Cybersecurity e navi: dal 2021 servirà la certificazione cyber risk management system

Contributo a cura di Alberto Scala *

* managing director P.L. Ferrari & Co – Ferrara office 

È ormai a tutti noto che gli eventi di pirateria informatica, i c.d. attacchi cyber, rappresentano la nuova  minaccia e ogni giorno se ne hanno esempi in tutti i campi. Lo shipping non è ovviamente esente e di recente, secondo quanto rilevano alcuni esperti, l’incremento è stato notevole (si pensi agli attacchi contro Msc e contro l’australiana Toll Group solo per citarne alcuni noti).

Abbiamo tuttavia l’impressione che la comunità internazionale, anche dello shipping, non abbia ancora del tutto recepito l’entità di tale minaccia anche se qualcosa comincia a muoversi a livello di regolamentazione.

L’International Maritime Organization(IMO) ha ritenuto opportuno implementare la risoluzione MSC 428/98 introducendo il Cyber Risk Management nel sistema SMS (Safety Management System) attraverso il quale anche i rischi cyber dovranno essere verificati e valutati in maniera appropriata, sempre nell’ottica di migliorare la sicurezza della navigazione e di prevenire incidenti in mare. Dal 1 gennaio 2021 sarà quindi obbligatorio per le navi  avere una certificazione che comprovi la valutazione dei suddetti rischi (cyber risk management system) nell’ambito del proprio sistema SMS.

Nell’ambito della copertura P&I non vi sono particolari problemi in caso di attacchi cyber, in quanto la stessa continua a operare e a coprire le responsabilità della nave anche in caso di pirateria informatica, attacchi di hacker etc. Vi è tuttavia un’eccezione: sono esclusi gli attacchi se gli stessi possono essere considerati un atto di guerra o terroristico. La copertura P&I presenta infatti una esclusione per sinistri che derivano da rischi guerra/terrorismo, tuttavia attraverso un meccanismo di riassicurazione la copertura P&I viene reintegrata, ma con certi limiti e massimali più bassi rispetto a quelli applicati alla copertura standard P&I dai Clubs dell’International Group.

Il ripristino della copertura P&I viene predisposto attraverso la P&I War Risk Clause, usualmente tramite il piazzamento della copertura Rischi Guerra della polizza Corpi, fino al valore nave, ed in eccesso con un massimale di 500 milioni di dollari (per evento) dall’International Group. Vi sono però anche qui delle eccezioni e proprio gli eventi derivanti da attacchi cyber e da virus informatici sono esclusi: sempre che abbiano le caratteristiche di ricadere in un atto di guerra o terroristico, altrimenti come già detto un attacco da parte del solito hacker non presenta problemi di scopertura.

L’International Group ha comunque attivato una copertura apposita denominata Supplemental Cover 2004 Bio-Chemical Risks nella quale sono compresi anche alcuni sinistri derivanti da un attacco cyber (sempre nell’ottica guerra/terrorismo)  e più precisamente quelli che coinvolgono 1) infortuni, malattia e morte dei marittimi con relative spese e compensi oppure 2) spese effettuate per evitare o mitigare un sinistro che sarebbe ricaduto nell’assicurazione P&I.

Permane comunque un’esclusione totale se l’attacco Cyber è fatto appositamente per rendere la nave o il suo carico uno strumento di distruzione, come se fossero un’arma di guerra, e anche quando i computer o il sistema informatico sono utilizzati per lanciare o guidare un missile o altro meccanismo distruttivo.

In conclusione l’attenzione verso i rischi che derivano da un uso maligno dei computer avrà sempre più rilevanza per le navi e per lo shipping in generale, ma anche dal punto di vista assicurativo si dovranno offrire prodotti che possano proteggere in maniera adeguata le società di navigazione e gli operatori nello shipping.