
Investire sulla sicurezza informatica è ormai diventata una necessità per tutti. Il mancato adeguamento a questa realtà può infatti comportare pericolose conseguenze.
Esemplificativo è il caso del ransomware NotPetya che nel 2017 ha danneggiato migliaia di aziende in tutto il mondo, inclusa la casa farmaceutica Merck, che ha subìto un danno pari ad 1,4 miliardi di dollari.
L’azienda ha dovuto affrontare a causa di questo virus un’ingente perdita, determinata dalla distruzione di dati su più di 40.000 computer, che ha comportato non solo un blocco di produzione, ma anche la necessaria assunzione di esperti informatici e l’acquisto di nuove attrezzature.
La gestione di tale disastro è stata possibile grazie alla presenza di una polizza stipulata dall’azienda farmaceutica con l’ente assicuratore ACE American per il caso di perdita di dati relativi a danni al software, che prevedeva un massimale di copertura pari a ben 1,75 miliardi di dollari.
Tutto ciò non senza rimostranze da parte dell’ente assicuratore, che si è sin da subito rifiutato di corrispondere a Merck quanto dovuto a seguito dei danni derivanti dall’azione del ransomware. Sostenendo infatti che quest’ultimo facesse parte di tutta quella serie di offensive che la Russia ha operato e sta operando nei confronti dell’Ucraina, ha invocato l’applicazione della clausola generale “Atti di guerra”, che esime l’ente assicuratore dal versare il corrispettivo determinato da un danno proveniente da un atto di guerra.
La casa farmaceutica ha così citato in giudizio nel novembre del 2019 ACE American, sostenendo che il cyberattacco non fosse un’azione di Stato ufficiale e, di conseguenza, non fosse assoggettabile a quanto previsto dalla clausola “Atti di guerra” così come formulata dalla compagnia assicurativa.
È da sottolineare, però, come da questa vicenda sia nato un rilevante precedente giuridico, che ha messo in luce l’importanza di tenere in considerazione, in ogni settore, la presenza costante di minacce tecnologiche.
Infatti, il giudice della Corte Suprema del New Jersey, Thomas J. Walsh, in accordo con quanto richiesto dalla casa farmaceutica, ha dichiarato che, nonostante i cyber attacchi possano essere in taluni casi effettivamente considerati atti di guerra, in questo caso specifico non potesse essere comunque invocata l’applicabilità della clausola di esclusione. Questo perché la compagnia assicurativa, nella formulazione della clausola “Atti di guerra” ha previsto tutte quelle ipotesi che possono essere ricollegabili a forme di attacco tradizionali, quindi sicuramente non ricomprendenti l’azione di ransomware et similia.
Tutto ciò ha comportato un grosso impatto nei confronti delle aziende assicuratrici di tutto il mondo, che si sono affrettate ad aggiornare le proprie clausole contrattuali, aumentando anche gli stessi premi al fine di fronteggiare i nuovi attacchi tecnologici sempre più frequenti e dannosi.