Danni da malware? Se è un atto di guerra l’assicurazione non paga

Un’azienda è stata vittima di un malware e vuole ottenere un rimborso dall’assicurazione per i rischi cyber? Si potrebbe veder rispondere che si trattava di un atto di guerra e non ottenere un centesimo.

Tutto questo è accaduto a Mondelēz International, grande multinazionale USA nel settore alimentare con oltre 80.000 dipendenti (tratta marchi noti come Fonzies, Hag, Splendid, Oreo, Philadelphia, Saiwa, Sottilette, Toblerone, Vitasnella e molti altri).

Nel 2017 il ransomware NotPetya causa all’azienda danni per 180 milioni di dollari fra spese e mancati introiti. Il NotPetya si diffuse grazie all’exploit EternalBlue della NSA, rubato e rilasciato online dal gruppo di hacker noto come ShadowBrokers.

Il ransomware colpì soprattutto aziende in Ucraina, ma ovviamente non si fermò ai confini geografici. Molte furono le organizzazioni internazionali attaccate dal malware, fra le quali appunto Mondelēz International, che chiese quindi al suo assicuratore Zurich American Insurance Company un rimborso. Quest’ultima tuttavia fra marzo e giugno dello scorso anno ha cambiato la classificazione del NotPetya da atto criminale ad atto di guerra, applicando quindi la clausola che evita il rimborso.

Mondelēz ovviamente non ci sta e ha citato Zurich American Insurance Company per violazione di contratto. Gli esiti della causa sono ancora tutti da scrivere.

Resta la perplessità di come sia quasi sempre difficile attribuire a uno Stato la paternità di un attacco hacker o malware. Poiché era stata attaccata l’Ucraina tutti hanno puntato il dito contro la Russia, e a onor del vero ESET – pur guardandosi bene dal compiere qualsiasi tipo di attribuzione – ha scoperto un collegamento fra il NotPetya e altro malware che in passato ha attaccato le infrastrutture critiche ucraine, in quelli che sono sembrati atti di sabotaggio anziché estorsione.

Ma ammesso e non concesso che il NotPetya sia effettivamente l’azione di hacker governativi, non so quanto l’argomentazione del non ti pago perché il malware era un atto di guerra faccia bene al mercato assicurativo. Alla fine diverse infezioni a tappeto avvenute negli ultimi anni (pensiamo anche al ransomware WannaCry) sono state ricondotte a questo o a quel Governo. Se le assicurazioni per non pagare i danni dovessero trincerarsi dietro la giustificazione che questi sono atti di guerra, renderebbero le loro polizze contro il rischio cyber molto meno appetibili.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.