Nel 2026, il 68% delle PMI italiane colpite da ransomware ha subito un fermo operativo medio di 12 giorni (fonte: Clusit 2026). Una cyber insurance (polizza cyber risk) copre i costi di ripristino, business interruption e responsabilità verso terzi, con premi a partire da 500 €/anno per micro-imprese. BullTech Informatica, MSP certificato ISO 27001 dal 2009 a Vimercate (MB), accompagna le PMI nella scelta della polizza e nell'implementazione dei controlli di sicurezza che riducono il premio fino al 30%.
Cyber Insurance in Italia 2026: i numeri chiave
68%
PMI colpite da ransomware con fermo >7gg
500€
Premio annuo minimo micro-impresa
-30%
Sconto con MFA + EDR + backup
12gg
Fermo operativo medio post-attacco
Fonti: Rapporto Clusit 2026, IVASS, BullTech dati clienti 2024-2026
Cos'è la Cyber Insurance?
La cyber insurance (assicurazione cyber, polizza cyber risk) è una polizza assicurativa che copre i danni finanziari causati da incidenti informatici: ransomware, data breach, phishing, errori di configurazione. Nel 2026, i premi per le PMI italiane partono da 500 euro/anno per micro-imprese e arrivano a 25.000+ euro/anno per medie imprese con coperture fino a 5 milioni di euro. BullTech Informatica aiuta le PMI a ottenere la polizza implementando i controlli di sicurezza (MFA, EDR, backup 3-2-1) che riducono il premio fino al 30%.
Indice dei Contenuti
Che Cos'è la Cyber Insurance
La cyber insurance (o polizza informatica, polizza cyber risk) è un'assicurazione che copre i costi associati a incidenti informatici: data breach, ransomware, attacchi hacker, errori di configurazione che espongono dati, furto di dispositivi con dati sensibili.
È come un'assicurazione casa: non impedisce il furto, ma ti copre i costi di ripristino. La cyber insurance non previene gli attacchi (serve la cybersecurity per quello), ma ti protegge finanziariamente quando accadono.
Cosa Copre (e Cosa No) una Polizza Cyber
Le coperture variano tra compagnie, ma ecco cosa tipicamente è incluso e cosa è escluso:
Tipicamente Coperto
- Costi di risposta agli incidenti (forensics, legali, PR)
- Notifica ai soggetti interessati (GDPR)
- Costi di recupero dati e ripristino sistemi
- Perdita di reddito durante l'interruzione (business interruption)
- Riscatto ransomware (in alcune polizze)
- Costi di difesa legale e sanzioni GDPR (fino a limiti)
- Crisis management e comunicazione
Tipicamente Escluso
- Danni reputazionali a lungo termine (perdita clienti futura)
- Perdita di valore azionario
- Incidenti causati da negligenza grave o frode interna
- Attacchi da parte di stati (cyber warfare)
- Problemi noti pre-esistenti alla polizza
- Costi di miglioramento della sicurezza post-incidente
- Danni fisici a persone o cose (covered da altre polizze)
Quanto Costa una Polizza Cyber
I premi dipendono da diversi fattori: fatturato, settore (sanità e finanza pagano di più), misure di sicurezza esistenti, storia degli incidenti, copertura richiesta.
| Dimensione PMI | Copertura | Premio annuo indicativo |
|---|---|---|
| Piccola (fino a €2M fatt.) | €500k-1M | €1.500-5.000 |
| Media (€2-10M fatt.) | €1-3M | €5.000-15.000 |
| Grande (€10-50M fatt.) | €3-10M | €15.000-50.000 |
| Enterprise (50M+ fatt.) | €10M+ | €50.000-200.000+ |
Costi Polizza Cyber 2026: Dettaglio per Fascia di Fatturato
Ecco i premi indicativi per il 2026 in base al fatturato aziendale e al massimale di copertura richiesto. I valori includono la copertura standard (ransomware, data breach, business interruption, costi legali GDPR):
| Fatturato azienda | Premio annuo da | Massimale |
|---|---|---|
| Fino a €1M | €500 | €250.000 |
| €1M – €5M | €1.500 | €500.000 |
| €5M – €20M | €5.000 | €2.000.000 |
Dati indicativi 2026. I premi reali variano in base a settore, misure di sicurezza adottate e compagnia assicurativa. Aziende con MFA, EDR e backup 3-2-1 ottengono sconti del 15-30%.
Risorse correlate
Implementa i controlli richiesti dalle compagnie assicurative
Conformità NIS2 e riduzione del premio assicurativo
Piano di risposta agli incidenti: prerequisito per molte polizze
Protezione reti industriali: PLC, SCADA e dispositivi IoT connessi
Sconti disponibili: molte compagnie offrono sconti del 10-30% se dimostri di avere misure di sicurezza adeguate: MFA su tutti gli account, EDR su tutti gli endpoint, backup testati, formazione dei dipendenti, vulnerability management.
Costi Polizza Cyber 2026: Confronto per Tipo di Azienda
Nella pratica, il fattore che determina il costo più di ogni altro è la dimensione aziendale combinata alle misure di sicurezza adottate. Ecco la tabella aggiornata con i range realistici per il mercato italiano nel 2026:
| Tipo azienda | Premio annuale | Massimale | Include |
|---|---|---|---|
| Micro PMI (<10 dip.) | €500–€1.500/anno | €250.000 | Ransomware, data breach, notifica GDPR |
| PMI (10–50 dip.) | €2.000–€8.000/anno | €500.000–€1M | Ransomware, data breach, business interruption, notifica GDPR |
| Media impresa (50–200 dip.) | €8.000–€25.000/anno | €1M–€5M | Tutto sopra + responsabilità verso terzi, crisis management |
Dati indicativi 2026. Aziende con MFA, EDR e backup 3-2-1 ottengono sconti del 15-30%. I premi reali dipendono da settore, storia degli incidenti e compagnia assicurativa scelta.
Per ottenere i controlli di sicurezza che abbassano il premio, consulta il nostro servizio di certificazione ISO 27001: costi e tempi e la pagina sul nostro servizio di compliance IT, che include i controlli di sicurezza richiesti dalla maggior parte delle compagnie assicurative.
Requisiti per Ottenere una Polizza Cyber
Le compagnie assicurative sono diventate molto più selettive. Per ottenere una polizza (o per non pagare cifre esorbitanti), devi dimostrare di avere controlli di sicurezza di base:
MFA (Multi-Factor Authentication)
Obbligatorio su email, cloud, VPN, accessi remoti
Backup testati
Backup 3-2-1 con test di ripristino documentati
EDR/Antivirus aziendale
Su tutti gli endpoint, gestito e monitorato
Email security
Filtraggio anti-phishing, sandboxing allegati
Patch management
Processo documentato di aggiornamento sistemi
Formazione dipendenti
Security awareness training almeno annuale
Checklist PMI per Richiedere un Preventivo Polizza Cyber
Prima di contattare una compagnia assicurativa, prepara questi documenti e informazioni: le aziende che si presentano con la documentazione completa ottengono premi del 20-30% inferiori.
Inventario sistemi e dati
Numero di PC, server, dispositivi mobili, dati sensibili trattati (clienti, dipendenti, salute). Le compagnie valutano la superficie di attacco.
MFA attivo su tutti gli accessi remoti
Documenta che hai l’autenticazione a due fattori su email, VPN, cloud (Microsoft 365, Google Workspace). È il requisito minimo per la maggior parte delle polizze.
Backup 3-2-1 con test documentati
3 copie, 2 supporti diversi, 1 copia offsite. Porta evidenza di almeno un test di ripristino negli ultimi 6 mesi. Senza questo, molte compagnie rifiutano la polizza.
EDR/Antivirus aziendale su tutti gli endpoint
Soluzione gestita e monitorata (non solo antivirus consumer). Bitdefender GravityZone, SentinelOne, CrowdStrike sono accettate dalle principali compagnie.
Adeguamento NIS2 (se applicabile)
Se la tua azienda rientra nel perimetro NIS2, documenta i progressi di adeguamento: incident response plan, analisi dei rischi, formazione personale. Le compagnie premiano le aziende NIS2-compliant con sconti del 15-25%.
Storico degli incidenti negli ultimi 3 anni
Dichiara onestamente ogni incidente informatico (data breach, ransomware, accessi non autorizzati). Omissioni possono invalidare la polizza in caso di sinistro.
Audit di sicurezza recente (entro 6 mesi)
Un report di vulnerability assessment o penetration test recente abbassa il premio del 20-30% e permette di correggere i gap prima del colloquio con l’assicuratore.
Cyber Insurance e NIS2: Cosa Cambia nel 2026
La direttiva NIS2, pienamente operativa dal 2025, ha cambiato il mercato della cyber insurance in Italia. Le compagnie assicurative ora usano la compliance NIS2 come indicatore di maturità informatica dell'azienda. Ecco cosa significa per le PMI:
NIS2 abbassa il premio del 20-30%
Le aziende che dimostrano un piano di adeguamento NIS2 in corso (incident response, analisi rischi, formazione) ottengono sconti significativi perché i requisiti NIS2 coincidono con quelli delle compagnie.
Obbligo di notifica = obbligo di copertura
La NIS2 impone la notifica degli incidenti entro 24 ore. I costi di gestione della notifica (legali, forensics, comunicazione) sono coperti dalla cyber insurance. Senza polizza, ricadono interamente sull’azienda.
Sanzioni NIS2 fino a 10M€ o 2% del fatturato
Le sanzioni NIS2 possono essere devastanti per una PMI. Alcune polizze cyber coprono parzialmente le sanzioni amministrative e tutti i costi di difesa legale.
Supply chain: i fornitori NIS2 chiedono la polizza
Le aziende soggette a NIS2 devono verificare la sicurezza della supply chain. Sempre più spesso chiedono ai fornitori di avere una cyber insurance come requisito contrattuale.
Per approfondire i requisiti NIS2 e iniziare il percorso di adeguamento, leggi la nostra guida sulle scadenze NIS2 2026 e consulta il nostro servizio di adeguamento NIS2.
Come Scegliere la Polizza Giusta
Ecco i criteri per valutare e confrontare le offerte:
- Limite di copertura — Quanto pagherebbe la compagnia in caso di incidente? Deve essere proporzionato al tuo rischio
- Scoperto (deducibile) — Quanto paghi tu prima che scatti l'assicurazione? Tipicamente €5.000-25.000 per PMI
- Copertura ransomware — Copre il pagamento del riscatto? Ci sono limiti?
- Rete di assistenza — Chi interviene in caso di incidente? La compagnia ha partner forensics, legali, PR?
- Tempi di risposta — Quanto tempo hai per notificare un incidente? Quali sono gli SLA di intervento?
- Esclusioni chiare — Leggi attentamente cosa NON è coperto per non avere brutte sorprese
Domande Frequenti
La cyber insurance copre il pagamento del riscatto ransomware?
Dipende dalla polizza. Molte cyber insurance coprono i costi di riscatto (ransom payment), ma è una pratica controversa: alcuni governi stanno limitando questa copertura perché incentiva i criminali. Altre polizze coprono i costi di recovery senza pagare il riscatto. Verifica sempre questa clausola specifica e valuta se preferisci una polizza che copre il riscatto o una che finanzia il ripristino alternativo.
Quanto costa una cyber insurance per una PMI?
I premi variano in base a fatturato, settore, misure di sicurezza esistenti e copertura richiesta. Indicativamente: PMI piccola (fino a €2M fatturato): €1.500-5.000/anno per €500k-1M di copertura. PMI media (€2-10M fatturato): €5.000-15.000/anno per €1-3M di copertura. PMI grande (€10-50M fatturato): €15.000-50.000/anno per €3-10M di copertura. Aziende con misure di sicurezza avanzate (MFA, EDR, backup testati) ottengono sconti significativi.
L'assicurazione cyber sostituisce la cybersecurity?
Assolutamente no. L'assicurazione è l'ultima linea di difesa, non la prima. Le compagnie richiedono misure di sicurezza minime (MFA, backup, antivirus) per emettere la polizza e possono rifiutare il rimborso se l'azienda era negligentemente insicura. Inoltre, l'assicurazione non copre danni reputazionali, perdita di clienti, calo di fatturato durante l'interruzione. La cybersecurity rimane fondamentale; l'assicurazione è il paracadute di riserva.
Cosa succede se non dichiaro un incidente precedente quando faccio la polizza?
La compagnia può annullare la polizza o rifiutare il rimborso se scopre che hai omesso incidenti precedenti o che le tue dichiarazioni sui controlli di sicurezza erano false. La buona fede è fondamentale nelle assicurazioni cyber. Alcune polizze hanno periodi di 'look-back' che escludono incidenti noti prima della stipula. Dichiara sempre tutto in modo trasparente.
La cyber insurance copre anche errori dei dipendenti?
Sì, la maggior parte delle polizze cyber copre incidenti causati da errore umano (phishing, invio email a destinatario sbagliato, perdita di dispositivo). Questo è uno dei vantaggi principali: anche se il dipendente ha commesso un errore, l'assicurazione interviene. Attenzione però: se l'errore è stato gravemente negligente (es. condividere password pubblicamente per mesi), la compagnia potrebbe contestare la copertura.
La cyber insurance è obbligatoria per la compliance NIS2?
No, la direttiva NIS2 non impone l'obbligo di una polizza cyber insurance. Tuttavia, la NIS2 richiede misure di gestione del rischio informatico, e una polizza cyber può essere parte della strategia di mitigazione. Molte aziende soggette a NIS2 la stipulano come ulteriore livello di protezione finanziaria. Inoltre, avere controlli di sicurezza NIS2-compliant (MFA, incident response plan, backup) ti aiuta a ottenere premi assicurativi più bassi.
Quanto costa una cyber insurance per una PMI nel 2026?
Nel 2026 i premi sono saliti del 10-15% rispetto al 2024, a causa dell'aumento degli attacchi ransomware. Per una PMI con fatturato fino a 5 milioni di euro: aspettati 2.000-8.000 euro/anno per una copertura di 500k-2M euro. Fattori che abbassano il premio: MFA attivo su tutti gli account, EDR su tutti gli endpoint, backup 3-2-1 testati, formazione anti-phishing documentata, piano di incident response. Un assessment di sicurezza preliminare può farti risparmiare il 20-30% sul premio.
Quanto costa una polizza cyber per PMI? Prezzi 2026 per dimensione aziendale
I costi indicativi 2026 per dimensione aziendale: Micro (<10 dipendenti) — 500-1.500 euro/anno per massimale di 250.000 euro (copre ransomware e data breach). PMI (10-50 dipendenti) — 1.500-3.000 euro/anno per massimale di 500.000 euro (+ business interruption). Media impresa (50-250 dipendenti) — 3.000-8.000 euro/anno per massimale di 1.000.000 euro (+ responsabilità verso terzi). Aziende con MFA, EDR e backup 3-2-1 ottengono sconti del 15-30% rispetto ai prezzi indicativi.
Cosa copre la cyber insurance?
Una polizza cyber tipica copre: costi di risposta agli incidenti (forensics, legali, PR), notifica obbligatoria ai soggetti interessati (GDPR), costi di recupero dati e ripristino sistemi, perdita di reddito durante l’interruzione operativa (business interruption), riscatto ransomware (in alcune polizze), costi di difesa legale e contributo per sanzioni GDPR. Non sono tipicamente coperti: danni reputazionali a lungo termine, perdita di valore azionario, attacchi da stati stranieri (cyber warfare), problemi pre-esistenti noti al momento della stipula.
Serve la ISO 27001 per la cyber insurance?
La certificazione ISO 27001 non è obbligatoria per ottenere una polizza cyber, ma riduce il premio del 15-30% perché dimostra alle compagnie assicurative che l’azienda ha un Sistema di Gestione della Sicurezza delle Informazioni strutturato. Le compagnie valutano positivamente: MFA su tutti gli accessi remoti, EDR attivo, backup testati con cadenza trimestrale, piano di incident response documentato, formazione annuale del personale. Avere l’adeguamento NIS2 in corso abbassa ulteriormente i premi, perché molti dei requisiti NIS2 coincidono con quelli richiesti dalle assicurazioni.
Conviene fare un audit di sicurezza prima di richiedere una cyber insurance?
Sì, un audit di sicurezza preliminare è quasi sempre conveniente: ti permette di identificare le vulnerabilità che le compagnie assicurative potrebbero usare per rifiutare la polizza o alzare il premio, e ti consente di colmarle prima del colloquio con l'assicuratore. In media, le aziende che presentano un audit di sicurezza recente (meno di 6 mesi) ottengono premi del 20-30% più bassi rispetto a chi si presenta senza documentazione. Un audit di sicurezza base per una PMI con 20-50 postazioni costa 800-2.000 euro una tantum.
La cyber insurance copre sanzioni GDPR e violazioni dei dati personali?
Sì, ma con limitazioni. La maggior parte delle polizze cyber copre i costi di notifica agli interessati e al Garante Privacy, la gestione della crisi reputazionale (PR), e le spese legali di difesa in caso di sanzione GDPR. Alcune polizze includono anche una copertura parziale per le sanzioni stesse, ma molte compagnie escludono le sanzioni amministrative per legge (dipende dal paese). Per le PMI che trattano dati sensibili (clienti, dipendenti, salute), la cyber insurance è complementare alla compliance GDPR, non sostitutiva.
Come si calcola il massimale giusto per una cyber insurance?
Il massimale dovrebbe coprire almeno: costi di ripristino sistemi + dati (tipicamente 50.000-200.000 euro per una PMI con 20-50 PC), costi legali e notifiche GDPR (20.000-50.000 euro), perdita di reddito per 30-60 giorni di blocco operativo (dipende dal fatturato), e costi di gestione crisi reputazionale (10.000-30.000 euro). Per una PMI con 3 milioni di fatturato, il massimale minimo consigliato è 500.000 euro; per aziende più grandi o in settori sensibili, 1-2 milioni. Un sottodimensionamento del massimale è l'errore più comune nelle polizze cyber.
Costi Polizze Cyber nel 2026: Cosa Aspettarsi
Il mercato della cyber insurance nel 2026 si è stabilizzato dopo gli aumenti del 2023-2024, ma i premi restano più alti rispetto a tre anni fa. Il motivo: gli attacchi ransomware continuano a crescere e le compagnie assicurative sono diventate più selettive.
La buona notizia per le PMI: chi dimostra di avere controlli di sicurezza solidi ottiene sconti significativi. In pratica, investire in cybersecurity ti fa risparmiare anche sull'assicurazione. Le compagnie oggi chiedono esplicitamente: MFA su tutti gli accessi remoti, EDR attivo, backup testati con regolarità, e un piano di incident response documentato. Se sei in fase di adeguamento NIS2, molti di questi controlli li stai già implementando.
La cyber insurance è un tassello importante della strategia di resilienza informatica, ma non sostituisce la cybersecurity. Investi prima nella prevenzione, poi usa l'assicurazione come rete di sicurezza. Contattaci per una valutazione: ti aiuteremo a implementare i controlli di sicurezza necessari per ottenere una polizza cyber a condizioni vantaggiose.
Quanto Costa una Cyber Insurance nel 2026: Dettaglio per Settore
Nel 2026 il mercato della cyber insurance in Italia si è stabilizzato, ma i premi restano più alti del 10-15% rispetto al 2024. Il fattore principale che determina il costo è il settore: sanità e finanza pagano premi doppi rispetto al manifatturiero, perché trattano dati più sensibili e sono bersagli più frequenti.
Per una PMI manifatturiera con 30-50 dipendenti e fatturato di 5-10 milioni di euro, una polizza con copertura di 1-2 milioni costa indicativamente 3.000-8.000 €/anno. Per uno studio professionale (commercialisti, avvocati) con 10-20 persone, la stessa copertura costa 2.000-5.000 €/anno. Per un'azienda sanitaria o fintech, i premi salgono a 8.000-20.000 €/anno per coperture equivalenti.
| Settore | Premio annuo (1-2M copertura) | Scoperto tipico |
|---|---|---|
| Manifatturiero (PMI 30-50 dip.) | 3.000-8.000 € | 5.000-10.000 € |
| Studi professionali | 2.000-5.000 € | 3.000-5.000 € |
| Retail / E-commerce | 4.000-10.000 € | 5.000-15.000 € |
| Sanità / Pharma | 8.000-20.000 € | 10.000-25.000 € |
| Fintech / Servizi finanziari | 10.000-25.000 € | 15.000-25.000 € |
Come abbassare il premio: le compagnie offrono sconti del 15-30% se dimostri di avere MFA su tutti gli accessi remoti, EDR su tutti gli endpoint, backup 3-2-1 testati con cadenza trimestrale, formazione anti-phishing documentata, e un piano di incident response scritto e condiviso. In pratica, investire 5.000-10.000 € in cybersecurity può farti risparmiare 2.000-4.000 €/anno sul premio assicurativo — oltre a proteggere meglio l'azienda.
Provider Cyber Insurance in Italia: Confronto 2026
Nel 2026, le principali compagnie che offrono cyber insurance per PMI italiane sono: Zurich, AXA XL, Generali (CyberSecurTech), Allianz, Chubb e Hiscox. Ogni compagnia ha requisiti tecnici diversi per emettere la polizza. Ecco un confronto orientativo:
| Compagnia | Target PMI | Requisiti Minimi | Copre Riscatto? |
|---|---|---|---|
| Zurich Cyber | 1-50M fatturato | MFA, backup, antivirus | Sì (opzionale) |
| AXA XL CyberRisk | 2-100M fatturato | MFA, EDR, incident plan | Sì |
| Generali CyberSecurTech | 0.5-20M fatturato | Antivirus, backup | No |
| Allianz Cyber Protect | 5-200M fatturato | MFA, firewall, EDR | Sì (con sub-limite) |
| Chubb Cyber ERM | 10M+ fatturato | MFA, EDR, SOC, pen-test | Sì |
| Hiscox CyberClear | 0.5-50M fatturato | MFA, backup, formazione | Sì |
NIS2 e cyber insurance: la direttiva NIS2, in vigore dal 2024, non impone l'obbligo di una polizza cyber ma richiede misure di gestione del rischio informatico che coincidono con i requisiti delle compagnie assicurative. Le aziende NIS2-compliant ottengono premi più bassi del 20-30% perché dimostrano di avere già i controlli richiesti (MFA, incident response, backup testati, formazione). In pratica, investire nella compliance NIS2 abbassa sia il rischio cyber che il costo della polizza. Leggi la nostra guida all'adeguamento NIS2.
Caso Reale: BullTech come Consulente per la Cyber Insurance
Da "non otteniamo la polizza" a copertura da 2M€ in 60 giorni
Un'azienda manifatturiera di Carate Brianza (28 dipendenti, fatturato 4M€/anno) si era rivolta a 3 compagnie assicurative per una polizza cyber. Tutte e tre avevano rifiutato o proposto premi proibitivi (>20.000€/anno) perché l'azienda non aveva MFA, i backup non erano testati e non esisteva un piano di incident response. BullTech è intervenuta come consulente tecnico: in 60 giorni ha implementato MFA su tutti gli account M365, configurato backup 3-2-1 con Veeam e test mensili documentati, e redatto un piano di incident response semplice ma conforme. Risultato: polizza ottenuta a 6.800€/anno per una copertura da 2 milioni di euro — il 65% in meno rispetto ai preventivi iniziali.
−65%
Premio vs preventivi iniziali
60 gg
Tempo per ottenere la polizza
2M€
Massimale di copertura
Per capire quali controlli di sicurezza implementare prima di richiedere una polizza, parti da un audit di sicurezza informatica per identificare le vulnerabilità da correggere. Verifica anche la tua conformità GDPR con la nostra checklist. Poi leggi la nostra guida alla cybersecurity per PMI. Se la tua azienda rientra nel perimetro NIS2, consulta anche la pagina sul nostro servizio di adeguamento NIS2 e quella sul ransomware recovery aziendale. Per la protezione degli endpoint richiesta dalle compagnie assicurative, vedi la pagina sul nostro servizio di sicurezza informatica aziendale.