di Lieve LOWET
Nel cruscotto (dashboard)(1) del luglio scorso, l’Authority EIOPA (European Insurance and Occupational Pensions Authority) ha rivelato che la digitalizzazione e i rischi informatici sono diventati i rischi più importanti per il settore assicurativo europeo, con un livello di rischio uguale ai rischi di mercato e a quelli macroeconomici.
Il driver principale è il rischio di cybersecurity o sicurezza informatica, seguito dal cyber underwriting risk. Gli elementi che influiscono sono: la guerra tra Russia e Ucraina e la maggiore dipendenza sia dal lavoro da remoto e dal telelavoro sia da soluzioni e infrastrutture digitali. In questo contesto, il 24 novembre 2022 l’EIOPA ha pubblicato un documento consultivo (discussion paper) incentrato sul rischio cyber nelle Assicurazioni e relativo ai principi metodologici delle prove di stress test(2). Il termine ultimo per rispondere è il 28 febbraio 2023.
L’EIOPA esegue regolarmente gli stress test sulle Assicurazioni. Questi sono chiamati stress test bottom-up. Infatti, si tratta di esercizi eseguiti da un supervisore o da un’autorità di regolamentazione, in cui ai partecipanti è richiesto di eseguire i calcoli.
COME SI SVOLGE LO STRESS TEST
Il supervisore fornisce il quadro (framework) delle prove di stress, le metodologie, gli scenari di stress avverso, gli shock prescritti e gli orientamenti sull’applicazione degli shock. I partecipanti calcolano l’impatto degli shock prescritti sulla loro posizione finanziaria in base alle indicazioni fornite e utilizzando i propri modelli.
OBIETTIVI
Il documento consultivo si inserisce in un contesto più ampio, l’EIOPA infatti intende migliorare sensibilmente il quadro delle prove di stress (stress test framework). I documenti precedenti si erano concentrati sulla liquidità e sui rischi climatici. Fino ad oggi, secondo l’EIOPA, sembra esserci poca esperienza nella conduzione di stress test bottom-up ordinari in tema di “cyber risk” e con l’obiettivo preciso di permettere una valutazione prudenziale dell’impatto finanziario nei casi di scenari cyber di tipo avverso. L’attività nel settore del cyber risk sembra essere più avanzata per quanto riguarda la valutazione del cyber underwriting risk, con almeno tre autorità di vigilanza che hanno incluso scenari di cyber underwriting nelle loro prove di stress assicurative (la Prudential Regulation Authority britannica (PRA), la Banca Nazionale del Belgio (NBB) e l’Autorità monetaria di Singapore (MAS)).
L’EIOPA mira a gettare le basi per una valutazione della resilienza finanziaria delle Assicurazioni con scenari gravi ma plausibili di incidenti cyber. Il documento consultivo approfondisce due aspetti principali:
- resilienza cyber, intesa come la capacità di un’impresa di assicurazione di sostenere l’impatto finanziario di un evento cyber avverso;
- rischio di cyber underwriting, inteso come capacità di un’impresa di Assicurazione di sostenere – dal punto di vista patrimoniale e di solvibilità – l’impatto finanziario di uno scenario cyber avverso estremo ma plausibile che incida sul business assicurativo sottoscritto.
Nel documento di consultazione, l’EIOPA suggerisce che l’applicazione degli shock di cyber resilienza e il calcolo degli impatti dovrebbero basarsi il più possibile sul quadro standard dell’EIOPA per le prove di stress per quanto riguarda: la stima degli impatti (fixed balance sheet), la valutazione degli impatti (bilancio Solvency II) e il framework Solvency II.
Pro memoria: nella proposta di revisione Solvency II della Commissione Europea viene proposto un emendamento per includere nel sistema di gestione dei rischi operativi dell’assicuratore la sicurezza informatica (cybersecurity, articolo 44). I requisiti di solvibilità per il rischio operativo si trovano nell’articolo 204 della legge L2 e sono un fattore fisso del premio percepito o delle riserve tecniche, a seconda di quale sia il più elevato.
Nelle sue linee guida sulla sicurezza e la governance delle tecnologie (ICT), l’EIOPA fornisce una definizione di ICT e rischio per la sicurezza (security risk) come sottospecie componente il rischio operativo. Questo include i rischi informatici(cyber risk) e i rischi per la sicurezza delle informazioni (information security risk) derivanti da processi interni inadeguati o non completati o da eventi esterni, inclusi attacchi informatici o sicurezza fisica inadeguata.
Pertanto, quando la Commissione fa riferimento al cyber risk (operativo), l’EIOPA si riferisce ai cyber risk e ai rischi per la sicurezza delle informazioni (information security risk).
Per approfondimenti, consultare i seguenti link e/o riferimenti: