La crescita del digitale e l’informatizzazione del lavoro mette a rischio le realtà imprenditoriali di vendita off-line e on-line. Tra Cyber Risk, GDPR , software e sistemi IT di gestione, nessuno è escluso. Se difendersi è possibile ma non del tutto sicuro, assicurarsi è l’unica forma di tutela possibile.
Non solo acquistare, ma anche vendere online può nascondere insidie molto gravi. Secondo le statistiche, nel 2017 le società di vendita al dettaglio e di hospitality hanno dovuto affrontare una serie di episodi di hacking e malware più di quanto abbiano mai fatto in passato. Degli incidenti registrati circa la metà degli attacchi informatici avevano compromesso la piattaforma di e-commerce, mentre l’altra metà registrava atti di compromissione dei propri sistemi informatici causati dal POS, ovvero dallo strumento che consente di accettare pagamenti con carte di credito e di debito attraverso chip e banda magnetica.
Va da sé che distinguere fra un’assicurazione per un negozio fisico da un’assicurazione per un e-commerce cambia nella forma ma non nella sostanza. Il perché è molto semplice. Con l’avanzamento tecnologico la realtà risulta essere sempre più informatizzata: la logistica di magazzino, le spedizioni, i social network, il digital marketing, il telemarketing, la digitalizzazione dei metodi di pagamento (POS, PayPal, carta di credito) ha messo sulla graticola tutti coloro i quali abbiano un’attività imprenditoriale. Con le nuove disposizioni europee sul cyber risk e sul nuovo GDPR sulla protezione dei dati, il rischio di venire paralizzati da un attacco informatico o addirittura di fallire in seguito a questo è molto alto, a meno che non si ci si sia adeguatamente coperti con una misura di protezione tanto informatica quanto assicurativa, per l’appunto, una polizza Cyber Risk.
In generale possiamo affermare che, dal punto di vista di rischio informatico le minacce cui i venditori sono soggetti includono:
– ransomware
– compromissione dell’e-commerce
– compromissione dell’ambiente aziendale
– compromissione del POS
– phishing delle credenziali dell’utente per spostarsi in tutti gli ambienti (quindi spingere il malware per la raccolta di schede su dispositivi POS).
Rischi legati a internet
Che l’e-commerce abbia aperto nuovi business è innegabile. In questi anni abbiamo assistito a diverse realtà nate come piccole realtà imprenditoriali divenute autentici leader di mercato grazie alla vendita online. Parallelamente diverse realtà che oggi detengono la maggioranza di mercato sono native digitali. Ma che si tratti di multibrand presente anche online, come Luisa Via Roma, a chi nella rete ci è nato, come Yoox – per fare un esempio nel canale moda – da entrambi le parti alto è il rischio di un problema di sicurezza informatica e protezione dei dati. Considerato l’enorme investimento di denaro ed energie che un negozio online richiede, è fondamentale scegliere l’assicurazione migliore che protegga il negozio e il negoziante da eventuali furti di dati sensibili dei clienti, attacco alla logistica o danni alla merce.
Rischi legati al POS
Quella della clonazione e dell’accesso ai dati tramite carta di credito è un problema assai diffuso e concreto. Oltretutto la crittografia point-to-point potrebbe sfociare in malware stymied, aggravando la situazione dell’azienda/negozio.
In due delle più grandi violazioni al dettaglio segnalate alla nostra compagnia nel 2017, gli aggressori hanno ottenuto l’accesso agli ambienti aziendali attraverso il phishing e si sono spostati all’interno delle reti aziendali e di alcuni affiliati. Gli aggressori sono stati in grado di inviare malware ai dispositivi POS per raccogliere i dati delle carte dalle transazioni con carta presente.
Se la crittografia point-to-point (P2PE) fosse stata implementata correttamente in queste due situazioni, è improbabile che le transazioni relative alle carte potessero essere state prese dal malware. Pertanto, gli assicurati non avrebbero dovuto affrontare le valutazioni PCI se avessero implementato il P2PE.
Poteva andare peggio di così: gli hacker avrebbero potuto prendere altre informazioni sensibili memorizzate sulle reti, come informazioni sui dipendenti, informazioni sui premi / soci, o schede immesse tramite qualsiasi piattaforma di e-commerce. Fortunatamente ciò non è avvenuto, ma nulla toglie che il rischio sia grande.
Come difendersi dunque? Stiliamo qui un breve vademecum che possa aiutare i negozianti al dettaglio e online a proteggersi dal furto dei dati.
• Implementare correttamente P2PE.
• Distribuire software di crittografia end-to-end. La crittografia fine trasforma i dati delle carte di pagamento in una sequenza indecifrabile di caratteri non appena viene letta la carta. I dati rimangono crittografati durante il trasferimento poiché vengono inviati attraverso la rete al processore di pagamento. È leggibile solo da parti autorizzate che sono in possesso della chiave di decifrazione segreta.
• Implementare una soluzione di tokenizzazione. Quella della tokenizzazione è una funzione di sicurezza che sostituisce i numeri delle carte di pagamento in transito con valori “token” privi di significato per gli attaccanti. Un token univoco viene assegnato a ciascuna carta e memorizzato su un server sicuro, quindi il sistema di elaborazione associa una carta al suo token. Poiché il numero della carta stessa non viene mai inviato attraverso la rete, la tokenizzazione riduce drasticamente il rischio di compromissione. La crittografia e la tokenizzazione end-to-end possono essere implementate separatamente, ma forniscono una sicurezza più robusta se utilizzate insieme.
• Aggiornare l’hardware del sistema POS per assicurarsi che supporti le ultime tecnologie e funzionalità di sicurezza. Allo stesso modo, mantiene aggiornati i sistemi operativi dei dispositivi POS installando le patch per le vulnerabilità della sicurezza non appena diventano disponibili e gestisci il software antivirus.
• Segmentare la rete in modo che tutti i dati e i computer relativi al POS si trovino su segmenti isolati. In questo modo, anche se gli hacker acquisiscono credenziali per la tua rete principale, non saranno in grado di accedere direttamente ai dati delle carte di pagamento dei consumatori.
• Acquistare dispositivi POS che accettano carte di pagamento EMV (chip-and-PIN).
• Impostare password complesse per i dispositivi POS. Assicurati che non stiano utilizzando le credenziali predefinite.
• Implementare l’autenticazione a più fattori (MFA) per l’accesso remoto alla rete. Ad esempio, è possibile richiedere ai provider di servizi di utilizzare una password oltre a un’altra forma di autenticazione, ad esempio un codice inviato al cellulare della persona che effettua l’accesso.
Cyber Attack e GDPR: l’unica soluzione è essere assicurati
Attuare tutte le buone pratiche informatiche è cosa buona e giusta. Tuttavia, a volte, non è sufficiente. I rischi aumentano man mano che la tecnologia avanza e spesso le nuove modalità di attacco vengono scoperte dopo che il danno è stato subito. Per questo occorre tutelarsi anche con un’assicurazione adeguata a rispondere ai danni.
Qualora abbiate un negozio, reale o virtuale che sia, stipulare una polizza contro i rischi provenienti dalla rete è obbligatorio in quanto garantirà la copertura dei danni in caso di accesso non autorizzato ai dati di proprietà dei clienti, agli archivi, ai programmi software e all’eventuale uso illecito o diffusione degli stessi dati prelevati.
La polizza che raggruppa questi danni è nota come polizza Cyber Risk.
Polizza Cyber Risk: come calcolare il rischio
Và da sé che un’assicurazione Cyber Risk è naturalmente fondamentale per un negozio online ma altrettanto importante per un negozio fisico. Nel momento in cui stipulerete una polizza Cyber Risk, l’assicurazione dovrà tenere conto dei seguenti fattori:
• la dimensione aziendale
• il fatturato della vostra realtà imprenditoriale
• le cariche amministrative
• numero dei dipendenti
• numero e qualità dei fornitori
La polizza si aggiungerà alle più classiche assicurazioni che un negozio deve necessariamente sottoscrivere affinché la propria attività e la propria merce sia tutelata da furti e incidenti.
*Le informazioni riportate non costituiscono contratto e non impegnano il broker o l’assicuratore per il quale valgono le condizioni contrattuali sottoscritte tra le parti. Leggere attentamente il set informativo di polizza prima della sottoscrizione.
