supersqualo
Privacy & Sicurezza

Cyber insurance per aziende che usano IA: cosa coprono davvero

Hai una polizza cyber. Pensi che ti copra anche per incidenti IA. Probabilmente no. Esclusioni IA, clausole silent AI, casi non risarciti. Cosa controllare nella polizza nel 2026.

Di Super Squalo·5 min lettura
Nota. Avvertenza onesta: questo è un settore che si muove veloce. Sto dietro alle guide come posso, ma se stai leggendo questo articolo dopo qualche mese conviene verificare se qualche dettaglio è cambiato. Se ti serve, sono qui.

Maggio 2024. Una PMI italiana subisce frode CEO via deepfake voice, perde 180.000 euro. Chiama l’assicuratore: polizza cyber attiva da tre anni. Risposta: «Frode da impersonificazione esclusa, lei avrebbe dovuto verificare l’identità del chiamante». Caso reale, raccontato anonimamente al convegno ANRA 2024. Le cyber insurance stanno aggiornando le polizze per coprire (o escludere) rischi IA, e tu probabilmente hai una polizza scritta nel 2022 che non sa cosa sia un prompt injection. Vediamo cosa controllare nel 2026.

Cosa coprono di solito

Una polizza cyber moderna in EU copre tipicamente.

  • Data breach: costi notifica GDPR, forensics, comunicazione clienti.
  • Ransomware: alcune coprono il riscatto, altre no (sempre meno lo coprono).
  • Business interruption: perdita ricavi durante outage cyber.
  • Responsabilità civile verso terzi.
  • Sanzioni regulatory (con limiti, in EU complicato per principio non assicurabilità sanzioni amministrative).

Cosa NON coprono spesso

  • Frode CEO/BEC: tipicamente in polizza separata (crime/fidelity), non cyber. Il caso Arup andrebbe lì, non sulla cyber.
  • Decisioni IA errate: se il tuo modello scoring credito discrimina, è problema E&O (errors and omissions) o D&O, non cyber standard.
  • Allucinazioni LLM con danno a terzi: caso Air Canada 2024 (chatbot che inventa policy di rimborso, tribunale condanna l’azienda). Polizza cyber spesso esclude.
  • Violazione copyright training data: causa NYT vs OpenAI insegna. Esclusione frequente per IP.
  • Model theft: l’estrazione del tuo modello via API non rientra in «data breach» classico.
  • Silent AI: rischi IA non esplicitamente menzionati. Lloyd’s ha pubblicato bollettini chiedendo agli underwriter di esplicitare posizione.

Casi reali

  • Air Canada vs Moffatt (febbraio 2024): chatbot inventa policy bereavement, tribunale BC condanna a risarcire. Cyber non copre.
  • NYT vs OpenAI (2023-in corso): cause IP miliardarie. Esclusioni IP standard nelle cyber.
  • Caso Arup (2024): 25M deepfake. Probabile copertura crime, non cyber.
  • SolarWinds, Colonial Pipeline (storici): hanno mostrato i limiti delle coperture cyber sui ricavi indiretti, principio applicabile a outage IA.

Cosa chiedere al broker

  • Definizione di evento: include attacchi specifici a sistemi IA (prompt injection, data poisoning, model extraction)?
  • Esclusioni AI esplicite: c’è clausola «artificial intelligence exclusion»? Cosa esclude esattamente?
  • Copertura supply chain: se il tuo provider LLM (OpenAI, Anthropic) ha breach e i tuoi dati leakano, sei coperto?
  • Decisioni automatizzate: copertura per cause GDPR art. 22 (decisioni automatizzate)?
  • Deepfake e social engineering: dove cade? Cyber, crime, o nessuno?
  • Massimali realistici: una multinazionale con AI Act sanzioni potenziali al 7% fatturato globale (sistemi vietati) ha bisogno di limiti adeguati.
  • Clausole NIS2: per soggetti rilevanti, conformità richieste come precondizione di copertura.

Difesa organizzativa

  • Risk register IA aggiornato: l’assicuratore lo chiederà, e ti aiuta a negoziare premio.
  • Mappa polizze: cyber, crime, E&O, D&O, RC professionale. Verifica gap e sovrapposizioni.
  • Broker specializzato IA: AON, Marsh, Willis hanno team dedicati. Broker generalista nel 2026 non basta.
  • Threat modeling MITRE ATLAS documentato: dimostri governance, abbassi premio.
  • Conformità AI Act: per sistemi alto rischio, gap analysis e remediation. Non conformità = rifiuto sinistri.
  • Incident response playbook: se l’assicuratore richiede notifica entro 24h e tu te ne accorgi dopo 30 giorni, perdi copertura.

Cosa NON fare

  • Non rinnovare la polizza 2022 senza addendum IA esplicito.
  • Non assumere che «cyber» copra qualsiasi evento informatico.
  • Non sottoscrivere dichiarazioni inesatte sulla maturità AI governance: rescissione contrattuale è immediata.
  • Non pagare riscatto ransomware senza autorizzazione assicuratore: rischi non rimborso.
  • Non dimenticare i sublimiti: massimale aggregato 5M, ma sublimite social engineering 250K. Lo scopri al sinistro.

Cyber insurance per aziende IA nel 2026 è un cantiere aperto. Le polizze stanno cambiando rapidamente, le esclusioni si moltiplicano, i massimali specifici nascono ora. La polizza che ti rassicurava nel 2023 oggi può essere tre buchi e una clausola minacciosa. Mezza giornata col broker giusto vale più di sei mesi di sonni tranquilli su una copertura inesistente.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza