Quando l’assicurazione dice “no” al digitale: perché cyber e IA stanno diventando rischi (quasi) non assicurabili
C’è un paradosso che fa sorridere amaramente chi lavora nel risk management: più il mondo diventa digitale, più alcune coperture si restringono non perché gli assicuratori “non credano” nel cyber o nell’IA ma perché stanno scoprendo — con una certa brutalità — che alcuni di questi rischi assomigliano meno a un incendio “isolato” e più a un blackout nazionale: eventi correlati, difficili da modellare e con perdite potenzialmente gigantesche.
La cyber insurance continua a generare premi importanti (nel 2024 quasi $15 miliardi a livello globale secondo NAIC) ma il mercato sta reagendo con una ricetta molto precisa: meno ampiezza, più esclusioni, più sotto-limiti, più condizioni di sicurezza.
Sull’IA la musica è ancora più tesa: qui vediamo proprio la spinta a scrivere esclusioni dedicate o a chiedere permessi regolamentari per toglierla dal perimetro di molte polizze liability “generaliste”.
Il problema cyber non è (solo) l’hacker ma la correlazione “catastrofale”
Per anni il cyber è stato trattato come un rischio “tecnico”: breach, ransomware, ripristino, forensics. Poi sono arrivati eventi che hanno fatto capire agli assicuratori una cosa scomoda: un singolo attacco può colpire moltissimi assicurati insieme oppure aprire contenziosi enormi su cosa sia coperto e cosa no.
Case study 1–2: NotPetya, Merck e Mondelez — quando il cyber entra nella categoria “atto ostile”
Nel 2017 NotPetya travolge aziende globali. Il punto assicurativo esplode dopo: alcuni assicuratori provano a negare usando la war/hostile acts exclusion cioè l’idea che se dietro c’è uno Stato allora non è “assicurabile” come sinistro ordinario
Nel 2023 una Corte d’appello del New Jersey conferma che l’esclusione “di guerra” (scritta con logica da conflitto tradizionale) non basta a tagliare fuori automaticamente un malware come NotPetya.
Mondelez vs Zurich: contenzioso da circa $100 milioni chiuso con accordo transattivo nel 2022 ma con lo stesso nervo scoperto: l’assicuratore tenta la carta “war exclusion” per un evento cyber di massa.
Case study 3: Lloyd’s e le “cyber war exclusions” — delimitare per sopravvivere
Dopo anni di ambiguità sul mercato Lloyd’s diventa (di fatto) obbligatorio che le polizze cyber stand-alone contengano un’esclusione per state-backed cyberattacks (salvo accordi specifici).
È il tentativo di proteggere il sistema dal rischio “troppo correlato”.
Se stai leggendo e non se non sei un addetto ai lavori non stanno dicendo “il cyber non si assicura” ma stanno dicendo “il cyber che sembra geopolitica lo vogliamo fuori o almeno separato e prezzato a parte”.
Case study 4: MGM Resorts (2023) — quando un incidente “operativo” vale 9 cifre
MGM stima un impatto di circa $100 milioni (su una metrica di redditività) per l’incidente di settembre 2023 con dieci giorni di disservizi e ricadute legali.
È un esempio perfetto di perché le compagnie irrigidiscono. Qui non stiamo parlando di “dati rubati” e basta ma di business interruption vera e quindi di sinistri che possono diventare enormi anche senza scenari da film.
Case study 5: Change Healthcare / UnitedHealth (2024) — supply chain, MFA mancante e shock sistemico
L’attacco a Change Healthcare ha avuto un effetto a catena su pagamenti e processi sanitari negli USA. In testimonianze pubbliche viene riportato che l’accesso è avvenuto tramite un sistema senza multi-factor authentication e che ci sia stato un pagamento di riscatto di $22 milioni. Questo è il cuore del problema assicurativo: quando un fornitore è “infrastruttura” il sinistro diventa quasi sistemico.
Il problema IA: la perdita non è “un attacco” ma la responsabilità diffusa e imprevedibile
Con l’IA si passa spesso dal campo cyber (attacco esterno) al campo liability: errori, discriminazioni, violazioni IP, misrepresentation, danni da contenuti generati, decisioni automatizzate. Qui il rischio non ha una statistica storica robusta e, soprattutto, può generare claim seriali (molte cause simili, in tanti settori).
Non sorprende quindi che grandi assicuratori abbiano chiesto permessi per introdurre esclusioni o limitazioni esplicite per responsabilità legate all’uso di IA in varie linee.
Case study 6: Air Canada (2024) — il chatbot sbaglia e il giudice non compra la scusa “era l’IA”
In Moffatt v. Air Canada un chatbot fornisce indicazioni errate su una tariffa. La decisione afferma in sostanza che l’azienda può essere responsabile per negligent misrepresentation generata dal chatbot sul suo sito.
È un caso “piccolo” nelle cifre, ma enorme come principio se l’IA parla a nome tuo, potresti risponderne tu.
Case study 7: Workday (2024–2025) — algoritmi di selezione e rischio discriminazione
Nel contenzioso Mobley v. Workday la discussione riguarda se (e quando) strumenti di screening/decisione possano produrre discriminazioni e quale sia la responsabilità di vendor e utilizzatori. La EEOC è intervenuta con un amicus brief sostenendo che anche un fornitore può rientrare nei perimetri delle leggi anti-discriminazione, a certe condizioni.
Questo tipo di rischio spaventa gli assicuratori perché non è “one-off”: può replicarsi su larga scala, con class action e danni reputazionali.
Quindi le Compagnie stanno davvero “uscendo”?
In pratica stanno facendo tre mosse:
1. Segmentazione: cyber sì ma separato e con esclusioni su eventi statali/catastrofali.
2. Underwriting condizionale: copertura solo se l’assicurato dimostra controlli minimi (MFA, backup, EDR, governance). Il caso Change Healthcare ha reso questi requisiti politicamente e tecnicamente inevitabili.
3. Esclusioni IA: invece di “prezzare l’ignoto”, molte compagnie cercano di toglierlo dal perimetro delle polizze liability standard o di riscriverne definizioni e confini. )
Il settore assicurativo non è diventato improvvisamente codardo, sta facendo quello che fa sempre quando il rischio smette di essere “statistico” e diventa “sistemico”.
NotPetya ha mostrato l’ambiguità delle esclusioni; Lloyd’s ha risposto con clausole più dure; MGM e Change Healthcare hanno mostrato quanto può costare la dipendenza digitale; Air Canada e Workday mostrano che l’IA non è solo un tool ma una nuova sorgente di responsabilità.
La conseguenza per imprese e professionisti è chiara: chi vuole coperture, dovrà presentarsi al mercato con governance, controlli e tracciabilità (cyber) e con processi di validazione, audit, human-in-the-loop e documentazione.
Il futuro non è “niente assicurazione” ma “assicurazione più tecnica più contrattuale e molto meno indulgente”.
Fonti:
[1]: https://content.naic.org/sites/default/files/inline-files/2025_Cybersecurity_Insurance%20Report.pdf?utm_source=chatgpt.com "1 REPORT ON THE CYBERSECURITY INSURANCE ..."
[2]: https://www.ft.com/content/abfe9741-f438-4ed6-a673-075ec177dc62?utm_source=chatgpt.com "Insurers retreat from AI cover as risk of multibillion-dollar ..."
[3]: https://www.stblaw.com/about-us/publications/view/2023/05/31/new-jersey-appellate-court-affirms-that-war-exclusion-does-not-bar-coverage-for-malware-claims-%28insurance-law-alert%29?utm_source=chatgpt.com "New Jersey Appellate Court Affirms That War Exclusion ..."
[4]: https://www.insurancetimes.co.uk/news/cadbury-owner-settles-legal-battle-with-zurich-over-100m-notpetya-cyber-claim/1442951.article?utm_source=chatgpt.com "Cadbury owner settles legal battle with Zurich over $100m ..."
[5]: https://www.cliffordchance.com/insights/resources/blogs/insurance-insights/2023/09/lloyds-cyber-war-exclusion.html?utm_source=chatgpt.com "Lloyd's cyber war exclusion"
[6]: https://www.sec.gov/ixviewer/ix.html?doc=%2FArchives%2Fedgar%2Fdata%2F789570%2F000119312523251667%2Fd461062d8k.htm&utm_source=chatgpt.com "MGM Resorts International"
[7]: https://www.ibm.com/think/news/change-healthcare-22-million-ransomware-payment?utm_source=chatgpt.com "Change Healthcare discloses USD 22M ransomware ..."
[8]: https://www.mccarthy.ca/en/insights/blogs/techlex/moffatt-v-air-canada-misrepresentation-ai-chatbot?utm_source=chatgpt.com "Moffatt v. Air Canada: A Misrepresentation by an AI Chatbot"
[9]: https://www.reuters.com/legal/transactional/eeoc-says-workday-covered-by-anti-bias-laws-ai-discrimination-case-2024-04-11/?utm_source=chatgpt.com "EEOC says Workday must face claims that AI software is biased"
