Alla fine diverse infezioni a tappeto avvenute negli ultimi anni (pensiamo anche al ransomware WannaCry) sono state ricondotte a questo o a quel Governo. Se le assicurazioni per non pagare i danni dovessero trincerarsi dietro la giustificazione che questi sono atti di guerra, renderebbero le loro polizze contro il rischio cyber molto meno appetibili.