Sergio Corbello ha suonato l’allarme. Sul welfare integrativo – in particolare sui dati gestiti dai Fondi e dalle Casse che si occupano di previdenza complementare e di sanità integrativa – si affaccia la minaccia dei pirati informatici. Fino ad oggi il cyber risk viene associato alle imprese e ai ricatti che subiscono da chi dimostra di sapersi introdurre nei loro sistemi informatici. Lo stesso rischio – moltiplicato per cento e per mille, vista la complessità dei dati degli iscritti amministrati – si estende a chi gestisce forme di protezione sociale integrativa.
Il presidente di Assoprevidenza ha avuto il merito in questi giorni di mettere il tema al centro del dibattito. E delle preoccupazioni. Il quadro è ricco di motivi di allarme: in questo anno e mezzo di pandemia gli attacchi ai sistemi informatici aziendali sono cresciuti del 246% e sono state introdotto 5 milioni in più di malwere (in totale oltre 22,5 milioni).
In Italia avvengono il 12% degli attacchi informatici di tutto il mondo. E nell’ultimo mese, secondo i dati dell’Osservatorio del Politecnico di Milano sono cresciuti del 40%. “La complessità del sistema espone a rischi crescenti – ha spiegato Corbello – se le banche dati dei Fondi e delle Casse di previdenza fossero aggredite metterebbero a rischio non solo la gestione ordinaria, ma potrebbero introdurre problematiche per le singole posizioni degli iscritti, con danno individuali oltre che di sistema”.
Non è solo teoria. La Cassa dei dottori commercialisti ha denunciato già un paio di attacchi informatici, come ha ammesso Gaetano Mungari, direttore dell’Organizzazione della Cassa. Attacchi per ora rivolti al sistema di gestione e ai dipendenti. Ma i danni potenziali sono quelli rivolti agli iscritti e alle loro posizioni.
Se è vero che un’azienda su quattro – dati della Polizia postale – non denuncia le aggressioni degli hacker, è possibile immaginare che la trasparenza della Cassa dei dottori commercialisti possa celare ben altre situazioni di rischio già sperimentate dalle venti Casse e dagli oltre 300 fondi pensione censiti da Covip (la commissione di vigilanza sulla previdenza complementare).
“Una prima attenzione sul tema – continua Corbello – è stata introdotta dalla normativa europea Iorp2 sui Fondi pensione, ma è poco più di un alert. La normativa nazionale di settore non prevede alcunché. È tempo di pensarci”.
E ci ha pensato Paola Fersini, che nel webinar organizzato da Assoprevidenza ha provato a fare una simulazione sulle necessità di protezione dai cyber risk, sul fronte assicurativo. Fersini, docente alla Luiss e partner dello studio Olivieri&Associati, ha prodotto qualche numero. Per approssimazione e sulla base di stime attuariali. Ma è un inizio utile.
Sulla base delle frequenze degli attacchi informatici la copertura dal rischio cyber che si produrrebbero per le compagnie assicurative si potrebbero coprire con una spesa di 695 milioni di euro. Troppo onere? Sarebbero circa 4 milioni di euro a compagnia. Calata sul fronte della previdenza complementare la copertura assicurativa per il sistema di Fondi e Casse potrebbe essere di 82,7 milioni di euro. Anche in questo caso la somma sembra enorme, calata sulla media del singolo Fondo si tradurrebbe in una polizza di 200mila euro. Dieci euro per singolo iscritto. E si capisce che si tratta di un approccio ragionevole.
Anzi, sembrerebbe curioso che chi si propone e ci propone una protezione assicurativa – è quello che fanno i Fondi e le Casse – non pensi a coprirsi dai rischi. E il cyber risk è sempre meno trascurabile. E incombe anche sul welfare. La protezione sociale integrativa ha bisogno di protezione.
