Revista >> Iulie - August 2022 [Nr. 246] >> IT&C

Piața românească a asigurărilor de risc cibernetic, între estimările globale și realitățile locale

Radu Ghitulescu

25 Iulie 2022

Asigurările de risc cibernetic încep să aibă adepți tot mai mulți și în România. Cererea crește rapid pentru că piața este încă la început, fiind dominată de brokerii internaționali, care vând produsele unor asiguratori străini. Jucătorii locali stau în expectativă pentru că nu au toate datele necesare pentru a putea întra pe nișa asigurărilor de cyber insurance.

Știți de ce se tem companiile românești cel mai mult?
De pandemie, de incidentele cibernetice și de riscurile care pot duce la întreruperea activităților.
Ierarhia „temerilor“ organizaționale a fost realizată de Allianz Global Corporate & Speciality, iar clasamentul local diferă de cel la nivel global, unde podiumul se prezintă astfel:
• Locul I: Riscul cibernetic – conform 44% din cei 2.650 de experţi din 89 de ţări intervievați
• Locul II: Riscul de întrerupere a activităţii – 42%
• Locul III: Riscul generat de catastrofele naturale – 25%.
Conform ediției de anul acesta a Allianz Risk Barometer, pandemia a ieșit din clasamentul internațional nu pentru că ar fi fost eliminată complet, ci pentru că, în prezent, companiile consideră că sunt mai bine pregătite să facă față provocărilor de acest tip.

Crește nivelul de conștientizare ariscurilor informatice
Indiferent însă de diferențele evidențiate de Allianz Risk Barometer, faptul că riscul cibernetic a intrat în Top 3 și la nivel local este o informație relevantă. Pentru că reprezintă o confirmare a faptului că și companiile românești încep să conștientizeze amploarea pericolelor digitale.
E o veste bună țînând cont că – potrivit unui studiu Eurostat din 2019 – doar 5% dintre companiile locale cu mai mult de 10 angajați încheiaseră o polița de asigurare de risc cibernetic. Asta în condițiile media UE era atunci de 21%. E adevărat însă că, în clasamentul de acum trei ani România nu ne mai afla pe ultimul loc – ca în cazul DESI –, devansând Lituania, Slovenia, Ungaria și Bulgaria.
Din 2019, Eurostat nu a mai repetat studiul, însă avem date ceva mai recente în acest sens de anul trecut. Conform unui studiu IndustryArc, piața de asigurări de risc cibernetic din România înregistrează un ritm de creștere anuală de 32,1% până în 2026, când va depăși valoarea totală de 584 milioane USD. De data acesta, CAGR-ul local îl depășește pe cel la nivel global, care, potrivit sursei citate, este de 25,6%.
Sunt informații care justifică concluzia că organizațiile locale încep să conștientizeze riscurile cibernetice. Înainte însă de a da un astfel de verdict, este util să vedem și informațiile din piață și ce spun specialiștii locali în domeniu.

Ce acoperă și ce nu asigurarea în viziunea ASF
Pentru a avea lucrurile, să pornim de la definiția Riscului cibernetic, așa cum este dată ea în „Raportul privind analiza tematică referitoare la asigurarea de risc cibernetic“, disponibil pe site-ul Autorității de Supraveghere Financiară (ASF).
Astfel, conform sursei citate, riscul cibernetic este „orice risc care decurge din utilizarea tehnologiei informațiilor și a comunicațiilor care compromite confidențialitatea, disponibilitatea sau integritatea datelor sau a serviciilor, ducând la întreruperea activităților/afacerilor, întrerupând infrastructurile critice (servicii publice, energie, transport, financiar etc) și afectând oameni și proprietăți“.

Acum, că avem definiția, care include o serie de precizări interesante, haideți să vedem și care sunt riscurile care – potrivit documentului ASF – „ar putea fi acoperite în condițiile lansării unor produse de asigurare“:
- Răspundere pentru scurgerea de informații, inclusiv pierderea datelor personale colectate
- Răspundere pentru securitatea rețelelor, pentru sisteme compromise, inclusiv cel cauzate de atacuri DOS
- Întreruperea afacerii cauzată de un incident informatic
- Costuri de restaurare a datelor și a aplicațiilor rezultate în urmă unui incident de natură să afecteze funcționarea afacerii
- Comunicare de criză pentru reducerea riscului reputațional
- Acoperirea riscului de sustragere informatică a activelor financiare
- Pierderile generate de furtul de proprietate intelectuală
- Costuri cu experții, înlocuire soft, emiterea de noi carduri, șantaj cibernetic, altele.

La excluderile din polița de asigurare sunt incluse: pierderile auto-provocate, răspunderea contractuală, daune preexistente încheierii poliței, utilizare ilegală de software/software fără licență etc.

Cum se prezintă situația la nivel local
Nu am putut stabili cu exactitate data la care a fost publicat raportul ASF, însă la momentul actual există mai multe companii de asigurări care oferă deja astfel de polițe în România. E adevărat însă că este vorba în marea lor majoritate de brokeri internaționali.

Iată o perspectiva avizată în acest sens, emisă de Călin Rangu, decan la Facultatea de Știinte Economice și Administrarea Afacerilor – Universitatea Danubius, cofondator CIO Council, director ASF și vicepreședinte InsurTech Task Force EIOPA: „Piața de produse de Cybersecurity insurance s-a diversificat în România datorită brokerilor internaționali, care au adus produse din străinătate, respectiv distribuie produsele altor asiguratori din afara României. Asiguratori locali au fost reticenți pentru că se confruntă cu foarte multe limitări, din cauza informațiilor puține despre piața din România. Pentru ca un asigurător să poată vinde o asigurare de acest tip trebuie să știe care sunt statisticile privind incidentele de risc cibernetic care se întâmplă pe teritoriul țării noastre. Din păcate, în prezent (septembrie 2021– n.a.) nu avem astfel de informații. CERT.ro (actualul Directorat Național de Securitate Cibernetică – n.a.) face eforturi, are o activitate deosebită și poate fi o sursă de informații, dar nu se cunosc volumele, nu se știu pierderile, nu se poate estima impactul care ar putea să fie asupra asiguratorului. Și atunci fie persistă o anumită reticență în a oferta, fie, dacă o face, este posibil să vină cu niște prețuri prohibitive. La nivel global, marii asigurători internaționali au deja un istoric și o experiență în acest sens. Mai mult însă, au o expunere pe care și-o pot asuma, pentru că dacă lansează un produs de asigurare de risc cibernetic în România și expunerile sunt mai mari decât cele planificate au de unde să le acopere. În România piața fiind destul de mică și acoperirea este mai mică, dar mai mule ca sigur că, pe măsură ce cererea se va dezvolta, și produsele de acest fel se vor înmulți și diversifica.“

Este explicabil deci de ce pe lista celor mai active companii cu oferte pee zona de cybersecurity insurance din România se află nume precum: Allianz Group, Aon Plc, Arthur J. Gallagher & Co., AXA XL, Axis Capital Holdings Limited, Beazley Plc, Chubb Limited, GrECo Internațional AG, Lockton Companies Inc., Munich Re Group, Team Insurance Broker, The Travelers Companies Inc., Zurich Insurance Group AG etc.

Care este evoluția cererii în România
Conform informațiilor făcute publice de companiile de asigurare, cererea de polițe de cybersecyrity insurance în România este reală și crește chiar mai repede decât estimările prezentate anterior.
Astfel, potrivit afirmațiilor unui jucător local, în primul an de la introducerea produselor de acest tip în portofoliul său – 2019-2020 – cererea a fost de patru ori mai mare decât estimările inițiale. Valoarea celei mai mari polițe încheiate fusese de 40.000 de euro, iar o asigurare cu o taxă de 550 de euro/an oferea o acoperire de 500.000 de euro.