Cyber assicurazione per le PMI in Svizzera

I media riportano periodicamente notizie relative ad attacchi informatici. Quello che leggiamo o ascoltiamo è solo la punta dell’iceberg. Le piccole e medie imprese sono particolarmente a rischio perché considerate facili vittime. Per questo motivo è opportuno che si preparino a eventuali attacchi informatici, proteggendosi anche dai rischi finanziari.

Perché ogni PMI ha bisogno di una cyber assicurazione?

I costi consequenziali legati a un attacco possono mettere a rischio l’esistenza dell’impresa. Una cyber assicurazione copre i costi per il ripristino dei dati, le interruzioni di esercizio e le rivendicazioni di responsabilità da parte di clienti o partner.
50'000
Nel 2023 sono stati segnalati all’Ufficio federale della cibersicurezza (UFCS) quasi 1’000 incidenti alla settimana.
5 miliardi di franchi
Ogni anno, in Svizzera, i criminali informatici causano danni per oltre 5 miliardi di franchi.
40 %
Due imprese vittime di attacchi su cinque sono PMI, spesso meno protette e preparate.

Quando è utile per una PMI stipulare una cyber assicurazione?

I rischi informatici sono una minaccia per tutte le imprese. Non solo per quelle che lavorano con dati confidenziali, che automatizzano processi critici per l’azienda o che fanno affidamento su piattaforme online, ma anche per quelle che svolgono «solamente» lavori d’ufficio al computer o comunicano per via elettronica. Le PMI, che spesso dispongono di minori risorse rispetto alle grandi aziende e sono quindi meno protette, sono particolarmente a rischio.

I metodi di attacco più comuni

Ransomware: i criminali informatici si infiltrano nella rete, scaricano tutti i dati e li criptano o bloccano il sistema IT. Chiedono quindi un riscatto per la restituzione dei dati o lo sblocco del sistema IT. Se la vittima rifiuta, pubblicano i dati oppure li vendono.

Attacchi DDoS: i criminali informatici infettano un computer con malware e inviano un numero tale di richieste alla rete, al server o al sito web, da far collassare il sistema. Il traffico di dati dannosi spesso si interrompe solo dopo che la vittima ha pagato un riscatto.

Frode del CEO: i criminali informatici inviano ad esempio e-mail o messaggi vocali falsi a nome del CEO e utilizzano una storia credibile per chiedere al reparto finanziario di trasferire del denaro. Ovviamente deve essere fatto con urgenza e il CEO non è raggiungibile per ulteriori chiarimenti.

I principali punti deboli

Phishing: i criminali informatici cercano ad esempio di manipolare le loro vittime con un’e-mail estremamente realistica e di indurle a rivelare password e dati sensibili o a cliccare su un determinato link.

Accesso a distanza: i criminali informatici attaccano i computer non dotati di una soluzione di autenticazione a più fattori. Per farlo utilizzano di solito l’interfaccia RDP, provano diversi nomi utente e password e penetrano nella rete aziendale.

Infezioni drive-by: i criminali informatici sfruttano vulnerabilità (come i browser non aggiornati) per introdurre malware nella rete aziendale non appena un collaboratore o una collaboratrice visita un sito web hackerato o dannoso.

Programmi obsoleti: i criminali informatici sfruttano le lacune di sicurezza, come sistemi operativi o programmi non aggiornati, per scaricare dati o controllare la rete.
Partner e fornitori di servizi: i criminali informatici attaccano le aziende indirettamente, ad esempio nel corso dello scambio di dati con terzi.

Il nostro sistema assicurativo in tre fasi

Fase 1: prevenire

Vi aiutiamo a comprendere i rischi e a proteggervi più efficacemente dagli attacchi informatici.

Fase 2: assicurare

Vi offriamo una protezione modulare e su misura contro i rischi finanziari di un attacco informatico.

Fase 3: intervenire

In caso di emergenza, ogni secondo è importante. Per questo motivo siamo a vostra disposizione 365 giorni all’anno, 24 ore su 24.

Panoramica delle prestazioni

Dalla versione light alla copertura premium a tutto tondo senza preoccupazioni:
quattro pacchetti assicurativi sono disponibili per voi da scegliere.

Know-how in materia di sicurezza informatica e protezione dei dati per le PMI

La conoscenza condivisa vale il doppio. Abbiamo quindi stilato un elenco di tutto ciò che le PMI dovrebbero sapere in tema di sicurezza informatica e protezione dei dati e delle strategie con cui proteggersi efficacemente dai criminali informatici.

Corso di sensibilizzazione

Quando si tratta di sicurezza informatica, l’uomo è l’anello più debole della catena. In tutte le aziende, le e-mail di hacking non riconosciute sono la porta di accesso più frequente per gli attacchi informatici mirati. Qui interviene Zurich con il suo training gratuito sulla sicurezza informatica per clienti Zurich e loro collaboratori e collaboratrici. Il training online è stato sviluppato dalla nostra azienda partner SoSafe, specializzata in e-learning e sicurezza informatica. I cinque moduli di e-learning e la simulazione di phishing intendono sensibilizzare i collaboratori nei confronti dei rischi presenti su Internet, impedendo loro di diventare complici involontari.

Security check

Tempo richiesto a voi: un’ora

L’analisi si svolge presso la vostra sede. Con appositi tool si verificano i punti deboli dei vostri sistemi e delle vostre applicazioni. Vi viene quindi fornito un rapporto che illustra l’urgenza dei punti deboli, incluse le misure di riparazione/riduzione. Impegno: un’ora per voi.

Security assessment

Tempo richiesto a voi: due ore

L’analisi completa dei processi di sicurezza e i controlli di affidabilità, integrità e disponibilità di sistemi/applicazioni si svolgono presso la vostra sede. A tal fine si svolgerà un colloquio strutturato con voi. Riceverete quindi un rapporto dettagliato con i seguenti contenuti:

  • stato dei controlli di sicurezza
  • punti deboli identificati
  • raccomandazioni per la riduzione dei rischi

Scoprite di più

Copertura assicurativa

Anche un solido sistema di sicurezza informatica, purtroppo, non garantisce una protezione assoluta dagli attacchi informatici. Nel caso in cui si dovesse verificare un sinistro in questo ambito, Zurich offre la copertura assicurativa ottimale e vi fornisce un supporto per superare le conseguenze.

Selezionate il pacchetto adatto alla vostra impresa

Ripristino dei dati e del sistema informatico

  • Chiarimenti tecnici e indagini forensi informatiche: cosa è successo esattamente?
  • Ripristino o recupero di dati e informazioni
  • Recupero dell’hardware danneggiato (bricking)
  • Identificazione dei punti deboli dei software e misure per il miglioramento della sicurezza (betterment) 
  • Pagamento di ricatti informatici e spese per contrastarli
  • Assunzione dei costi in caso di hacking telefonico

Basic // Optimum // Premium

Gestione delle crisi informatiche

  • Verifica degli obblighi di notifica e di dichiarazione
  • Notifica alle persone interessate su base volontaria
  • Procedure amministrative nonché sanzioni e multe (assicurabili)
  • Penalità contrattuali in caso di violazione degli standard PCI DSS
  • Call center, monitoraggio delle carte di credito e dell’identità per le persone interessate
  • Azioni di goodwill come promozioni e sconti per le persone interessate
  • Progettazione ed esecuzione di campagne di relazioni pubbliche in caso di resoconti mediatici negativi

Basic // Optimum // Premium

Responsabilità civile per attacchi informatici

Risarcimento danni e difesa da pretese ingiustificate relative a:

  • perdita, furto o pubblicazione di dati, a prescindere dal verificarsi di un incidente informatico
  • violazione delle leggi sulla protezione dei dati (incluso GDPR)
  • violazione dei diritti al nome, d’autore e di marchio
  • spese processuali e di difesa

Basic // Optimum // Premium

Protezione giuridica in ambito informatico

  • Consulenza circa le misure giuridiche immediate
  • Rivendicazione di pretese di risarcimento
  • Difesa in un processo penale in caso di violazione per negligenza di norme sulla protezione dei dati

Basic // Optimum // Premium

Gestione dei sinistri

In caso di sinistro bisogna agire rapidamente. La nostra hotline è raggiungibile quindi 7 giorni su 7 e 24 ore su 24. Durante gli orari di ufficio, i nostri collaboratori specializzati in danni informatici si occupano del vostro caso. Al di fuori degli orari di ufficio, la vostra chiamata viene inoltrata direttamente al nostro partner IT Compass Security.

A seconda della necessità, affidiamo il vostro caso alla gestione da parte di esperti. A questo fine collaboriamo anche con la società di sicurezza IT Compass Security. Grazie alla sua esperienza e perizia, il nostro partner è ottimamente attrezzato per trovare una soluzione rapida e sostenibile al vostro problema informatico. Inoltre, sulla base dell’analisi delle cause vi vengono consigliate delle misure per una protezione informatica costante. In questo modo potrete assicurare alla vostra impresa una protezione globale per il futuro.

Non ci limitiamo a fornirvi un aiuto nei problemi IT, ma disponiamo anche dei partner adatti per questioni giuridiche, che si tratti della verifica dell’obbligo d’informazione, della difesa da pretese di risarcimento danni o della presentazione di denunce. Anche la reputazione della vostra impresa può rapidamente essere messa in discussione. Per questo motivo, in caso di particolare emergenza possiamo procurarvi specialisti che si occupino della comunicazione nei confronti di partner esterni e che vi aiutino così a proteggere la vostra reputazione.

Scoprite di più all’opuscolo «Cyber assicurazione»

Ulteriori prestazioni nell’ambito della prevenzione

  • Vi aiutiamo a orientarvi nella complessità del cyberspazio e a soddisfare i nuovi requisiti di legge
  • I nostri pacchetti per la resilienza si basano su ricerche scientifiche, per consentirvi di concentrarvi sulle misure di sicurezza più efficaci e creare una copertura assicurativa.
  • Aumentate la vostra maturità e resistenza alle minacce in ambito informatico. Con Zurich Cyber Resilience Solutions vi offriamo un approccio alla sicurezza informatica pragmatico ed efficiente sotto il profilo dei costi.

«Starter» per le PMI con un fatturato annuo fino a 10 milioni di franchi

  • Cyber Snapshot: analisi volta a valutare la situazione della sicurezza informatica nell’impresa sulla base di un grado di maturità (lista di controllo)
  • Scansioni delle vulnerabilità esterne e interne: procedura automatica finalizzata a identificare e riconoscere le lacune di sicurezza presenti nei sistemi e nelle reti informatiche
  • Corso di formazione sulla consapevolezza informatica: mettete i vostri collaboratori e le vostre collaboratrici nelle condizioni di riconoscere le potenziali minacce informatiche e di ridurre le probabilità di successo degli attacchi informatici

Prezzo del pacchetto: 4’000 franchi

«Essenziale» per le PMI con un fatturato annuo compreso tra 10 e 100 milioni di franchi

  • Cyber health check o valutazione della maturità informatica: analisi basata sui questionari standard di Zurich e del National Institute of Standards and Technology (NIST), comprensiva di un rapporto dettagliato e di apposite raccomandazioni.
  • Esposizione finanziaria: rischio finanziario basato su scenari di rischio informatico predefiniti che aiutano a definire gli investimenti in ambito informatico e a stabilirne la priorità.
  • Corso di formazione sulla consapevolezza informatica: mettete i vostri collaboratori e le vostre collaboratrici nelle condizioni di riconoscere le potenziali minacce informatiche e di ridurre le probabilità di successo degli attacchi informatici
  • Simulazione di phishing: simulazione per testare la capacità dei collaboratori e delle collaboratrici di riconoscere le e-mail di phishing e di reagire in modo appropriato

Prezzo del pacchetto: 9’900 franchi

Che cos’è una cyber assicurazione?

Una cyber assicurazione protegge le imprese dalle conseguenze finanziarie di attacchi informatici o violazioni dei dati (Data Discontinuity). Copre un’ampia gamma di rischi, tra cui la perdita di dati, l’interruzione di esercizio, il ricatto mediante ransomware, danni alla reputazione e spese per la segnalazione di violazioni delle norme sulla protezione dei dati e la rappresentanza legale.

Cosa copre una cyber assicurazione?

In genere, una cyber assicurazione copre le spese per il ripristino dei dati, le rivendicazioni di responsabilità da parte di terzi per violazioni delle norme sulla protezione dei dati, le perdite di reddito e le spese supplementari dovute a interruzioni di esercizio, il pagamento di riscatti in caso di attacchi ransomware, nonché le pubbliche relazioni e la gestione delle crisi.

Quanto costa una cyber assicurazione?

Il costo di una cyber assicurazione dipende dalle dimensioni dell’azienda, dal ramo, dal tipo e dal volume dei dati, dalla franchigia e dall’estensione della copertura. Il costo del premio può variare da poche centinaia a diverse migliaia di franchi all’anno. La variante Basic della nostra cyber assicurazione, ad esempio, costa 410 franchi all’anno.

Quando è necessaria una cyber assicurazione per una PMI?

Qualsiasi impresa che elabori, archivi o invii dati sensibili come quelli dei clienti, informazioni sui pagamenti, proprietà intellettuale o altre informazioni riservate è a rischio. Lo stesso vale per tutte le imprese con processi critici per l’attività che dipendono dai loro sistemi IT. Gli attacchi informatici e le violazioni delle norme sulla protezione dei dati sono in aumento. Una cyber assicurazione può contribuire a coprire le perdite finanziarie e i costi per il ripristino dei dati, la responsabilità legale o i danni di reputazione e a garantire la continuità dell’esercizio dell’attività. Ciò vale in particolar modo per le PMI che non dispongono di un proprio reparto di sicurezza IT oppure che dispongono di risorse troppo esigue ma hanno la necessità di avere accesso a specialisti 24 ore su 24.

La cyber assicurazione è effettivamente necessaria?

Il numero di attacchi informatici aumenta di anno in anno. Una violazione delle norme sulla protezione dei dati può comportare costi elevati, notevoli oneri e danni di reputazione che rischiano di mettere a repentaglio l’esistenza dell’impresa. Ecco perché la cyber assicurazione rappresenta un investimento intelligente nella gestione dei rischi per qualsiasi impresa, indipendentemente dalle sue dimensioni.

Cosa non copre la cyber assicurazione?

  • Dolo: se un membro della direzione danneggia intenzionalmente il sistema IT, ciò può essere considerato dolo, che in determinate circostanze non è coperto dall’assicurazione. Ad esempio nel caso in cui il collaboratore o la collaboratrice cancelli o rubi deliberatamente dati sensibili. Se il collaboratore o la collaboratrice non è un membro della direzione, il sinistro sarebbe coperto.
  • Violazione degli obblighi: la violazione degli obblighi del contratto di assicurazione può comportare il rifiuto delle prestazioni. Ad esempio se un’impresa non adotta le misure di sicurezza necessarie a proteggere la rete informatica.
  • Violazioni note delle norme sulla protezione dei dati: possono essere escluse le pretese derivanti da eventi causati prima dell’inizio dell’assicurazione. Ad esempio se la cyber assicurazione viene stipulata solo dopo un attacco.
  • Lesioni corporali e danni materiali: le cyber assicurazioni coprono i danni di natura finanziaria e non le lesioni corporali o i danni materiali. Non sussiste ad esempio alcuna copertura assicurativa se un attacco hacker provoca un’interruzione di corrente, danneggiando le macchine di produzione.
  • Valore economico: il valore economico delle licenze di software e dati o di un segreto commerciale non è coperto, ad esempio se i dati vengono rubati e pubblicati e l’impresa perde il suo vantaggio commerciale.
  • Guerra e terrorismo: i danni causati da atti bellici o terroristici di norma non sono assicurati. Ad esempio un attacco hacker durante una guerra oppure un attacco al sistema IT. È escluso il terrorismo informatico.

Le esclusioni e le condizioni esatte della cyber assicurazione sono consultabili nelle Condizioni generali di assicurazione (CGA) disponibili nella sezione «Download»

Quali sono i principali rischi informatici per le PMI?

  • Le e-mail di phishing e gli attacchi con malware sono una delle principali minacce per le PMI. Tramite e-mail contraffatte o allegati infetti gli hacker possono accedere alle reti e ai dati aziendali.
  • Gli attacchi ransomware sono sempre più frequenti. Gli hacker criptano i dati e chiedono un riscatto per lo sblocco. Ciò può comportare notevoli perdite finanziarie e interruzioni di esercizio.
  • I collaboratori e le collaboratrici possono rappresentare un rischio significativo per la sicurezza IT e la protezione dei dati di un’azienda. Accidentalmente o intenzionalmente possono infatti rubare dati sensibili, sabotare i sistemi o trasmettere informazioni a persone esterne.
  • La perdita di dati sensibili può avere gravi conseguenze, sia a causa di hacker, sia per errori tecnici o umani. Possono derivarne danni legali, finanziari e di reputazione.
    Social engineering: i criminali informatici possono accedere a sistemi e dati manipolando i collaboratori e le collaboratrici. Ad esempio con tecniche quali lo spear phishing, la frode del CEO o il furto d’identità.
  • A livello di software e sistemi si scoprono costantemente nuovi punti deboli e lacune di sicurezza. Se le aziende non rilasciano regolarmente aggiornamenti e patch per l’IT e i programmi, questi punti deboli e queste lacune di sicurezza possono essere sfruttati dagli aggressori.
  • L’utilizzo dei servizi cloud comporta nuovi rischi per la sicurezza. Configurazioni non sicure, un controllo non sufficiente degli accessi o fughe di dati possono portare alla perdita di dati.

Come può proteggersi una PMI dagli attacchi informatici e dalle loro conseguenze?

  • Sistemi aggiornati e con patch: assicuratevi che tutti i sistemi operativi, le applicazioni e i programmi siano sempre aggiornati e che vengano installate regolarmente patch per colmare eventuali lacune di sicurezza.
  • Password forti e controllo degli accessi: utilizzate password forti e univoche, se possibile con autenticazione a due fattori. Limitate l’accesso ai dati e ai sistemi sensibili alle persone autorizzate.
  • Formazione: sensibilizzate tutti i collaboratori e tutte le collaboratrici in merito alle e-mail di phishing, all’ingegneria sociale e ad altre tecniche di attacco. Organizzate corsi di formazione e campagne di sensibilizzazione periodici per accrescere la consapevolezza sul tema della sicurezza. Zurich offre corsi di formazione di questo tipo.
  • Firewall e software antivirus: installate un firewall e un software antivirus su tutti i dispositivi e le reti per bloccare il traffico di dati indesiderato e il malware.
  • Backup dei dati con piano di ripristino: eseguite periodici backup dei vostri dati e create un piano di ripristino ben documentato e testato.
  • Sicurezza della rete: monitorate la vostra rete con un Intrusion Detection o Prevention System (IDS/IPS) e altre soluzioni per la sicurezza in grado di individuare e respingere gli attacchi.
  • Fornitori di servizi esterni: assicuratevi che i vostri partner abbiano implementato misure di sicurezza adeguate e rispettino gli standard di sicurezza concordati contrattualmente.
  • Piano di emergenza IT: create un Incident Response Plan che includa chiare responsabilità e i passaggi necessari per contenere un eventuale attacco, ripristinare i dati e comunicare con le persone colpite.
  • Business Continuity Plan: create un piano che garantisca il mantenimento dei processi critici per l’attività dell’impresa anche in caso di emergenza o crisi.
  • Cyber assicurazione: stipulate una cyber assicurazione per coprire i danni finanziari e i costi degli attacchi informatici e delle violazioni delle norme sulla protezione dei dati.
  • Il sistema di sicurezza di Zurich vi aiuta a comprendere i rischi cui siete esposti e a proteggervi dagli attacchi informatici. Insieme al nostro partner vi forniamo un supporto per ridurre al minimo i rischi informatici per la vostra azienda. 

Bene informati, meglio protetti

Proteggersi dagli attacchi hacker come PMI

Un attacco hacker è una minaccia per l’esistenza delle aziende

Ogni settimana, l’Ufficio federale della cibersicurezza (UFCS) riceve centinaia di segnalazioni di incidenti informatici, e nei periodi di maggiore intensità ne registra oltre 2’000 a settimana. Le PMI sono tra le più a rischio. Quali pericoli corrono le piccole e medie imprese?
Uomo che cerca qualcosa in una tavoletta

Piano B: Business Continuity Plan per le PMI

Quando l’IT si blocca, la maggior parte delle imprese si ferma. Ecco perché le PMI, sempre più spesso vittime di attacchi informatici, hanno bisogno di un piano di continuità come Piano B.
Due dipendenti nella sala server

Piano di emergenza IT come si proteggono le PMI

Oggi nessuna azienda può permettersi un guasto prolungato del sistema IT. Nel migliore dei casi, il guasto costa «solo» denaro, nel peggiore l’esistenza dell’azienda. Ogni azienda ha quindi bisogno di un piano di emergenza IT.
Donna seduta al computer in un magazzino

Autenticazione: proteggete la vostra rete e i vostri dati

Con una autenticazione forte, come la 2FA o la MFA, le PMI proteggono la rete aziendale e i propri dati con una password e almeno un altro fattore.
Uomini che discutono allegramente

La storia del nostro cliente di cyber-assicurazione Planted

La start-up Planted fa furore con alimenti innovativi di origine vegetale.
Giovane uomo

Kaisin: nuova azienda con una ricetta di successo

Con deliziosi poké bowl verso il successo – il cofondatore Delano Fischer parla dell’innovativa start-up zurighese.