April 30, 2025
Cavalcare l’Onda: l’area EMEA si avvicina alla Maturità Cyber
Principali implicazioni
- Nel 2024, le organizzazioni si sono dimostrate più coinvolte e resilienti, avvicinandosi a una maggiore maturità nei principali ambiti del rischio cyber. Tuttavia, risultano ancora poco preparate nella gestione del rischio di terze parti e nella resilienza operativa.
- Gli attacchi ransomware sono aumentati in frequenza, ma grazie a controlli di sicurezza più efficaci, l'impatto è diminuito. A livello globale, il rapporto tra importo pagato e richiesta di riscatto è sceso al 28%.
- Il mercato assicurativo cyber non è mai stato così accessibile, soprattutto per le imprese di medie dimensioni. Nuovi operatori e l'ingresso di capitali aggiuntivi hanno determinato una riduzione dei prezzi e un'ampia possibilità di rinnovi.
Nonostante persistano alcune differenze tra i vari Paesi, nel 2024 l’Europa ha fatto progressi significativi verso la maturità in ambito di sicurezza informatica. Il mercato si è progressivamente allontanato da un approccio incentrato esclusivamente sulla protezione dei dati, orientandosi invece verso la resilienza operativa e una maggiore attenzione alla capacità delle organizzazioni di resistere agli attacchi, riprendersi rapidamente e prevenire interruzioni di servizio. Abbiamo osservato un miglioramento nell’implementazione efficace dei controlli di sicurezza – in particolare nella gestione e nel recupero da attacchi ransomware – una maturazione del mercato assicurativo cyber sia in termini di capacità assuntiva che di ampiezza delle coperture, nonché una crescente influenza dei quadri normativi sulla costruzione della resilienza.
Nel 2024, l’Europa è stata colpita da importanti eventi cyber di natura sistemica, mentre le tensioni geopolitiche si sono intensificate, alimentando ulteriore volatilità e un aumento del rischio. Il Servizio Sanitario Nazionale del Regno Unito (NHS) ha subito molteplici attacchi durante l’anno, tra cui spicca l’attacco ransomware di giugno ai danni di un fornitore di servizi di patologia. La violazione ha comportato l’annullamento di appuntamenti e procedure mediche, oltre a gravi interruzioni nelle trasfusioni di sangue e nei risultati diagnostici.1 L’interruzione causata da CrowdStrike nel luglio 2024 ha rappresentato un promemoria puntuale della possibile entità delle perdite derivanti dall’interconnessione della supply chain digitale.2 L’incidente ha fatto crashare oltre 8,5 milioni di sistemi, bloccando le operazioni a livello globale per diversi giorni e colpendo voli commerciali, strutture ospedaliere e servizi finanziari.
La crescente volatilità ha favorito l’azione di attori ostili riconducibili a logiche statali, spesso più aggressivi e dannosi, sia direttamente sia attraverso entità collaterali. Le infrastrutture critiche sono state un bersaglio privilegiato: tra gennaio 2023 e gennaio 2024, si sono registrati oltre 420 milioni di attacchi informatici a infrastrutture critiche a livello globale, pari a circa 13 attacchi al secondo, con livelli di severità variabili.3 Questi attacchi hanno avuto una portata globale, con gli Stati Uniti come Paese più colpito, seguiti da Regno Unito e dalla Germania.4 Con l’intensificarsi della competizione commerciale tra Stati Uniti e Cina, si prevede un aumento dello spionaggio di tipo industriale, che potrebbe avere impatti significativi anche sull’Europa. Molti assicuratori stanno già reagendo a questo scenario di crescente instabilità: si sta consolidando nel mercato la convinzione che, qualora un attacco riconducibile a uno Stato causi una perturbazione significativa o su larga scala in un Paese, tali perdite possano essere escluse dalle coperture assicurative, qualora l’entità del danno sia tale da renderlo non assicurabile.
Controlli Tecnici Rafforzati, ma il Rischio Terze Parti Aumenta
Nel corso dell’anno è emersa una clientela più coinvolta e resiliente, con organizzazioni che hanno compiuto progressi significativi nell’implementazione dei controlli tecnici e nel rafforzamento delle aree digitali. I clienti Aon in tutta Europa hanno registrato un punteggio medio globale di rischio secondo Aon pari a 2.53 su 4 – un parametro chiave che misura il livello di preparazione in sei ambiti critici della sicurezza informatica. Le performance migliori si sono riscontrate nelle aree di sicurezza degli endpoint, sicurezza di rete e controllo degli accessi, mentre, come prevedibile, le organizzazioni si sono dimostrate meno preparate nella gestione del rischio legato a terze parti e nella resilienza operativa.
Domini Cyber | Dati EMEA 2024
Punteggio di rischio complessivo: 2.53
Ambiti con punteggi più alti
|
2.80
Sicurezza degli Endpoint
|
Protezione degli Endpoint
2.99
Configurazione sicura
2.80
Logging e monitoraggio
2.79
|
|
2.76
Sicurezza di rete
|
Ambiente di rete
2.85
Penetration testing
2.84
Wireless
2.63
|
|
2.74
Controllo degli accessi
|
Configurazione delle password
2.89
Autenticazione a più fattori (MFA)
2.77
Gestione degli accessi
2.65
|
Punteggio CyQu sulla maturità del rischio
Iniziale: 1.0 - 1.9
Basilare: 2.0 - 2.5
Gestito: 2.6 - 3.4
Avanzato: 3.5 - 4.0
Ambiti con punteggi più bassi
|
2.01
Rischio Terze Parti
|
Due Diligence
1.81
Contratti con Terze Parti
2.04
Inventario fornitori
2.75
|
|
2.12
Sicurezza delle applicazioni
|
Formazione
1.84
Gestione software
2.08
Sviluppo sicuro
2.21
|
|
2.33
Resilienza operativa
|
Continuità operativa / Disaster Recovery
2.15
Risposta agli incidenti
2.35
Backup
2.54
|
Punteggio CyQu sulla maturità del rischio
Iniziale: 1.0 - 1.9
Basilare: 2.0 - 2.5
Gestito: 2.6 - 3.4
Avanzato: 3.5 - 4.0
Gli attacchi ransomware hanno continuato a colpire l’Europa anche nel 2024. Le attività di contrasto da parte delle forze dell’ordine negli ultimi anni hanno effettivamente destabilizzato diversi gruppi criminali specializzati in ransomware, ma hanno anche favorito la nascita di numerosi gruppi scissionistici.
Principali gruppi ransomware
| Gruppo | Numero di vittime dichiarate |
|---|---|
|
LockBit 3.0
|
404
|
|
RansomHub
|
387
|
|
Play
|
308
|
|
Akira
|
250
|
|
Hunters international
|
195
|
Con l’aumento della frequenza degli attacchi, i gruppi cybercriminali hanno ampliato il proprio raggio d’azione, prendendo di mira anche organizzazioni di dimensioni più contenute. Tuttavia, l’impatto medio degli attacchi è diminuito, grazie in parte al rafforzamento dei controlli di sicurezza informatica e a una maggiore preparazione specifica contro il ransomware. A livello globale, il rapporto tra l’importo pagato e l’importo richiesto si è ridotto al 28%, rispetto al 41% del 2023, e l’ammontare medio dei pagamenti effettuati è diminuito del 77%. Sebbene questa diminuzione della gravità rappresenti un quadro promettente, l’aumento della frequenza degli eventi di ransomware rende necessarie linee guida per la segnalazione e la gestione delle notifiche.
Il rischio legato a terze parti – ovvero il rischio potenziale derivante dai fornitori, vendor o partner – ha continuato a rappresentare una sfida significativa. Il punteggio registrato in questo ambito rappresenta un chiaro segnale d’allerta per molte aziende. Gli eventi del 2024 hanno evidenziato l’impatto potenzialmente critico di una violazione subita da terze parti lungo la catena del valore. Le organizzazioni hanno inoltre mostrato performance insufficienti nella gestione della resilienza operativa, inclusi sistemi di backup, risposta agli incidenti e piani di continuità operativa. Gli attacchi di phishing e social engineering sono aumentati di un terzo nel 2024, rappresentando – insieme al furto d’identità e al cracking degli account – quasi un incidente su cinque tra i vettori principali analizzati. La maggior parte degli operatori esaminati nei settori telecomunicazioni, servizi finanziari ed e-commerce ha registrato un incremento degli attacchi fraudolenti, compresi furti d’identità e violazioni di account. Di conseguenza, si prevede che le organizzazioni dedicheranno maggiori risorse e attenzione alla prevenzione delle frodi, alla definizione delle politiche di resilienza e al miglioramento delle procedure operative, al fine di proteggere in modo più efficace l’intero ecosistema digitale.
Le Assicurazioni Cyber e i Regolamenti guidano la Maturità Cyber
Nel corso del 2024, le normative in materia cyber security hanno imposto a un numero crescente di organizzazioni di identificare, valutare e mitigare i propri rischi informatici. La Direttiva NIS2 dell’Unione Europea ha ampliato il perimetro normativo a 18 settori, tra cui energia, trasporti, sanità, finanza e infrastrutture digitali, includendo sia le entità essenziali che quelle importanti all’interno di tali ambiti. La direttiva ha inoltre richiesto agli Stati membri di definire strategie nazionali di sicurezza informatica e di collaborare nella risposta e nell’applicazione delle misure a livello transfrontaliero. Un altro importante intervento legislativo, il Regolamento DORA (Digital Operational Resilience Act), si concentra sulla resilienza operativa digitale delle istituzioni finanziarie – come banche, compagnie assicurative, società di investimento – con l’obiettivo di garantire una maggiore capacità del settore finanziario europeo di resistere e reagire a eventi di grave interruzione operativa.
Nel 2024, mentre le organizzazioni si adeguavano ai requisiti normativi, hanno parallelamente lavorato per ottenere coperture assicurative cyber e sottoscrizioni adeguate – un percorso che ha contribuito a rafforzare ulteriormente la loro postura di sicurezza informatica. Contemporaneamente, il mercato assicurativo ha registrato un aumento della concorrenza. Il panorama europeo delle assicurazioni cyber non è mai stato così accessibile, grazie all’ingresso di nuovi operatori e a un flusso significativo di capitali nel settore. Questo ha portato a una riduzione dei prezzi, oltre a maggiori opportunità e flessbilità in fase di rinnovo e per i nuovi acquirenti.
Variazione dei premi cyber per trimestre (2020-2025)
Variazione media anno su anno (clienti inviariati)
Prezzo mensile per livello di copertura cyber
Variazione media anno su anno (clienti invariati)
L’ampliamento delle coperture si è esteso anche a settori inaspettati, incluso il rischio legato a terze parti. Molti managing general agents (MGS) offrono oggi soluzioni chiavi in mano e pacchetti integrati, che combinano ad esempio servizi di threat hunting o di Endpoint Detection and Response (EDR) con coperture assicurative cyber reattive di ampio respiro, il tutto in un’unica proposta.
Con l’aumento della concorrenza, ci si aspetta che le compagnie assicurative diventino sempre più innovative nei loro prodotti e nelle coperture offerte. Dal punto di vista degli incidenti e delle richieste di risarcimento, gli assicuratori dovranno affrontare sinistri legati a supply chain sempre più complessi, un costante incremento delle notifiche di incidenti, e la necessità di gestire aggiustamenti più articolati nei casi di interruzione operativa.
Azioni Raccomandate
- Conduci un’analisi basata sui dati della postura di rischio cyber della tua organizzazione. Rafforza in particolare le aree legate al rischio di terze parti e alla resilienza operativa.
- Effettua attività di valutazione orizzontale in modo regolare e collabora con altri attori del settore per identificare minacce e criticità specifiche del tuo comparto. Lavora per colmare o ridurre le vulnerabilità emerse.
- Acquisisci una polizza assicurativa cyber ampia, che consideri anche i rischi lungo la supply chain. Utilizza i feedback ricevuti dal mercato assicurativo per orientare la pianificazione delle misure di sicurezza informatica.
- Assicurati che esistano solidi controlli di sicurezza e governance dei dati prima di implementare tecnologie basate sull’Intelligenza Artificiale. Definisci chiaramente i casi d’uso per ogni applicazione di IA e valuta con attenzione i rischi connessi per determinare strategie di mitigazione appropriate.
- Sviluppa politiche chiare sull’utilizzo dell’IA e monitora l’uso non autorizzato di strumenti IA da parte dei dipendenti (shadow AI). Avvia una compagna interna di sensibilizzazione e formazione.
Riferimenti
[1] Update on Cyber Incident: Clinical impact in southeast London – Thursday 26 September 2024. NHS England. https://www.getronics.com/nhs-cyber-attack-2024/
[2] Raphael Yahalom. What the 2024 CrowdStrike Glitch Can Teach Us About Cyber Risk. Harvard Business Review. January 10, 2025.
[3] A growing geopolitical weapon. World Pipelines. Alfred Hamer. December 31, 2024. https://www.worldpipelines.com/
[4] ibid.
[5] Rapporto Clusit 2025. Sulla Cybersecurity in Italia e nel mondo. Clusit. https://www.cybertrends.it/rapporto-clusit-2025/
[6] Tackling evolving fraud threats. Experian, by Forrester Consulting. 2025. https://experianacademy.com/forrester-fraud-research-report-2024
[7] NIS2 Directive: new rules on cybersecurity of network and information systems. European Commission. January 15, 2025. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive#:~:text=The%20NIS2%20Directive%20establishes%20a,and%20cybersecurity%20education%20and%20awareness.
[8] Digital Operational Resilience Act (DORA). European Insurance and Occupational Pensions Authority. https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
I prodotti e i servizi assicurativi sono offerti da Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. of Florida, e dalle loro società affiliate autorizzate.
Le informazioni contenute nel presente documento hanno carattere generale e non si intendono rivolte ad alcuna circostanza specifica relativa ad una persona fisica o giuridica. Le informazioni sono fornite esclusivamente a scopo informativo e non sostituiscono il parere di un consulente legale o di un professionista esperto in materia cyber e non devono essere utilizzate a tale scopo. Pur facendo il possibile per fornire informazioni accurate e aggiornate, basandoci su fonti ritenute affidabili, non possiamo garantire che tali informazioni siano corrette alla data di ricezione né che rimarranno tali in futuro.Resta inteso che il presente documento non rappresenta una polizza di assicurazione, né modifica e sostituisce la stessa.