GDPR e il rischio informatico nel settore assicurativo

Con la "Lettera al mercato del 29 dicembre 2017" l'Ivass descrive gli esiti dell'indagine conoscitiva sui presidi degli intermediari tradizionali per la gestione delle informazioni e la prevenzione dei rischi informatici. Indicazioni per gli intermediari.

Si tratta di normativa secondaria emanata da IVASS.

Alcuni stralci:

• "Il 15% degli intervistati ha ammesso di aver subito almeno un attacco cyber, percentuale che sale al 50% per i grandi broker."
• Ancora limitata - avendo risposto positivamente il 30% degli agenti, il 50% dei broker ed il 70% dei grandi broker - è l’attenzione alle tematiche riguardanti il Regolamento europeo n. 2016/679
• diffusa mancanza di una policy di gestione del rischio informatico formalizzata in un documento scritto e alla scarsa frequenza dei test anti intrusione

E inoltre:

"Sul piano della prevenzione l’Istituto raccomanda che gli intermediari si dotino di

specifiche policy sul cyber risk, che potranno essere individuate anche sulla base di linee guida
definite con le rispettive Associazioni di categoria.
E’ opportuno che tali policy:

•  siano redatte all’esito di un assessment approfondito dei processi e dei sistemi informatici in uso;
•  individuino le misure idonee ad accrescere la cyber security aziendale;
•  siano condivise con i propri collaboratori e dipendenti;
•  siano sottoposte a revisione con cadenza almeno biennale;
•  in ogni caso, in presenza di modifiche normative o per adeguarsi all’evolversi della tecnologia e ogni qual volta si verifichino “incidenti informatici” che comportino l’inaccessibilità, anche temporanea, ai dati e alle informazioni o la loro perdita anche parziale;
•  abbiano contenuti e livelli di dettaglio commisurati alla complessità dell’attività aziendale e
• al grado di esposizione al rischio.