Il mercato delle cyber insurance in Italia sta crescendo del 25% anno su anno. Con l'aumento degli attacchi ransomware, il costo medio di un incidente informatico che ha raggiunto i €180.000 per le PMI, e l'obbligo della direttiva NIS2 di adottare misure di gestione del rischio, sempre più aziende italiane devono considerare seriamente una polizza assicurativa cyber. Ma cosa copre davvero? Quanto costa? E quali requisiti servono per sottoscriverla?
+25%
Crescita mercato cyber insurance Italia
€180K
Costo medio incidente informatico PMI
72h
Tempo massimo notifica GDPR data breach
Indice dei Contenuti
1. Cos'è la Cyber Insurance
La cyber insurance (o polizza assicurativa informatica) è una copertura assicurativa progettata per proteggere le aziende dalle conseguenze finanziarie di un incidente informatico: data breach, attacchi ransomware, frodi digitali, interruzione dei sistemi IT e violazioni della privacy.
A differenza delle polizze tradizionali (incendio, furto, RC), che escludono esplicitamente i rischi informatici, la cyber insurance è costruita specificamente per coprire i costi diretti e indiretti di un attacco informatico: dalla risposta tecnica immediata, alla gestione legale, al ripristino dei sistemi, fino al risarcimento dei terzi danneggiati.
Cyber Insurance
- Costi risposta incidente (forensic, PR)
- Interruzione attività da attacco IT
- Riscatto ransomware
- Notifica GDPR e danni a terzi
- Ripristino dati e sistemi
RC Professionale
- Danni da errori professionali
- Prodotto/servizio difettoso
- Non copre incidenti informatici
- Non copre forensic / risposta
- Non copre ripristino dati
Attenzione: cosa NON copre una cyber insurance
- Danni preesistenti – incidenti avvenuti prima della sottoscrizione (attenzione alla clausola di retroattività)
- Atti intenzionali – danni causati deliberatamente dall'assicurato o dal management
- Guerra e terrorismo di stato – attacchi attribuiti a stati nazionali (la cosiddetta "war exclusion")
- Mancata manutenzione – se non hai patchato vulnerabilità note o non hai implementato le misure minime dichiarate
- Miglioramenti IT – i costi di upgrade dell'infrastruttura IT post-incidente non sono coperti
2. Le 8 Coperture Principali di una Polizza Cyber
Una polizza cyber completa offre diverse garanzie, ognuna pensata per coprire un aspetto specifico dell'incidente informatico. Ecco le 8 coperture principali da verificare prima di sottoscrivere:
1. Risposta all’Incidente
Copre i costi di forensic digitale, consulenza legale specializzata e gestione della comunicazione di crisi (PR). Include l’intervento di un team di incident response entro le prime 24-48 ore dall’evento. Può coprire da €20.000 a €200.000 di costi immediati.
2. Interruzione Attività
Risarcisce il mancato guadagno durante il fermo dei sistemi IT (business interruption). Include i costi aggiuntivi sostenuti per mantenere operativa l’azienda: noleggio hardware sostitutivo, straordinari del personale, servizi cloud temporanei. Le polizze migliori prevedono un periodo di indennizzo fino a 180 giorni.
3. Estorsione Cyber
Copre i costi legati ad attacchi ransomware: negoziazione con gli attaccanti, eventuale pagamento del riscatto (con condizioni e sotto-limiti), costi di decrittazione e ripristino. Alcune polizze includono anche la copertura per minacce DDoS con richiesta di riscatto.
4. Responsabilità verso Terzi
Copre le richieste di risarcimento da parte di clienti, fornitori o terzi i cui dati sono stati compromessi a seguito di un data breach. Include la difesa legale, le spese processuali e gli eventuali risarcimenti. Fondamentale per aziende che gestiscono dati sensibili di clienti.
5. Costi Notifica GDPR
Il GDPR impone di notificare un data breach al Garante entro 72 ore e di informare gli interessati senza ingiustificato ritardo. Questa copertura include: consulenza legale per la notifica, servizi di credit monitoring per le persone coinvolte, gestione del call center dedicato. Per un breach che coinvolge 10.000 record, i costi di notifica possono superare €50.000.
6. Difesa Legale
Copre le spese legali in caso di azioni legali, indagini del Garante Privacy, procedimenti sanzionatori NIS2 e contenziosi con clienti o fornitori. Include anche le sanzioni amministrative (dove legalmente assicurabili) e i costi di rappresentanza legale presso le autorità di controllo.
7. Social Engineering e Frode
Copre le perdite finanziarie derivanti da truffe informatiche: CEO fraud (il finto dirigente che ordina un bonifico), Business Email Compromise (BEC), phishing mirato e manipolazione dei dati di pagamento dei fornitori. È una delle coperture più richieste dalle PMI italiane, dove la BEC causa danni medi di €25.000-80.000 per incidente.
8. Ripristino Dati e Sistemi
Copre i costi tecnici per il ripristino dei dati e dei sistemi IT dopo un incidente: ricostruzione di database, reinstallazione di software, configurazione di server, recupero dati da backup. Include anche i costi di hardening post-incidente per prevenire una ricorrenza.
3. Quanto Costa una Cyber Insurance
Il costo di una polizza cyber dipende da numerosi fattori: dimensione dell'azienda, settore, fatturato, misure di sicurezza implementate e storico dei sinistri. Ecco una tabella orientativa dei premi annuali per il mercato italiano nel 2026:
| Fascia Aziendale | Dipendenti | Fatturato | Premio Annuo | Massimale |
|---|---|---|---|---|
| Micro impresa | 1-10 | < €2M | €800 - 1.500 | €250K - 500K |
| Piccola impresa | 10-50 | €2M - 10M | €2.000 - 5.000 | €500K - 1M |
| Media impresa | 50-250 | €10M - 50M | €5.000 - 15.000 | €1M - 5M |
| Grande impresa | 250+ | > €50M | €15.000 - 80.000+ | €5M - 25M+ |
Questi sono valori indicativi che possono variare significativamente. I fattori che influenzano il prezzo sono:
Settore di attività
Sanità, finanza e PA pagano premi più alti (+ 20-40%) per il rischio elevato dei dati trattati.
Fatturato annuo
Determina il massimale consigliato e incide direttamente sul calcolo del premio.
Misure di sicurezza
MFA, EDR, backup immutabile e SOC possono ridurre il premio del 15-30%.
Storico sinistri
Nessun sinistro nei 3-5 anni precedenti può portare sconti del 10-20% sul rinnovo.
Il confronto che conta
Una PMI da 30 dipendenti paga in media €3.000/anno di premio cyber insurance. Il costo medio di un singolo incidente ransomware per la stessa azienda è di €180.000 (fermo operativo + ripristino + danni reputazionali + eventuali sanzioni). Il ROI della polizza è evidente già al primo incidente.
4. Requisiti Minimi delle Compagnie Assicurative
Le compagnie assicurative non concedono una polizza cyber a chiunque. Prima di sottoscrivere, richiedono che l'azienda dimostri di aver implementato un livello minimo di sicurezza informatica. Se non hai queste misure, la polizza verrà rifiutata o avrà un costo proibitivo con esclusioni importanti.
MFA attivo su tutti i sistemi critici
OBBLIGATORIOAutenticazione multi-fattore su email, VPN, RDP, applicativi cloud e accesso amministrativo. È il requisito numero uno: senza MFA, molte compagnie rifiutano direttamente la copertura.
Backup con regola 3-2-1 e test di ripristino
OBBLIGATORIOBackup regolari con almeno una copia offline o immutabile, testati periodicamente. Le compagnie chiedono evidenza dei test di ripristino degli ultimi 6-12 mesi.
Firewall NGFW + EDR su tutti gli endpoint
OBBLIGATORIOFirewall next-generation configurato correttamente e soluzione EDR (non semplice antivirus) su ogni postazione e server. Deve essere gestito e monitorato, non solo installato.
Formazione cybersecurity per i dipendenti
RICHIESTOProgramma di security awareness documentato con almeno una sessione formativa annuale e simulazioni di phishing. Le compagnie chiedono evidenza della partecipazione.
Incident Response Plan documentato
RICHIESTOPiano scritto che definisce ruoli, responsabilità, procedure di escalation e comunicazione in caso di incidente informatico. Deve includere i contatti del team di risposta (interno o MSP).
Patching regolare e vulnerability management
RICHIESTOProcesso documentato di patch management con SLA definiti: patch critiche entro 72 ore, patch importanti entro 30 giorni. Vulnerability assessment almeno semestrale.
BullTech ti aiuta a soddisfare tutti i requisiti
Come Managed Service Provider, BullTech implementa e gestisce tutte le misure di sicurezza richieste dalle compagnie assicurative: dal deployment EDR alla gestione del firewall, dal backup gestito alla formazione dipendenti. Forniamo anche la documentazione tecnica necessaria per la sottoscrizione della polizza.
5. Come Scegliere la Polizza Cyber Giusta
Non tutte le polizze cyber sono uguali. Ecco i 5 criteri fondamentali da valutare per scegliere la copertura più adatta alla tua azienda:
Massimali adeguati al rischio reale
Il massimale deve coprire lo scenario peggiore realistico. Per una PMI da 30-50 dipendenti, un massimale di €500.000-1.000.000 è generalmente adeguato. Considera il costo potenziale di: fermo operativo (giorni x fatturato giornaliero), ripristino dei sistemi, notifica GDPR e risarcimento terzi. Un massimale troppo basso è peggio di nessuna polizza: dà un falso senso di sicurezza.
Sotto-limiti e franchigie trasparenti
Molte polizze hanno sotto-limiti per coperture specifiche (es. massimo €50.000 per estorsione su un massimale totale di €500.000). Verifica che i sotto-limiti siano adeguati per ogni garanzia. Controlla anche le franchigie: una franchigia di €10.000 su una polizza da €250.000 di massimale potrebbe non essere conveniente per una micro impresa.
Esclusioni chiare e ragionevoli
Leggi attentamente le esclusioni. Le più comuni: atti dolosi, guerra/terrorismo di stato, mancata manutenzione, vulnerabilità note non patchate. Attenzione alle esclusioni troppo ampie come "qualsiasi incidente derivante da software non aggiornato" che potrebbero vanificare la copertura. Chiedi chiarimenti scritti sulle clausole ambigue.
Clausola di retroattività
La retroattività definisce da quale data la polizza copre incidenti scoperti dopo la sottoscrizione. Alcune polizze coprono solo incidenti avvenuti dopo la firma; le migliori offrono retroattività illimitata (coprono anche incidenti avvenuti prima, se scoperti durante la validità). Fondamentale considerando che un breach può rimanere nascosto per mesi.
Qualità del servizio di incident response
La polizza migliore non è quella che paga di più dopo l’incidente, ma quella che risponde più velocemente. Verifica: hotline 24/7 per la segnalazione? Team di forensic e legale preselezionato? SLA di intervento garantiti (24-48 ore)? Possibilità di scegliere il proprio fornitore di incident response? Un MSP come BullTech può essere designato come primo risponditore nella polizza.
6. NIS2 e Cyber Insurance: Perché Diventano Inseparabili
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024 e pienamente operativa dal 2026, sta cambiando radicalmente il rapporto tra aziende e cyber insurance. Ecco perché la polizza cyber sta diventando quasi obbligatoria per i soggetti essenziali e importanti:
Gestione del rischio obbligatoria
La NIS2 impone alle aziende di adottare misure proporzionate di gestione del rischio informatico. La cyber insurance è riconosciuta come uno strumento di trasferimento del rischio residuo, complementare alle misure tecniche e organizzative. Molte autorità di controllo la considerano una best practice attesa.
Responsabilità personale dei dirigenti
Con la NIS2, i dirigenti (CdA, amministratori) sono personalmente responsabili della gestione del rischio cyber. La cyber insurance può includere una copertura D&O (Directors and Officers) che protegge il patrimonio personale dei dirigenti in caso di sanzioni o azioni legali.
Sanzioni fino al 2% del fatturato
Le sanzioni NIS2 possono raggiungere il 2% del fatturato globale per i soggetti essenziali e l’1,4% per quelli importanti. Una polizza cyber con copertura delle sanzioni amministrative (dove legalmente assicurabili) può limitare l’esposizione finanziaria dell’azienda.
Supply chain sotto scrutinio
La NIS2 richiede la gestione del rischio lungo la catena di fornitura. Sempre più grandi aziende richiedono ai propri fornitori (PMI incluse) di dimostrare una copertura cyber insurance come condizione contrattuale. Senza polizza, si rischia di perdere clienti importanti.
Per una panoramica completa sulla NIS2, leggi la nostra guida completa all'adeguamento NIS2 per aziende italiane. Se la tua azienda rientra nel perimetro NIS2, la combinazione di misure di sicurezza tecniche + cyber insurance è la strategia più efficace per gestire il rischio.
Consiglio pratico
Prima di contattare un broker assicurativo, fai un assessment della postura di sicurezza della tua azienda. Più misure hai già implementato, più basso sarà il premio. Un MSP come BullTech può effettuare l'assessment, colmare i gap e fornirti un report tecnico che le compagnie assicurative accettano come evidenza di conformità.
7. Domande Frequenti sulla Cyber Insurance
La cyber insurance è obbligatoria per le aziende italiane?
No, al momento la cyber insurance non è obbligatoria per legge in Italia. Tuttavia, la direttiva NIS2 impone misure di gestione del rischio che rendono la polizza cyber una scelta quasi inevitabile per i soggetti essenziali e importanti. Inoltre, molti bandi pubblici e contratti con grandi aziende richiedono già una copertura cyber come prerequisito. Il mercato si sta muovendo verso una standardizzazione che la renderà di fatto indispensabile entro il 2027.
Quanto costa una polizza cyber per una PMI italiana?
Il costo varia significativamente in base al settore, al fatturato e alle misure di sicurezza già implementate. Per una micro impresa (fino a 10 dipendenti) i premi partono da €800-1.500/anno. Per una piccola impresa (10-50 dipendenti) si va da €2.000 a €5.000/anno. Per una media impresa (50-250 dipendenti) il range è €5.000-15.000+/anno. Avere MFA, backup, EDR e un incident response plan documentato può ridurre il premio del 15-30%.
La polizza cyber copre il pagamento del riscatto ransomware?
Dipende dalla polizza. Molte polizze includono una copertura per estorsione cyber che copre il riscatto, ma con sotto-limiti specifici (spesso €50.000-200.000) e condizioni stringenti: l’azienda deve dimostrare di aver adottato misure preventive adeguate e di aver coinvolto le autorità competenti. Alcune compagnie stanno riducendo o eliminando questa copertura. È fondamentale leggere attentamente le esclusioni e i sotto-limiti della polizza.
Cosa succede se non ho le misure di sicurezza minime richieste?
Senza le misure di sicurezza minime (tipicamente MFA, backup, firewall, EDR), le compagnie assicurative possono rifiutare la copertura, applicare premi maggiorati del 50-100% o inserire esclusioni specifiche. In caso di sinistro, se l’assicurazione scopre che le misure dichiarate non erano effettivamente implementate, può contestare il risarcimento per falsa dichiarazione. Un MSP come BullTech può aiutarti a implementare tutti i requisiti e fornirti la documentazione necessaria per la sottoscrizione.
Cyber insurance e RC professionale: qual è la differenza?
La RC professionale copre i danni causati a terzi da errori professionali (un consiglio sbagliato, un prodotto difettoso). La cyber insurance copre i danni derivanti da incidenti informatici: data breach, ransomware, interruzione dei sistemi IT, frode informatica. Sono due polizze complementari. La RC professionale non copre i costi di risposta all’incidente, il forensic, la notifica GDPR o il ripristino dei dati. Un’azienda che tratta dati personali dovrebbe avere entrambe.
Come posso ottenere un premio assicurativo più basso?
Ci sono diverse strategie concrete per ridurre il premio: implementare l’MFA su tutti i sistemi critici (sconto 10-15%), avere un backup immutabile testato regolarmente (sconto 5-10%), disporre di un EDR gestito con SOC (sconto 10-15%), avere un incident response plan documentato e testato (sconto 5-10%), effettuare formazione cybersecurity per i dipendenti (sconto 5%), e mantenere un track record senza sinistri. Un MSP specializzato come BullTech può aiutarti a implementare tutte queste misure e certificarle per la compagnia assicurativa.
La cyber insurance non è un costo: è un investimento nella resilienza della tua azienda. Nel 2026, con il crescere delle minacce informatiche e gli obblighi normativi sempre più stringenti, ogni azienda italiana che tratta dati digitali dovrebbe valutare seriamente una polizza cyber. Ma ricorda: la polizza è l'ultimo livello di difesa, non il primo. Investire in prevenzione (firewall, EDR, backup, formazione) riduce il rischio e il premio assicurativo.
Contatta BullTech per un assessment gratuito della tua postura di sicurezza. Ti aiuteremo a implementare le misure necessarie per ottenere la miglior copertura al miglior prezzo, e forniremo la documentazione tecnica richiesta dal tuo broker assicurativo.