Fare o non fare una assicurazione cyber? Tre PMI su quattro sono state in qualche modo colpite da un attacco informatico negli ultimi due anni. Eppure solo il 12% ha una polizza cyber. Il divario tra rischio reale e percezione non è mai stato così ampio e il conto lo stanno pagando migliaia di piccole e medie imprese italiane che scoprono troppo tardi quanto costa un ransomware o un data breach.
Il paragone con l’RC Auto non è casuale. Trent’anni fa assicurare l’auto sembrava un lusso, oggi è un obbligo. Con la cybersecurity stiamo percorrendo la stessa traiettoria, solo molto più veloce. La differenza? Un incidente stradale danneggia una vettura. Un attacco informatico può chiudere un’azienda in 72 ore.
Il vero problema non sono gli hacker, ma il tempo di fermo
Quando si parla di cyber-attacchi, l’immaginario collettivo vede film con teenager incappucciati che bucano la NASA. La realtà delle PMI italiane è molto più banale e devastante: email di phishing che sembrano fatture, richieste di bonifico da falsi fornitori, ransomware che criptano i file contabili tre giorni prima della chiusura trimestrale.
Il danno medio per una PMI italiana dopo un attacco non è tanto il riscatto richiesto (che oscilla tra i 5.000 e i 50.000 euro). È il fermo operativo. Un’azienda manifatturiera con sistemi bloccati perde in media 8.000 euro al giorno. Una società di servizi che non può accedere ai CRM e ai database clienti? Circa 12.000 euro giornalieri, calcolando mancate vendite e contratti non onorati.
Poi c’è il dopo. Recupero dati, bonifica sistemi, consulenze forensi per capire cosa è successo, notifiche al Garante Privacy se sono stati violati dati personali. Una piccola azienda commerciale di Bergamo ha speso 73.000 euro per rimettersi in piedi dopo un attacco ransomware. Non aveva assicurazione. L’attacco è durato quattro giorni, le conseguenze sei mesi.
SCENARIO ATTACCO RANSOMWARE – PMI 25 DIPENDENTI
| SENZA ASSICURAZIONE |
| Fermo operativo 4 giorni → €32.000 |
| Ripristino sistemi + forensics → €18.000 |
| Consulenza legale GDPR → €8.000 |
| Notifiche + comunicazione → €3.500 |
| Riscatto pagato (in panic mode) → €15.000 |
| TOTALE USCITE: €76.500 |
| CON POLIZZA (premio annuo €3.200) |
| Franchigia → €5.000 |
| Tutto il resto coperto dalla polizza |
| TOTALE USCITE: €8.200 (premio + franchigia) |
| RISPARMIO NETTO: €68.300 |
Perché proprio le PMI sono nel mirino
C’è un equivoco diffuso: “Siamo troppo piccoli, chi vuoi che ci attacchi?”. Gli hacker ragionano esattamente al contrario.
Le grandi corporation hanno team di sicurezza, SOC attivi 24/7, budget milionari per la cybersecurity. Le PMI hanno il gestionale in cloud, password scritte su Post-it, backup sporadici e zero formazione del personale.
Gli attacchi alle PMI sono industrializzati. Si chiamano spray and pray: invii migliaia di email di phishing, qualcuno abbocca sempre. Non serve colpire una banca, basta entrare in venti aziendine e chiedere 10.000 euro ciascuna. Meno rischi, più volume, stessa resa.
I dati Clusit (Associazione Italiana per la Sicurezza Informatica) fotografano un’escalation preoccupante: gli attacchi alle PMI italiane sono cresciuti del 38% nel 2023 rispetto all’anno precedente. Il settore manifatturiero è il più colpito, seguito da commercio e servizi professionali. La geografia? Nord Italia in testa, ma il Sud sta recuperando terreno di pari passo con la digitalizzazione.
Cosa copre davvero una assicurazione cyber (e cosa no)
Qui si entra nel tecnico, perché non tutte le polizze cyber sono uguali e le clausole fanno la differenza tra un rimborso da 50.000 euro e una franchigia che ti lascia a piedi.
Una polizza cyber completa copre quattro aree: danno diretto (costi di ripristino sistemi, recupero dati, notifiche obbligatorie), danno indiretto (perdita di fatturato durante il fermo), responsabilità civile verso terzi (se l’attacco ha compromesso dati di clienti o fornitori) e cyber-estorsione (pagamento riscatti, anche se molte compagnie lo scoraggiano ufficialmente).
Il problema è che molte PMI sottoscrivono polizze base pensando così di essere coperte, poi scoprono che il ripristino di un database corrotto non rientra o che la franchigia è così alta da rendere il rimborso simbolico.
Esempio concreto: polizza con massimale 100.000 euro ma franchigia 15.000. Se il danno è 30.000, ne recuperi solo 15.000. Se è 12.000, non recuperi nulla.
Altre clausole critiche: molte polizze escludono attacchi da dipendenti interni o ex dipendenti, non coprono perdite derivanti da errori di aggiornamento software, e hanno limiti stringenti sul tempo massimo di denuncia (spesso 48-72 ore dalla scoperta). Leggere le esclusioni è più importante che leggere le coperture.
Quanto costa una polizza cyber per una PMI italiana
Assicurazione cyber: parliamo di numeri reali. Una microimpresa sotto i 10 dipendenti, fatturato fino a 2 milioni, può assicurarsi con una polizza cyber base a partire da 800-1.200 euro annui. Massimale tipico: 50.000 euro. Copertura: ripristino sistemi, consulenza legale base, notifiche Garante.
Una piccola impresa tra 10 e 50 dipendenti, fatturato 2-10 milioni, sale a 2.500-4.500 euro annui per massimali da 250.000-500.000 euro. Qui entrano coperture più strutturate: business interruption (indennizzo per fermo operativo), PR crisis management (gestione della reputazione post-attacco), assistenza legale specialistica.
Per una media impresa sopra i 50 dipendenti il costo vira verso i 6.000-12.000 euro annui, con massimali da 1-2 milioni. A questo livello la polizza include spesso servizi preventivi: vulnerability assessment periodici, formazione del personale, supporto per implementazione di protocolli di sicurezza.
Il premio assicurativo dell’assicurazione cyber dipende da variabili specifiche: settore (manifatturiero costa più del commercio), livello di digitalizzazione (più sistemi cloud, più rischio percepito), presenza di certificazioni ISO 27001 o simili (abbassano il premio), storico di attacchi precedenti. Una PMI con sistema di backup certificato e formazione annuale del personale può ottenere sconti fino al 20-25%.
I servizi inclusi che nessuno conosce (e che valgono più del premio)
La parte meno visibile, ma spesso più preziosa, di una polizza cyber non è il rimborso economico. È il pacchetto di servizi ancillari che scattano nel momento dell’emergenza.
Quasi tutte le polizze strutturate includono una hotline 24/7 con team di incident response. Significa che alle tre di notte, quando scopri che i tuoi server sono criptati, chiami un numero e hai un tecnico che ti guida step by step. Molte PMI non hanno un reparto IT interno, figuriamoci uno specialista in cybersecurity. Quel supporto immediato può fare la differenza tra un fermo di 12 ore e uno di tre giorni.
Per l’assicurazione cyber c’è poi c’è la gestione legale. Un data breach che coinvolge dati personali di clienti innesca obblighi pesanti: notifica al Garante entro 72 ore, comunicazioni ai soggetti coinvolti, documentazione di tutte le azioni intraprese. Sbagliare la procedura significa sanzioni che possono arrivare a 20 milioni di euro o il 4% del fatturato (si legga il GDPR). Le polizze forniscono supporto legale specializzato che sa esattamente cosa fare e come documentarlo.
Infine la gestione della reputazione. Un attacco diventa pubblico? I tuoi clienti scappano dai competitor. Alcune polizze coprono campagne di comunicazione professionale per gestire la crisi, limitare il danno d’immagine, rassicurare clienti e fornitori. Per una PMI che vive di fiducia con la clientela locale, questo servizio può valere dieci volte il premio annuale.
Fai il test: quanto sei esposto?
| Conta quante di queste affermazioni ti riguardano: |
| ❏ Usiamo un gestionale in cloud o CRM online |
| ❏ Riceviamo pagamenti con carta/e-commerce |
| ❏ Conserviamo database clienti o dati sanitari |
| ❏ Abbiamo dipendenti in smart working |
| ❏ Non facciamo backup giornalieri (o non li testiamo) |
| ❏ Non abbiamo autenticazione a due fattori |
| ❏ L’ultima formazione su phishing risale a >2 anni fa |
| ❏ Usiamo password condivise o troppo semplici |
| PUNTEGGIO: │ 0-2 → Rischio basso (ma verifica comunque) │ 3-5 → Rischio medio-alto (polizza consigliata) │ 6-8 → Rischio critico (polizza urgente + audit IT) |
Quando conviene davvero (e quando è solo un costo)
Cerchiamo di essere onesti. Non tutte le PMI hanno lo stesso livello di esposizione. Un’impresa edile che lavora ancora con carta e telefono, senza CRM cloud e senza e-commerce, ha un rischio cyber relativamente basso. Pagare 3.000 euro annui per una assicurazione cyber sarebbe sproporzionato.
Al contrario, qualunque azienda che gestisce database clienti, transazioni online, sistemi gestionali cloud, pagamenti digitali o dati sanitari e comunque ‘sensibili‘ sta correndo un rischio enorme senza copertura. Il rapporto costi-benefici qui è sbilanciato: spendi 2.000-4.000 euro per proteggerti da danni potenziali da 50.000-200.000 euro. Matematicamente, ha senso.
Il punto di svolta è la domanda: “Se domani mattina non posso accedere a nessun file aziendale, quanto tempo reggo?”. Se la risposta è “meno di una settimana”, l’assicurazione cyber non è un optional. È una necessità operativa, come la polizza incendio sul capannone.
Attenzione anche al trend normativo. L’Unione Europea sta spingendo molto sulla direttiva NIS2, che entrata a regime a fine 2024 con obblighi di cybersecurity anche per molte PMI considerate “essenziali” (energia, trasporti, sanità, gestione rifiuti, produzione alimentare). Tra questi obblighi c’è una copertura assicurativa adeguata. Per alcuni settori, insomma, non sarà più una scelta.
Come scegliere la polizza giusta senza farsi fregare
Il mercato delle polizze cyber è ancora giovane e poco standardizzato. Significa due cose: margini di trattativa ampi e tanta confusione nelle clausole. Alcuni criteri pratici per non prendere fregature.
- Primo: verifica sempre chi è il partner tecnologico della compagnia assicurativa. Le migliori polizze si appoggiano a società specializzate in incident response, non a generici IT provider. Nomi da cercare: società con certificazioni CREST, team con esperienza in digital forensics, partner che lavorano con Polizia Postale.
- Secondo: chiedi il dettaglio delle franchigie e dei limiti per singolo evento. Una polizza con massimale 500.000 euro ma limite di 50.000 per singolo evento è una trappola. Tre attacchi in un anno? Recuperi massimo 150.000, non 500.000.
- Terzo: valuta il tempo di intervento garantito. Una hotline che risponde “entro 24 ore” è inutile in caso di ransomware. Serve supporto in meno di 4 ore, meglio se in tempo reale.
- Quarto: controlla se la polizza include servizi preventivi o solo reattivi. Alcune compagnie offrono vulnerability assessment annuali, formazione del personale, simulazioni di phishing. Questi servizi riducono drasticamente la probabilità di attacco, quindi rendono la polizza ancora più conveniente.
- Quinto: leggi con attenzione le esclusioni su “negligenza grave”. Molte polizze non coprono danni se l’azienda non aveva misure minime di sicurezza (antivirus aggiornato, firewall, policy sulle password). Questo può creare contenziosi lunghi e costosi dopo un attacco.
Lo scenario nei prossimi tre anni
Il mercato dell’assicurazione cyber sta esplodendo. In Italia il volume premi è passato da 35 milioni nel 2020 a oltre 110 milioni nel 2023, secondo i dati ANIA (Associazione Nazionale fra le Imprese Assicuratrici). La proiezione è arrivare a 300 milioni entro il 2026. Tradotto: le compagnie assicurative hanno capito che questo sarà un business enorme, e stanno entrando in massa.
Per le PMI questo significa due cose. Lato positivo: più concorrenza, premi più bassi, coperture più ampie. Tra un paio di anni una polizza che oggi costa 4.000 euro potrebbe costarne 2.500 a parità di massimale. Lato negativo: il mercato si sta segmentando velocemente. Le aziende con storico di attacchi o misure di sicurezza scarse pagheranno premi sempre più alti, fino a diventare “non assicurabili” come succede per le auto con troppi sinistri.
Parallelamente, le polizze diventeranno più prescrittive. Già oggi alcune compagnie impongono come condizione contrattuale l’implementazione di autenticazione a due fattori, backup giornalieri, formazione annuale del personale. Chi non si adegua paga di più o non viene coperto. Tra tre anni questo sarà lo standard.
La domanda non è più “serve un’assicurazione cyber?”. È invece “tra un due anni, chi non ce l’ha riuscirà ancora a lavorare con clienti e fornitori strutturati?”. Perché molte grandi aziende stanno iniziando a richiederla come prerequisito per fornitori e partner. Niente polizza cyber, niente contratto. Esattamente come succede oggi con la RC professionale per i consulenti.
