ari lettori ben ritrovati,quello di ottobre è un’editoriale sempre un po’ particolare: precede infatti il nostro annuale

Convegno Nazionale, che si terrà a Milano il prossimo 9 novembre, presso l’ormai consolidata sede di Palazzo Mezzanotte. “Back to insurance. Quali soluzioni in un mondo meno sicuro” questo il titolo dell’edizione 2011. Un titolo che è allo stesso tempo una presa di coscienza, una richiesta nei confronti del mondo assicurativo ed una revisione critica del ruolo del risk manager. Nell’ultimo decennio abbiamo assistito alla comparsa di nuove categorie di rischi, così come al manifestarsi ripetuto di eventi catastrofici, naturali e non, fino a pochi anni fa ritenuti eccezionali. Uno scenario completamente modificato a cui tutti coloro che si occupano di tutela e gestione del rischio devono essere in grado di rispondere in maniera adeguata. Una risposta che, riteniamo, possa arrivare solamente recuperando l’approccio originario proprio delle assicurazioni, che tenga però conto del nuovo contesto in cui ci troviamo ad operare.Si confronteranno sul tema alcuni dei più importanti operatori del settore: dopo un’introduzione affidata a Pier Carlo Padoan, Vice Segretario Generale e Chief Economist OCSE ed Enrico Finzi, Presidente AstraRicerche e saggista, prenderanno la parola Axel Theis, Ceo Allianz Global Corporate & Specialty e Paolo Vagnone, Country Manager di Assicurazioni Generali sui cambiamenti nel mondo dei rischi negli ultimi 10 anni. A seguire, una sessione più tecnica dal titolo “Vecchi e nuovi rischi: ruoli, responsabilità e soluzioni del mondo delle assicurazioni”, a cui parteciperanno Carlo Clavarino, Amminstratore Delegato Aon Italia, Guido De Spirt, Amministratore Delegato Willis Italia, Flavio Piccolomini, Chief Executive Officer Southern Europe Marsh, Nazareno Cerni, Corporate Manager Assicurazioni Generali, Marco Dalle Vacche, Country Manager Chartis Italia e Saverio Longo, Ceo Zurich Global Corporate Italia.L’intera mattina di lavori sarà moderata da Andrea Cabrini, Direttore di Class CNBC.Il convegno sarà anche l’occasione per la presentazione del Position Paper realizzato da ANRA sul processo di Risk Management, volto a diffondere nel nostro Paese un approccio sistematico alla gestione dei rischi.

Restando in tema di convegni, sono di ritorno dal FERMA Forum 2011, appena conclusosi a Stoccolma. Una edizione in cui il ruolo della Federazione Europea delle Associazioni di Risk Manager come standard setter del processo di risk management si è ulteriormente rafforzato, e si è riconfermato il ruolo di crescente responsabilità della nostra funzione nelle aziende europee. In un contesto di fragilità crescente del settore finanziario, il Risk Manager appare in grado di avvalersi di un mercato assicurativo relativamente più stabile e adeguatamente capitalizzato, anche in vista dell’attivazione di Solvency II. Colgo l’occasione per ribadire su queste pagine l’estrema soddisfazione, personale e dell’Associazione che rappresento, per la nomina di Jorge Luzzi, Risk Manager di Pirelli e membro ANRA, a nuovo Presidente di FERMA. Una nomina che è anche un riconoscimento per il ruolo e il lavoro svolto dalla nostra Associazione in questi anni. Sono convinto che sarà un’ulteriore spinta per affermare, anche nel nostro Paese, il ruolo del Risk Manager.Veniamo infine alla newsletter di questo mese: legandoci al tema dei nuovi rischi, abbiamo deciso di focalizzare la nostra attenzione su quelli derivanti dall’utilizzo dell’information technology e del Web in particolare. Rischi che possono colpire sia il patrimonio di informazioni proprio di un’azienda, che ledere l’immagine della stessa.Presentiamo due contributi dalla rivista StrategicRisk: il primo sulle dinamiche proprie dei crimini attraverso la rete e il secondo di taglio normativo, che va ad aggiungersi alla rubrica del professor Monti, che conclude qui quanto iniziato sulla precedente newsletter.Roberto Bosco, ex presidente ANRA e Risk Manager Mediaset, è invece protagonista de “la parola al Risk Manager”. Spazio anche ai contributi di Zurich e Chartis, nuovo sponsor di ANRA a cui diamo il benvenuto.A chiudere come sempre le nostre rubriche Apotropaico, sul rito del matrimonio e Post-it, con gli appuntamenti da non perdere nei prossimi mesi.Non mi resta che salutarvi con l’augurio di rivedervi tutti al nostro convegno.

Buona lettura.

Periodico d’informazione a cura diNumero 19 – Ottobre 2011

Il punto di Rubini

C

CHI È ANRAANRA è l’associazione che dal 1972 raggruppa i Risk Manager e i Responsabili delle Assicurazioni Aziendali. Ad oggi l’associazione conta oltre 150 soci e svolge un importante ruolo per la creazione in Italia di una cultura della gestione dei rischi e delle forme più adeguate per assicurarli. In ANRA sono rappresentati i Risk Manager e i Responsabili Assicurativi Aziendali: i primi monitorano ed esaminano tutti i rischi, ordinari e straordinari, correlati all’attività aziendale, li condividono con il top management e formulano, con il loro accordo, un piano operativo per la gestione dei rischi; i secondi, invece, impostano, realizzano e gestiscono il piano assicurativo dell’azienda.

Redazione

Paolo Rubini - ANRA

Annita Pappagallo - ANRAannita.pappagallo@tin.it

Ecomunicare

Marco Ferrarimarco.ferrari@ecomunicare.comLuca Maranesiluca.maranesi@ecomunicare.com

link consigliati:

www.aiba.itwww.ania.itwww.andaf.itwww.cineas.itwww.ferma.euwww.rims.org/ifrima

IFRIMA

ANRA fa parte dell’IFRIMA (International Federation of Risk and Insurance Management Associations), l’organizzazione, la cui attività può essere fatta risalire al 1930, che raccoglie sotto di sé le associazioni internazionali di gestione del rischio, in rappresentanza di 23 organizzazioni e 30 Paesi di tutto il mondo. L’obiettivo primario di IFRIMA, è quello di fornire un forum per l’interazione e il confronto tra le varie associazioni di categoria e i membri che ne fanno parte.

FERMA

ANRA è iscritta a FERMA (Federation of European Risk Managemnt Associations), l’organizzazione che attualmente riunisce le associazioni nazionali di risk management di 20 nazioni europee. Essa rappresenta oltre 4800 professionisti che operano nei più svariati campi, dall’industria alla finanza passando per la sanità, presso organismi statali, privati o enti benefici.Scopo del FERMA è promuovere la cultura della prevenzione rischio e favorire il networking tra i propri associati.

ANRA LINKPer maggiori informazioni:

Anra, Via del Gonfalone 3 - 20123 Milano T +39 02.58.10.33.00 F +39 02.58.10.32.33 - www.anra.it

www.isvap.itwww.generali.itwww.ugari.itwww.zurich.itwww.chartisinsurance.it

R isk Management News

In questo numero1 Il punto

di Paolo Rubini - Presidente ANRA

4 Le dinamiche della criminalità che viaggia su Internet in collaborazione con StrategicRisk

7 Ancora in tema di governo del rischio nucleare di Alberto Monti - professore di Diritto privato comparato Università Bocconi - Studio Legale Monti

10 Diritto informatico in collaborazione con StrategicRisk

12 Buon compleanno, IPS! Monica Gianfreda - Head of International Programs from Zurich

13 La parola al Risk Manager di Roberto Bosco - Corporate Risk Manager del gruppo Mediaset con delega al Risk Management delle società del gruppo Fininvest

14 Rischio frode e rischio reputazionale: due rischi da non sottovalutare di Marco Vantellino – Financial Lines Commercial Accounts Manager

15 Post-it16 Apotropaico

Le dinamiche della criminalità che viaggia su Internet

Ancora in temadi governo del rischio nucleare

Apotropaico

4

7

16

Diritto informatico10

4

Focus

Nonostante l’ondata di attacchi tramite la rete a danno di impor-tanti aziende, molte società continuano ad ignorarne i rischi.Chi commette reati utilizzando il web può agire in molti modi dif-ferenti, ma in ogni caso comprometterà il corretto funzionamen-to dell’azienda. Buona parte della responsabilità dei reati commes-si a mezzo Internet sono imputabili al crimine organizzato, il resto a una serie varia di tipologie di criminali. Chiunque è in grado ormai di scaricare dalla rete il software necessario per attaccare i siti web al fine di estorcere denaro ai consumatori o alle aziende. Persino il virus stuxnet può essere scaricato dalla rete. Le nuo-ve forme di criminalità che viaggiano nella rete possono essere molto lu-crative e l’anonimato garantito dalla tecnologia rende questa attività cri-minose ancora più interessante per chi le commette. Ne consegue che i responsabili di questi reati possono avere background socio-economici i più diversi, oltre a operare da qualsiasi parte del mondo.

Le società sono sempre più vulnerabili all’attacco delle reti compo-ste da molti computer a scopo criminoso, le cosiddette botnet. Un attacco botnet è in sostanza un attacco compiuto da una serie di computer collegati in rete che sono stati infettati con software ostili per potere essere manipolati dai cyber delinquenti.

Perché un computer si infetti con un software ostile, o malware, ba-sta che un utente del computer entri in un sito che sia stato già at-taccato dagli hacker. I software ostili possono essere trasmessi a un computer anche con una penna Usb. Quando l’utente entra nel si-

to compromesso, il malware si scarica automaticamente e anche se niente di ciò risulterà evidente il computer sarà diventato parte del-la rete di computer manipolata dagli hacker.

I botnet possono essere utilizzati per attaccare le società in vari mo-di. Per rubare informazioni sensibili, l’attacco può prevedere, per esempio, il sequestro di immagine delle schermate, l’accensione di microfoni o l’attivazione di punti di accesso per gli hacker.

“Una parte dei reati commessi a mezzo Internet hanno che fare con lo spionaggio. I dati e le informazioni sensibili di una società, anche di tipo finanziario, i segreti industriali e la proprietà intellettuale possono quindi essere venduti a terzi o utilizzati per ricattare la società”, spiega Massimo Cotrozzi, consulente per la sicurezza nella del KCS Group. “L’altro aspetto è la sottrazione di denaro da conti correnti. Alle più grandi botnet operanti in questo momento, ZeuS e SpyEye, può es-sere imputato il 70 o l’80% dei reati commessi a mezzo Internet”.

Data la potenza, questi attacchi sono individuati in genere quando hanno già cagionato notevoli danni. “La maggior parte di questi at-tacchi possono continuare per mesi senza che nessuno se ne accor-ga. Si veda il noto caso del virus stuxnet che ha continuato a causare danni per almeno un anno prima che fosse individuato”, aggiunge Cotrozzi. Il virus stuxnet era stato concepito per attaccare gli stabi-limenti nucleari di importanza critica in Iran ed è stato scoperto so-lo nel luglio 2010.

Le dinamiche della criminalitàche viaggia su Internet

5

Più preoccupante ancora è il fatto che i software antivirus utilizzati comunemen-te non sono in grado di bloccare tutti i ti-pi di software ostili. “Il 60% del malware supera tranquillamente i tradizionali sof-tware antivirus”, spiega John Vigoroux, direttore generale di M86 security. “Le piccole e medie imprese si rilassano spesso convinte di lavorando in sicurezza perché utilizzano prodotti come Syman-tec o MacAfee, ma ciò è falso. Anzi non potrebbe essere più lontano dalla realtà”.

Il funzionamento dei programmi antivi-rus è basato sul riconoscimento da parte di questi dei programmi di malware , ma data la rapida evoluzione di questi softwa-re è difficile mantenere i software antivi-rus aggiornati in maniera efficace.In ogni caso, anche se i software ostili di-ventano sempre più sofisticati, i furti di un certo rilievo importanti richiedono ancora un contatto interno. “Nella nostra esperienza, le frodi più serie hanno sem-pre contato su un sostegno o su una fi-gura interna, che poteva essere o meno complice degli hacker”, precisa Cotrozzi. Le società dovrebbero concentrare le lo-ro politiche anti-violazione tentando di li-mitare il rischio che un impiegato colla-bori, anche a sua insaputa, con dei cyber delinquenti.

Parallelamente al fatto che commettere reati a mezzo Internet diventa più facile, aumentano i danni e i costi delle società attaccate. “I costi diretti imputabili ad at-tacchi che mirano ai dati, tra cui la spesa per esperti di IT in grado di contrastar-li, le penali per aver infranto le normati-ve sulla protezione dei dati e il costo di un team di PR che risolva la crisi con la stampa, stanno aumentan-do. A questi costi si aggiungono quelle indiretti, quali l’interru-zione di servizi, il danno alla reputazione aziendale e la perdita di clienti. Ai costi diretti è imputabile circa il 45% dei costi so-stenuti dalle società a seguito di un attacco”, stima l’underwriter assicurativo senior Dwan Simmons di XL Insurance.

Una più approfondita comprensione da parte dei Risk Manager su come funziona la criminalità della rete permetterà loro di in-teragire più efficacemente con gli esperti di IT e gli assicurato-ri specializzati. Inoltre, questa maggiore conoscenza permetterà alla dirigenza di una azienda di gestire il rischio legato al cyber crime nel contesto in cui opera la stessa.

➜ Focus

Diritto alla questione

StrategicRisk

Zurich

La parola al Risk Manager

Chartis

Post-it

Apotropaico

Cyber risk – le fonti del rischioche arriva tramite la rete Gli scenari del rischio legati al web sono otto: 1. Un errore nella normale attività di comunicazione tramite i social network

dell’azienda: l’impiegato responsabile dell’account di Twitter o Facebook dell’azienda scrive per sbaglio un post imbarazzante. La storia rimbalza nella rete ben prima che la società riesca solo a capire che sussiste un problema. L’azienda dovrà gestire un momento di imbarazzo.2. Gossip o pettegolezzi nei social media:una o più persone o forum mettono in giro nella rete delle voci maliziose sui prodotti o sui servizi della società. Le voci si diffondono a livello virale, raggiungono la sfera internazionale e quindi i media tradizionali, mettendo a rischio la reputazione della società.3. Sequestro degli account di social media:Gli hacker criminosi [in inglese la parola hacker definisce anche quelli buoni], sequestrano gli account dell’azienda presso i social media (Twitter o Facebook). Per un certo numero di ore in un dato giorno (mentre l’account è nelle loro mani) pubblicano dei commenti imbarazzanti o offensivi.4. Il sito Web della società è “craccato”:un gruppo di hacker attacca il sito di una società a seguito dei comportamenti o dichiarazioni che agi hacker non piacciono. Avvalendosi di attacchi di tipo DDoS (denial of service: “servizi non disponibili”) riescono a oscurare il sito per più di un giorno con una serie di conseguenze gravi.5. Cyber-spionaggio:un’azienda concorrente utilizza i canali della rete per accedere a informazioni riguardanti nuove strategie aziendali o d’investimento oppure prodotti, sottraendo l’informazione. Ne consegue che il vantaggio competitivo della società colpita è messo a rischio. L’attacco potrebbe per consentire persino alla società attaccante di sorpassare quella colpita a livello competitivo.6. Perdita di dati:a causa di uno sbaglio o di un errore procedurale, una società perde le informazioni riguardanti le carte di credito e i dati personali di un numero significativo di clienti (potrebbero essere anche milioni). La stampa apprende la notizia perché la società è costretta a notificare la perdita dei dati. L’incidente danneggia gravemente la reputazione aziendale.7. Furti digitali: una organizzazione criminale, con sede nell’Europa dell’Est, riesce a penetrare le protezioni online di una società e a rubare le informazioni sulle carte di credito o i dati personali dei clienti contenuti nel database le li mette in vendita online. I clienti perdono rapidamente la fiducia nel sistema di sicurezza della società e infine chiudono il rapporto commerciale.8. Casus belli per una guerra:due o più paesi entrano in guerra a seguito di un casus scatenato tramite la rete. Un paese tenta di scardinare le reti informatiche del paese vicino, al che questo paese risponde con misure di guerra convenzionali. Oltre a compromettere i collegamenti Internet in tutta la regione e a interrompere totalmente il commercio online, il conflitto può degenerare in una guerra convenzionale.

6

L1984_Ann_ISTITUZ_ANRA_A4_TR.indd 1 14-11-2008 11:55:23

7

D ir i tto a l la quest i one

In chiusura dell’intervento pubblica-to sull’ultimo numero di questa newslet-ter, dedicato ai profili di rischio discipli-nati a livello internazionale da un regime giuridico uniforme in tema di responsabi-lità civile per il danno derivante da inciden-te nucleare, abbiamo promesso di dar conto in questa sede dell’esito della conferenza mi-nisteriale indetta a Vienna dall’Agenzia In-ternazionale dell’Energia Atomica (IAEA) lo scorso 20 giugno 2011 per discutere il te-ma della sicurezza nucleare e per esercitare pressione sul governo giapponese al fine di integrare ed estendere il regime giuridico in-ternazionale a tutela delle vittime degli inci-denti nucleari.Tenendo fede alla parola data, eccoci, dun-que, ad illustrare qui i principali contenuti della dichiarazione congiunta rilasciata dai Ministri degli Stati Membri dell’IAEA in chiusura della riunione plenaria.Alla luce della recente tragica esperienza giapponese, l’IAEA ha anzitutto ricono-sciuto l’importanza dello sforzo congiunto dell’intera comunità internazionale al fine di aumentare il livello di sicurezza nuclea-re, rafforzando gli standard di protezione e le capacità di pronta reazione e di gestio-ne dell’emergenza, anche attraverso un si-stema di verifica incrociata ed indipenden-te della qualità e dell’efficacia delle misure di prevenzione e mitigazione in atto in cia-

scun paese.Considerato che la posizione dei diversi Sta-ti rispetto all’uso del nucleare ai fini di sod-disfare le proprie esigenze energetiche non è univoca e che, tuttavia, gli effetti degli inci-denti nucleari, in termini di diffusione del-le loro conseguenze pregiudizievoli, non si arrestano affatto entro i confini naziona-li, la Dichiarazione Ministeriale riconosce la necessità che gli Stati che implementa-

Ancora in tema di governodel rischio nucleare:

la Dichiarazione Ministeriale dell’Agenzia Internazionale dell’Energia Atomica

(IAEA) del 20 giugno 2011

di Alberto Montiprofessore di Diritto privato comparato

Università Bocconi - Studio Legale Monti

Focus

➜ Diritto alla questione

StrategicRisk

Zurich

La parola al Risk Manager

Chartis

Post-it

Apotropaico

8

D ir i tto a l la quest i one

no programmi nucleari assumano un ruo-lo di responsabilità nell’assicurare l’adozione dei più elevati standard tecnologici in mate-ria di prevenzione e sicurezza, obbligando-si altresì a fornire tempestivamente e con la massima trasparenza alla comunità interna-zionale ogni informazione utile a compren-dere la natura e l’entità di eventuali incidenti e l’efficacia della risposta diretta a mitigarne gli effetti nocivi.In questa prospettiva, il ruolo centrale dell’IAEA è stato ulteriormente rafforzato con l’obiettivo di coordinare le iniziative a livello internazionale e di promuovere la co-operazione tra Stati, di concerto con le al-tre organizzazioni attive nel settore, tra cui principalmente l’Agenzia dell’Energia Nu-cleare costituita in seno all’OCSE.Fondamentale importanza è stata poi rico-nosciuta dai Ministri alla capacità di otte-nere e diffondere informazioni accurate e tempestive in merito agli incidenti nucle-ari ed alle loro conseguenze radiologiche; in argomento, il governo del Giappone ha presentato alla missione IAEA dettagliati rapporti nei quali viene, tra il resto, forni-to un resoconto preliminare dell’incidente occorso nella centrale di Fukushima Daii-chi. In esito alla conferenza, si è convenu-to in merito alla necessità di ottenere quan-to prima un quadro completo e dettagliato degli eventi occorsi, delle loro cause e delle

loro conseguenze, al fine di mettere al ser-vizio della comunità internazionale l’espe-rienza giapponese e di rivedere gli standard di sicurezza in relazione al potenziale im-patto cumulativo simultaneo di diverse ti-pologie di rischio, quali terremoto, tsuna-mi e guasti tecnici.Nella Dichiarazione, l’IAEA ha quindi esplicitato e formalizzato la propria istanza affinché sia raggiunta una adesione a livello mondiale alle regole giuridiche che presidia-no il campo della sicurezza nucleare e del-la responsabilità civile in caso di incidente, con l’obiettivo di assicurare un regime uni-forme di compensazione dei danni provo-cati in un contesto transfrontaliero.La Dichiarazione Ministeriale IAEA del 20 giugno 2011, della quale abbiamo qui avuto modo di dar conto, costituisce un passo im-portante nell’evoluzione del quadro norma-tivo e regolamentare che disciplina a livel-lo internazionale la responsabilità civile per danni cagionati da incidenti nucleari, spie-gando altresì importanti effetti sui prossimi lavori che verranno svolti in seno all’Agen-zia. Ed infatti, i Ministri riuniti in occasione della conferenza hanno espressamente con-ferito al Direttore Generale dell’IAEA l’in-carico di redigere un Piano d’Azione diret-to ad attuare in concreto i principi enunciati nella Dichiarazione, intorno ai quali si è for-mato il consenso degli Stati Membri.

9

xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx➜ xxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxx ApotropaicoPostItConvegno nazionale ANRA

Associazione NazionaleRisk Manager

Mercoledì 9 Novembre 2011 - Palazzo Mezzanotte - Piazza degli Affari, 6 - Milano

BenvenutoPaolo Rubini, Presidente ANRA

Saluto delle IstituzioniCristina Tajani, Assessore alle politiche del lavoro, sviluppo economico, università e ricerca del Comune di Milano

Presentazione del Position Paper ANRA sul processo di Risk ManagementEnrico Guarnerio, Presidente Comitato Tecnico-Scientifico ANRA

ore 9.30 - 11.15“I dieci anni che hanno cambiato il mondo dei rischi”

ore 8.45 - 9.30Welcome coffee e registrazione partecipanti

ore 11.30 - 13.30“Vecchi e nuovi rischi: ruoli, responsabilità e soluzioni dal mondo delle assicurazioni”

Interventi di:

- Pier Carlo Padoan - Vice Segretario Generale e Chief Economist OCSE- Enrico Finzi - Presidente AstraRicerche e saggista- Axel Theis - Ceo Allianz Global Corporate & Specialty- Paolo Vagnone - Country Manager Assicurazioni Generali

Interventi di:

- Carlo Clavarino - Amministratore Delegato Aon Italia- Guido De Spirt - Amministratore Delegato Willis Italia- Flavio Piccolomini - Chief Executive Officer Southern Europe Marsh- Nazareno Cerni - Corporate Manager Assicurazioni Generali- Marco Dalle Vacche - Country Manager Chartis Italia- Saverio Longo - Ceo Zurich Global Corporate Italia

Modera la giornataAndrea Cabrini - Direttore Class CNBC

“Back to insurance”Quali soluzioni in un mondo meno sicuro

In collaborazione con:

Con il contributo di:

Iscrizioni e informazioni: ANRA - Via del Gonfalone, 3 - 20123 Milano T +39 02.5810.3300 - F +39 02.5810.3233 | e-mail: anra@betam.it - www.anra.itQuota di partecipazione: Soci ANRA e collaboratori: gratuita - Associati ANRA: gratuita - Collaboratori di Associati: 121,00 euro (100,00 euro + IVA 21%) Esterni ANRA: 121,00 euro (100,00 euro + IVA 21%)

10

Negli Stati Uniti, diversamente che in Europa, la legge richiede da tempo che gli attentati ai database delle so-cietà siano notificati agli interessati e forse ciò spiega il vantaggio che le so-cietà Usa dimostrano avere nella cyber vigilanza.Le normative per la sicurezza nell’IT sono in continua evoluzione per tene-re il passo con la criminalità che agisce sul web, ma nonostante queste diffi-coltà, è importante che le aziende ca-piscano le implicazioni che queste nor-mative hanno per la loro attività.

La maggior parte delle economie euro-pee non ha ancora adottato normative specifiche per affrontare con efficacia il cyber crime, rendendo quasi impos-sibile in molte giurisdizioni il già dif-ficile compito di individuare e punire chi commette questi reati.Tuttavia, lo scorso maggio, in Europa

è entrata in vigore una nuova legge che richiede che tutte le società del settore telecomunicazioni informino i clienti in caso di una violazione del database. In tutti gli altri ambiti sono le nor-mative del sistema giudiziario statu-nitense ad essere all’avanguardia. “Lo Stato della California ha varato già 10 anni fa la prima legge statale per la protezione dei dati personali che im-poneva la notifica ai soggetti interes-sati. D’allora, la notifica obbligato-ria in caso di violazione dei database è stata adottata dalla maggior par-te degli Stati americani”, spiega l’un-derwriter senior Dawn Simmons di XL Insurance .È stato proprio questo obbligo di no-tifica ad aver “attratto negli Stati Uni-ti una attenzione e un interesse mag-giore per i prodotti assicurativi che tutelano contro il cybercrime”, dice Simmons.

La disparità tra aziende statunitensi ed europee nell’approccio alla crimi-nalità nella rete dipende, secondo Simmons, dal divario normativo. “La maggior parte dei nostri clienti americani dispo-ne di una qualche cono-scenza sui reati che pos-sono essere commessi a mezzo Internet e hanno conseguentemente istitu-ito una qualche copertu-ra assicurativa o stanno considerando di acqui-starla. In Europa ciò è ancora una novità. Il no-stro compito è spiegare ai clienti quali sono i rischi, quanto le aziende siano sempre più esposte a su-

Focus

Diritto alla questione

➜ StrategicRisk

Zurich

La parola al Risk Manager

Chartis

Post-it

Apotropaico

Diritto informatico

11

bire danni e come è possibile tutelar-si con soluzioni assicurative varie”. Le società europee hanno finora preferito sostenere i costi derivati da un attacco via rete occasionale piuttosto che allo-care fondi per rafforzare la sicurezza a livello di IT. Ora che sussiste l’obbligo di notifica in caso di violazione del da-tabase, questo approccio non è più fat-tibile finanziariamente. Le perdite di dati hanno in ogni caso delle implica-zioni notevole per l’immagine e per la reputazione di una azienda.

“A mio avviso, grazie all’obbligo di no-tifica e ai poteri che sono stati attribu-iti all’ufficio del commissario per l’in-formazione (ICO) nell’aprile scorso, la legge per la Protezione dei dati ha ri-svegliato l’attenzione delle istituzio-ni sul cybercrime”, dice Neira Jones , responsabile della sicurezza dei paga-menti di Barclaycard. “Se finora l’ICO si era concentrato principalmente sul settore pubblico, ora l’attività di que-sto Commissariato si è allargata anche ai settori commerciali”, afferma Jones.

Uno degli ostacoli incontrati da mol-

ti multinazionali europee è la diver-sità normativa nei vari paesi europei. “La mancanza di coordinamento del-la legislazione europea complica l’a-spetto assicurativo, perché ogni paese ha le proprie leggi e normative. Ve-do quindi molto positivamente i piani per armonizzare le leggi sulla protezio-ne dei database a livello Ue”, aggiun-ge Simmons.

Poiché la tecnologia oggi è presente in quasi tutti gli ambiti di un’attività, il cybercrime implica anche altri ambi-ti normativi. “La nuova legge contro la corruzione varata nel Regno Unito ri-guarda direttamente anche la sicurez-za dei dati e delle attività in rete. Essa richiede che le aziende si adoperino at-tivamente per prevenire queste frodi”, conclude Massimo Cotrozzi, consu-lente per la sicurezza Internet di KCS Group. “Sarebbe opportuno include-re il costo per la prevenzione di queste frodi nei bilanci e valutarlo in rappor-to al rischio rappresentato da questo tipo di reati. Non credo che le socie-tà siano ancora ben consapevoli del ri-schio che corrono”.

12

I tempi cambiano, i progetti si evolvono.

Dieci anni fa Zurich lanciò il si-stema International Program System (IPS), una piattaforma tecnologica che ha rivoluzionato il servizio dei programmi internazionali.

IPS ha consentito di integrare il servizio offerto da Zurich per le co-perture internazionali e ha miglio-rato la gestione delle informazioni a vantaggio delle aziende clienti e dei loro broker. In questi 10 dieci anni, IPS si è evoluto a tal punto da diven-tare una delle piattaforme più effica-ci, veloci e precise nella gestione dei programmi internazionali in tutto il mondo, posizionando Zurich tra le aziende leader in questo importante settore.

Market-leading technology & Compliance

International Program System è un sistema globale di informazioni rela-tive al cliente e alla sua polizza lega-ta a un International Program from Zurich (IPZ), che rende Zurich più efficiente e veloce nel rispondere alle esigenze di clienti e brokers.

Grazie a IPS, Zurich può offrire a tutti coloro che operano all’este-ro non solo una copertura in oltre 180 paesi, ma anche la sicurezza che

questa sia conforme alle singole leggi locali.

Per un cliente con filiali sparse per il mondo, avere la certezza che la propria assicurazione si allinei ai regolamenti locali e sia in grado di rispondere in caso di necessità è di vitale importanza. La Multinational Insurance Application (MIA) è una tecnologia esclusiva di brevetto Zu-rich, creata per eliminare l’incertezza e garantire che ogni programma in-ternazionale si adatti ai vari contesti legislativi. Il MIA apporta chiarezza e semplicità ai complessi programmi internazionali, aiutando la copertura a essere in linea con le norme locali e gli obblighi fiscali.

Sviluppato in origine quale mez-zo di comunicazione per lo scambio delle istruzioni nel network Zurich e come gestione del f lusso dei pre-mi, oggi IPS fornisce importanti

informazioni a livello di underwri-ting, sinistri, risk engineering e di altri settori coinvolti nella gestione dei programmi internazionali. Tali informazioni vengono elaborate e raccolte in report generati dal siste-ma per cui possono essere forniti alle aziende e ai broker dati in tempo reale quali, ad esempio, i premi, la tracciabilità dei sinistri o i dettagli delle coperture.

L’ultimo nato in casa IPS è il Cu-stomer Service Report, creato su misu-ra per il cliente, il cui scopo è moni-torare il f lusso di comunicazioni tra Zurich, l’azienda e l’intermediario per evidenziare eventuali miglio-ramenti nella collaborazione tra le parti. Uno strumento al passo con i tempi per rispondere ad esigenze sempre più sofisticate.

Buon compleanno, IPS!

Monica GianfredaHead of International Programs from Zurich

13

Roberto Bosco Corporate Risk Manager del gruppo Mediaset con delega al Risk Manage-ment delle società del gruppo Fininvest fra le quali ricordiamo. A.C.Milan, Gruppo Mon-dadori, Alba Servizi Aerotrasporti, Il Teatro Manzoni e Fininvest S.P.A., entra nel grup-po nel 1986 presso l’ufficio assicurazioni di gruppo e partecipa all’acquisizione prima di Standa e poi del gruppo A.M.E.Nel 1992 diventa Insurance e Risk Manger di Fininvest e dal 1996 ricopre l’attuale po-sizione. E’ stato presidente ANRA dal 1999 al 2008 e attualmente membro del C.D. dell’Associazione, inoltre è tra i soci fondatori di UGARI, Unione giovani assicuratori e ri-assicuratori italiani.Mediaset, con i suoi “Canale 5, Italia 1, Rete 4 e i recenti canali digitali” è il principale TV network e broadcaster commerciale italiano e considerando la recente acquisizione di La Quatro, è diventato leader anche nel merca-to spagnolo. Ha un fatturato consolidato superiore ai 3 miliardi di euro e oltre 6.000 dipendenti.

Quali sono i rischi più caratteristici della sua azienda e, più in generale, del vostro settore di attività? Molteplici sono i rischi presenti nella nostra at-tività, dalla protezione dei centri di produzione di Milano e Roma e delle oltre 1.700 postazio-ni per la trasmissione del segnale, ai giornalisti, ai key man, alle produzioni di film e fiction, alle responsabilità professionali sino ad arriva-re al più recente “danno reputazionale” oltre ovviamente ai rischi comuni ad altre attività. Sicuramente però, l’evoluzione del business, la sempre maggior competitività e l’adozione di nuove leggi e regolamenti, comportano la na-scita di nuovi rischi. La nostra azienda, sino a qualche anno fa aveva unicamente il rischio re-lativo ai 3 canali generalisti, poi è subentrato In-ternet con rischi connessi alla violazione di di-ritti di proprietà intellettuale diritto d’autore e violazione di marchi, rischio della privacy e si-curezza della rete, uso della tecnologia e rischi informatici ; e che dire del canale Mediashop-ping che commercializza dal frullatore al tapis roulant per ginnastica 24h su 24 e quindi un ri-schio Rc del prodotto con tutte le implicazio-

ni di quanto realizzato al di fuori della comuni-tà europea. Rischi questi che poco hanno a che fare con la televisione ma che ormai non pos-sono prescindere dall’attività principale quindi non più nuovi ma bensì consolidati.

E quali possono essere le principali evolu-zioni, ovvero i “nuovi” rischi, da prendere in considerazione in futuro?Allora, credo che sia difficile parlare di nuo-vi rischi del nostro settore in quanto la diver-sificazione comporta sì l’assunzione di nuo-vi rischi ma nuovi solo per noi e vecchi per altre realtà aziendali. Ritengo quindi, che a parte il danno reputazionale assunto negli ul-timi tempi come uno dei nuovi rischi del ter-zo millennio e comunque non limitato a real-tà come Mediaset, si debba riflettere su rischi una volta considerati rari, si pensi a terremo-ti, alluvioni, rischi politici, ma ormai diventa-ti normali e forse su questo occorre ragionare in un’ottica diversa nella gestione del rischio.

Qual è il livello di attenzione verso la pro-blematica del rischio da parte delle azien-de appartenenti al vostro comparto?Mediaset ha avuto sempre una grande atten-zione ai rischi, ancorchè sino a qualche anno fa si parlava quasi unicamente dei cosiddet-ti rischi puri, ma a partire dalla fine degli an-ni 90, la funzione di Risk Management è sta-ta sempre più coinvolta anche nello sviluppo di nuovi business non solo dal puro trasferi-mento assicurativo ma anche nella valutazio-ne globale del rischio/business.

Potrebbe esporci brevemente un caso, si-gnificativamente positivo, in cui la corret-ta gestione del rischio è risultata importa-

te per la sua azienda?Ultimo esempio in ordine di tempo è il lan-cio delle tessere Premium, la funzione di Risk Management è stata coinvolta sin dall’inizio nel gruppo di lavoro di Business development al fine di individuare e valutare i rischi con-nessi alle tessere.In primo luogo occorreva capire e quanti-ficare eventuali danni per mancati incassi a seguito di clonatura della tessera o danni derivanti da furto e danneggiamento, Si è ve-rificato con la funzione I.T. i sistemi di pro-tezione e conseguentemente si è approntato un sistema per cui veniva resa inutilizzabile la tessera clonata nel giro di 24 ore; in termi-ni di furto si è deciso che per spedizioni sopra un determinato importo si utilizzassero fur-goni portavalori mentre per quanto concerne la distruzione da incendio o eventi similari è stato definito contrattualmente che la Società deputata alla logistica stipulasse idonea poliz-za assicurativa per la giacenza presso i loro de-positi. Quanto sopra può esser definito come un vero processo di Risk Management, do-ve ogni funzione aziendale interessata è sta-ta coinvolta, e ha consentito, in caso di clo-nazione, l’eliminazione del potenziale danno, per il furto, il trasferimento a terzi e l’ado-zione di sistemi di protezione atti a ridurre il rischio e solo nell’ultimo caso, il danno mate-riale il trasferimento al mercato assicurativo.Ovviamente questo è un rischio che riguar-da quasi esclusivamente il nostro settore, ma i Cyber Risks, il cloud computing e l’I.P. in-frigement sono rischi che sempre di più coin-volgono tutto il sistema economico, e sempre di più la funzione di Risk Management do-vrà esser coinvolta nella difesa del business aziendale.

La parola al Risk Manager

Roberto Bosco Corporate Risk Manager

del gruppo Mediaset con delega al Risk Management

delle società del gruppo Fininvest

Focus

Diritto alla questione

StrategicRisk

Zurich

➜ La Parola al Risk Manager

Chartis

Post-it

Apotropaico

14

La rivelazione di comunicazioni in-terne e confidenziali rappresenta una minaccia sia per le Aziende che per gli Amministratori e i Dirigenti di una Società. Innanzitutto perché tale rivelazione può creare un inevitabi-le imbarazzo ma anche e soprattutto perché può portare con se importanti danni reputazionali così come sfocia-re in possibili cause legali o in azioni di responsabilità oltre che in crolli dei corsi azionari. Un esempio di tutto ciò è stato recentemente fornito dalla vi-cenda che ha visto come protagonista Julian Assange, il fondatore di Wi-kileaks il quale ha pubblicamente di-chiarato i piani di rivelare un impor-tante numero di documenti riguar-danti le maggiori Banche Americane, così come informazioni riguardanti Società attive nel settore tecnologico ed energetico.

Ad aggravare ulteriormente la si-tuazione sta il fatto che le rivelazioni potrebbero riguardare eventi o attività delle quali un’ azienda non abbia nem-meno informato il mercato; è chiaro dunque aspettarsi un aumento delle cause possibili anche in merito a fatti per i quali non si prevedevano rischi.

Anche la rete informatica così come i comportamenti fraudolenti di di-pendenti ed agenti rappresentano oggi una ulteriore minaccia.

La crisi economica così come l’uti-lizzo massiccio di strumenti informa-tici non fa altro che ampliare i rischi

per l’azienda; rischi che possono deri-vare sia da fattori interni che da fattori esterni alla stessa.

È bene infatti riflettere come sul mercato esitano organizzazioni cri-minali, create con lo specifico intento di colpire le aziende sia per illecito ar-ricchimento che per il solo “gusto” di arrecare un danno.

Oggi la maggior parte delle tran-sazioni, finanziarie e non, avviene sul web ed è quindi facilmente im-maginabile che il comportamento di un singolo possa causare significative perdite all’azienda. Pensiamo, poi, ai comportamenti collusivi che un di-pendente potrebbe tenere con un for-nitore dell’azienda: sarebbe sufficiente che un dipendente ed un fornitore si accordassero per incrementare il prez-zo di acquisto di un materiale e spar-tirsi tale incremento di prezzo, così come utilizzare lo strumento infor-matico per effettuare bonifici fasulli oppure vendere commodities.

Chartis ha voluto offrire una solu-zione assicurativa per coprire tutte le sopra menzionate tipologie di rischio. Attraverso la sua polizza D&O Char-tis infatti offre copertura per i costi sostenuti dall’azienda al fine di utiliz-zare consulenti in pubbliche relazioni qualora si concretizzasse il rischio che una notizia confidenziale venisse dif-fusa attraverso un social media o un sito internet.

Attraverso la polizza Crime, inve-

ce, la Società può tutelare il proprio patrimonio dalle perdite finanziarie dirette causate da propri dipenden-ti o da un attacco informatico. Oggi il 90% delle frodi avviene attraverso comportamenti classici (frodi interne) ma non si può escludere che in futuro anche le frodi esterne aumenteranno il loro impatto sui conti azionari. Al fine di garantire la massima protezio-ne al proprio cliente, Chartis offre alle aziende la consulenza di un proprio esperto per supportarle nei seguenti campi:

Analisi della vulnerabilità e preven-zione dei rischi di frode

Identificazione dei rischi specifici di frode cui è esposta la società

Valutazione delle procedure di con-trollo interno: bilancio e aggiorna-mento

Valutazione delle procedure di ac-quisto e di selezione dei fornitori, valutazione del rischio relativo agli appaltatori

Sicurezza dei sistemi di pagamento, relazioni con le banche,

Circolazione e protezione delle in-formazioni all’interno della società

Valutazione del controllo interno nelle sedi decentralizzate della So-cietà (norme e procedure di gruppo, controllo delle filiali, delegazione dei poteri)

Sicurezza fisica : controllo d’accesso ai siti sensibili, circolazione delle per-sone, protezione dei valori

Rischio frode e rischio reputazionale:due rischi da non sottovalutare

Dott. Marco VantellinoFinancial Lines Commercial Accounts Manager

Focus

Diritto alla questione

StrategicRisk

Zurich

La Parolaal Risk Manager

➜ Chartis

Post-it

Apotropaico

15

Corsi ANRA – CINEASMilano, Politecnico – Campus LeonardoGestione sinistri in azienda 22-23 novembre 2011

Da anni ANRA realizza corsi sui temi legati al Risk Mana-gement ed assicurazioni, destinati al-le aziende, privilegiando gli aspetti di gestione dei rischi nell’ambito di una corretta gestione aziendale e del ruolo del responsabile assicurativo o del risk manager all’interno e all’esterno dell’organizzazione aziendale.I nuovi corsi ANRA, realizzati in collaborazione con il CI-NEAS, Consorzio specializzato sulle tematiche relative al-la cultura del rischio, sono destinati a chi ha necessità di disporre di nozioni di assicurazione, di loss prevention, di business continuity e di Enterprise Risk Management.

- A chi si rivolge: i corsi son rivolti a tutti coloro che af-frontano per la prima volta tematiche di risk management. Ed inoltre:• Alle imprese: Risk Manager ed altri ruoli con funzioni ri-

volte al controllo e alla riduzione dei rischi aziendali.• Al mondo assicurativo: ispettori tecnici, underwriter,

claim handler, ruoli con funzioni di risk engineering e surveyor, intermediari assicurativi.

• Alle società di consulenza operanti nell’area dei rischi aziendali.

Gestione sinistri in azienda

Sede e organizzazione del corso: il corso si svolgerà presso il politecnico di Milano, Campus Leonardo, il 22 e 23 no-vembre 2011, dalle 9.00 alle 13.00 e dalle 14.00 alle 18.00.

CONVEGNO NAZIONALE ANRAMilano, Palazzo Mezzanotte9 novembre 2011 - h 8.45 -13.30Si terrà presso Palazzo Mezzanotte il prossimo 9 novembre l’annuale Convegno Nazionale ANRA, dal titolo “Back to Insurance. Quali soluzioni in un mondo meno sicuro”.

Appuntamento di rife-rimento per tutti coloro che operano nel campo

della gestione del rischio. Ulteriori informazioni all’interno della newsletter e sul sito di ANRA.

post-it

Per tutti gli aggiornamenti sulle iniziative ANRA vi rimandiamo al sito dell’Associazione www.anra.it

Focus

Diritto alla questione

StrategicRisk

Zurich

La Parolaal Risk Manager

Chartis

➜ Post-it

Apotropaico

16

(dal Greco “apotrépein”=“allontanare”) è un aggettivo che viene attribuito ad una persona o oggetto atto a scongiurare o annullare gli influssi maligni. Letteralmente ha il significato di una azione di allontanamento, ma nel mondo letterario ha assunto il carattere di rito che allontana il male, dunque esorcizzante.E l’Italia, come ben noto, è la terra degli scongiuri e delle scaramanzie. In questa pagina andiamo quindi a scoprire le diverse storie di scaramanzie, riti e scongiuri atti a evitare ogni tipo di malasorte.

Il Matrimonio (2a puntata)

Cosa deve fare lo sposo Dall’antica Roma deriva l’usanza che lo sposo prenda tra le braccia la sposa quando si varca per la prima volta la soglia del-la casa coniugale. Si ricorreva a questo per evitare che, nell’e-mozione del momento, la sposa potesse inciampare sulla por-ta: un presagio infausto perché significava che le divinità della casa non la volessero accogliereUn gesto bene augurante è offrire una spiga di grano alla spo-sa alla fine del rito. La terra e la donna sono unite da una for-tissima analogia: come la terra arata germoglia dopo aver rice-vuto i chicchi di grano, così alla donna viene affidato con il matrimonio il grande compito di perpetuare la vita.Lo sposo deve avere tre grani di sale nella tasca sinistra della giaccaLo sposo farà il suo ingresso per primo in chiesa e sarà accom-pagnato all’altare dalla madre o da una componente femmini-le della sua famiglia.Deve far recapitare il bouquet alla sposa il mattino stesso del-la cerimonia.Sta allo sposo stappare la prima bottiglia di champagne, aven-do cura di colpire con il tappo uno scapolo che, così, incontre-rà l’anima gemella entro un anno.

Tutto quello che NON si deve fare al matrimonioInnanzitutto gli sposi non devono vedersi né parlarsi il giorno precedente a quello delle nozze prima dell’incontro in chiesa.E’ vietatissimo fare colazione insieme (cosa che fecero Carlo e Diana la mattina delle loro nozze...) e anche le comunicazioni

dell’ultima ora devono avvenire per via indiretta, attraverso parenti o amici.Lo sposo che è uscito di casa per recarsi in chiesa per nessun motivo deve tornare sui propri passi: ecco perché è bene che sia seguito da un amico o da un testimone.Porta sfortuna acquistare nello stesso momento l’anello di fi-danzamento e le fedi nuziali che non vanno messe al dito pri-ma della celebrazione del matrimonio.Se durante la cerimonia cade una fede, per scongiurare il liti-gio tra i due sposi nessuno degli sposi o degli invitati deve chi-narsi a raccoglierla, deve farlo il prete o l’ufficiale di stato civile.Non si deve dormire nella casa coniugale la notte prima delle nozze.Un’usanza popolare seguitissima è quella che vieta di mostra-re l’abito da sposa al futuro marito o quella di guardarsi allo specchio con il vestito da sposa il giorno del matrimonio. Se proprio non si resiste si può farlo ma togliendo una scarpa, un orecchino o un guanto. Inoltre porta sfortunato che la sposa realizzi da sola il suo vestito.La sposa non dovrebbe piangere prima del matrimonio, ma può farlo quanto vuole dopo.

apotropaico

Focus

Diritto alla questione

StrategicRisk

Zurich

La parola al Risk Manager

Chartis

Post-it

➜ Apotropaico