Torna al blog
Governance Digitale

Cyber insurance: cosa copre davvero e cosa no

18 gennaio 2026 · 5 min di lettura

La polizza non è un piano di sicurezza

Il mercato delle cyber insurance in Italia è cresciuto del 42% nel 2025 (ANIA). Sempre più PMI acquistano polizze cyber — ma poche leggono le clausole. E quelle clausole contengono esclusioni che possono rendere la polizza inutile proprio quando serve.

Cosa copre una polizza cyber tipica

  • Incident response: costi di indagine forense, bonifica, ripristino sistemi
  • Business interruption: mancato fatturato durante il fermo (con franchigia temporale)
  • Riscatto ransomware: in alcune polizze, il pagamento del riscatto (in calo)
  • Responsabilità civile: danni a terzi per data breach, costi legali
  • Notifica breach: costi di comunicazione GDPR ai soggetti interessati
  • Danno reputazionale: costi di crisis management e PR

Le esclusioni che contano

Ecco le clausole di esclusione più comuni — e più pericolose — nelle polizze italiane:

  • Mancanza di misure minime: se non avete MFA, backup testati o patching regolare, la compagnia può rifiutare il risarcimento. È la clausola più invocata.
  • Atto di guerra: gli attacchi attribuiti a stati-nazione (Russia, Cina, Corea del Nord) possono essere esclusi come "atti di guerra". Dopo NotPetya, questa clausola è stata contestata in tribunale.
  • Vulnerabilità note non patchate: se il breach sfrutta una CVE con patch disponibile da oltre 30 giorni, molte polizze escludono la copertura.
  • Insider threat: azioni dolose di dipendenti o ex-dipendenti sono spesso escluse o limitate.
  • Dati non cifrati: se i dati compromessi non erano cifrati e la cifratura era "ragionevolmente implementabile", esclusione.
  • Franchigia temporale: la business interruption scatta dopo 8-24 ore di fermo. Le prime ore — le più costose — sono a vostro carico.

Il questionario pre-polizza: attenzione

Per ottenere la polizza, dovete compilare un questionario sulle vostre misure di sicurezza. Dichiarazioni false o imprecise possono invalidare l'intera polizza. Se dichiarate di avere MFA ovunque ma non è vero, in caso di sinistro la compagnia può rifiutare il pagamento.

Quanto costa

Per una PMI italiana da 5-10M€ di fatturato:

  • Copertura base (500K€): 2.000-5.000€/anno
  • Copertura media (1M€): 5.000-12.000€/anno
  • Copertura estesa (2M€+): 10.000-25.000€/anno

I premi dipendono da: settore, fatturato, misure di sicurezza, storico sinistri. Aziende con ISO 27001 ottengono sconti del 15-30%.

La regola d'oro

La cyber insurance è l'ultimo livello di difesa, non il primo. Non sostituisce la sicurezza: la complementa. Prima investite in prevenzione (MFA, backup, formazione, patching), poi assicurate il rischio residuo. Una polizza senza sicurezza reale è un pezzo di carta; la sicurezza senza polizza è un rischio calcolato ma scoperto.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli