Un fenomeno fuori scala
C’è un dato che lascia senza parole, e che dovrebbe rimbalzare su ogni tavolo di risk management d’Europa: se il crimine informatico fosse uno Stato, sarebbe la terza economia del pianeta. Con un costo globale proiettato a 14 trilioni di dollari entro il 2028, il cybercrime supererà il PIL combinato di Germania, Giappone e India. Solo gli Stati Uniti e la Cina fanno meglio. Non stiamo parlando di fantascienza. Stiamo parlando di oggi, di quello che succede ogni giorno nelle reti di migliaia di aziende, studi professionali, ospedali, infrastrutture critiche. E stiamo parlando di un settore assicurativo che, nonostante la consapevolezza crescente del rischio, ancora fatica a trasformare quella consapevolezza in copertura reale.
Il rapporto “Cyber Insurance: Risks and Trends 2026” di Munich Re offre uno spaccato lucido e per certi versi allarmante di un mercato che cresce, si trasforma e si complica. Lo leggo con gli occhi di chi lavora nel brokeraggio e nel risk management, e quello che emerge non è soltanto uno scenario tecnico, ma una sfida strategica per l’intera filiera assicurativa.
Ransomware, Data Breach e BEC: i driver che guidano i sinistri
Dalle analisi di Munich Re emerge con chiarezza che i principali driver delle perdite assicurate sono quattro: ransomware, data breach, Business Email Compromise (BEC) e attacchi DDoS. Niente di nuovo in apparenza, eppure la profondità con cui questi fenomeni si sono evoluti è qualcosa che il mercato non può permettersi di sottovalutare.
Il ransomware non è più un attacco “brutale” condotto da hacker solitari. È diventato un servizio. Il modello Ransomware-as-a-Service (RaaS) ha democratizzato il crimine informatico, abbassando le barriere tecniche e moltiplicando il numero di potenziali aggressori. Chi vuole attaccare non deve più saper programmare: trova su dark web pacchetti chiavi in mano, tutorial, sistemi di affiliazione, persino assistenza clienti. È un’industria, con tutte le logiche di un’industria: specializzazione, efficienza, scalabilità.
E intanto i dati di sinistro di Munich Re raccontano un’altra storia spesso dimenticata: la grande maggioranza degli incidenti e dei claim non colpisce le grandi corporation, ma le PMI e le micro-imprese. Il bias narrativo ci porta a concentrarci sui casi eclatanti, sulle multinazionali che finiscono sui giornali. Ma il vero fronte del rischio cyber, quello quotidiano, è fatto di aziende con cinquanta dipendenti, di studi professionali, di fornitori locali inseriti in supply chain globali.
L’evento non malicious: il rischio invisibile che nessuno racconta
Uno degli aspetti più interessanti e meno dibattuti del report riguarda gli eventi “non malicious”, ovvero i sinistri cyber non riconducibili ad attacchi intenzionali ma a errori umani, malfunzionamenti software, guasti sistemici. Munich Re rileva un rapporto di 3 a 1 tra eventi malicious e non malicious, ma segnala che quest’ultima categoria è in crescita e sta acquisendo un peso sempre maggiore nel portafoglio delle compagnie.
Viene citata anche la cosiddetta “pixel litigation”, un fenomeno ancora poco conosciuto in Italia ma già dirompente nei mercati anglosassoni: si tratta di controversie legali legate all’uso di pixel di tracciamento sui siti web, accusati di raccogliere dati sanitari o sensibili degli utenti senza adeguato consenso. Un tema che, nel contesto GDPR europeo, ha tutto il potenziale per diventare una fonte significativa di esposizione assicurativa anche nel nostro Paese.
Questo ci dice qualcosa di fondamentale: il rischio cyber non è soltanto il rischio di un attacco. È il rischio della complessità digitale in senso lato, e qualsiasi approccio sottoscrittivo che non tenga conto di questa dimensione è destinato a produrre portafogli mal calibrati.
Geopolitica e supply chain: quando il rischio diventa sistemico
Il report di Munich Re dedica ampio spazio a quello che definisce il “continuum tra criticità e controllo” nelle supply chain digitali. I dati sono eloquenti: oltre due terzi delle grandi organizzazioni ha subito almeno un incidente informatico legato a terze parti negli ultimi dodici mesi. E le previsioni degli esperti indicano che la prossima generazione di cyberattacchi punterà sempre di più sulla compromissione delle catene di fornitura, sull’impersonificazione di fornitori e sulla corruzione silenziosa di software e firmware.
In questo quadro, la geopolitica smette di essere un argomento per analisti di relazioni internazionali e diventa una variabile concreta nel modello di rischio di ogni broker. Il 64% delle organizzazioni, secondo il World Economic Forum, si aspetta di essere un potenziale bersaglio di attacchi informatici a motivazione geopolitica. Le infrastrutture critiche, la difesa, l’energia, il finance e le telecomunicazioni sono i settori più esposti.
Il confine tra gruppi criminali e attori statali si sta erodendo rapidamente. Tattiche, tecniche e procedure si sovrappongono, le motivazioni si ibridano tra spionaggio, sabotaggio e guadagno economico. Questo rende il threat landscape non solo più pericoloso, ma anche più difficile da modellare con gli strumenti tradizionali dell’underwriting assicurativo.
L’intelligenza artificiale: il cambio di paradigma che nessuno può ignorare
La sezione dedicata all’Agentic AI è probabilmente la parte più visionaria, e al tempo stesso più concreta, dell’intero report. L’AI agenziale, ovvero sistemi di intelligenza artificiale capaci di pianificare autonomamente operazioni multi-stadio, adattarsi alle risposte difensive e operare con input umano minimo, è ormai una realtà operativa sia sul fronte degli attaccanti che su quello dei difensori.
Dal punto di vista offensivo, questo significa deepfake sempre più convincenti, phishing iper-personalizzato, clonazione di portali di accesso e moduli di pagamento, prompt injection e data poisoning contro i modelli AI stessi. Dal punto di vista difensivo, significa strumenti di rilevamento e risposta automatizzati, capaci di operare a velocità e scala impensabili per un team umano.
Munich Re anticipa che nel breve termine l’AI agenziale inciderà più sulla frequenza degli attacchi che sulla loro severità, con implicazioni particolari per le coperture di system failure, business interruption, incident response, data restoration ed estorsione cyber. Sul fronte della responsabilità civile, si apre invece uno scenario più complesso, con potenziale crescita dei sinistri legati a violazioni della privacy, raccolta illecita di dati, media liability e tech E&O.
Il dato che mi colpisce di più, però, è questo: nonostante tutto, il 66% dei top executive si aspetta un impatto positivo dell’AI sul proprio business, e il 57% dichiara di fidarsi delle aziende che la utilizzano. La percezione del rischio AI, almeno a livello di C-suite, è ancora prevalentemente positiva. Il che significa che il lavoro di sensibilizzazione sul rischio AI da parte dei professionisti del risk management è appena cominciato.
Il gap assicurativo: la sfida più urgente per il mercato
Arriviamo al punto che più mi preoccupa come professionista del settore. Quasi 9 executive su 10 intervistati nel Global Cyber Risk and Insurance Survey 2026 di Munich Re dichiarano di non sentirsi adeguatamente protetti contro gli attacchi informatici. Non è una statistica marginale. È un atto d’accusa nei confronti di un mercato che non sta riuscendo a tradurre la consapevolezza del rischio in penetrazione assicurativa reale.
Munich Re fa un paragone illuminante: nel 2025 le catastrofi naturali hanno generato perdite per 224 miliardi di dollari, di cui 108 miliardi coperti da assicurazione, pari al 48% del totale. Per il rischio cyber, la percentuale di perdite assicurate è enormemente inferiore. Eppure la stragrande maggioranza dei rischi cyber è tecnicamente assicurabile.
Il gap non è tecnico. È culturale, relazionale, distributivo. Ed è qui che il ruolo del broker diventa centrale e insostituibile. Non si tratta solo di piazzare una polizza. Si tratta di aiutare le imprese a capire cosa rischiano davvero, di tradurre in linguaggio operativo scenari che la tecnologia rende ogni giorno più complessi, di costruire programmi di protezione che siano realmente calibrati sull’esposizione specifica di ogni cliente.
Cosa ci dice tutto questo sul futuro del brokeraggio cyber
La lettura di questo report mi convince ancora di più che il brokeraggio assicurativo nel segmento cyber non può essere una commodity. Non può essere una casella da spuntare in un questionario di rinnovo. Richiede competenza tecnica, aggiornamento continuo, capacità di dialogo con i risk manager e con i CISO aziendali, e soprattutto la volontà di stare davvero dalla parte del cliente nella comprensione di un rischio che evolve più velocemente di qualsiasi prodotto assicurativo tradizionale.
Il mercato cyber globale sta crescendo. I rischi si moltiplicano e si complicano. La geopolitica è entrata nelle polizze. L’intelligenza artificiale sta riscrivendo le regole del gioco su entrambi i lati della barricata. E le PMI, che rappresentano l’ossatura dell’economia italiana, sono esposte quanto le grandi aziende, spesso con strumenti di protezione molto più fragili.
Per chi fa questo mestiere con serietà, non c’è momento migliore per fare la differenza
