202502.27
Off
0

Polizze Cyber Risk e clausole Claims Made

by in News

Coperture assicurative Cyber Risk e clausole Claims Made.

La crescente diffusione delle nuove tecnologie ed i processi di progressiva digitalizzazione ed interconnessione delle attività d’impresa e professionali hanno reso indifferibile e necessaria – se non anche cogente ed imperativa – un’attenta e costante valutazione delle minacce informatiche per la prevenzione ed il contenimento dei relativi rischi e delle conseguenti ricadute in termini di danni e pregiudizi patiti dagli stessi operatori economici e dai rispettivi stakeholders, fornitori, clienti e fruitori vari.

Dall’indagine condotta dall’IVASS nell’ottobre 2023 (https://www.ivass.it/consumatori/azioni-tutela/indagini-tematiche/documenti/2023/Indagine_cyber_risk_10_2023.pdf), è possibile definire il cyber risk come “la combinazione della probabilità che si verifichino incidenti cyber e del loro impatto, intendendo per incidente cyber una violazione della sicurezza informatica di un sistema informativo o delle informazioni che il sistema elabora, memorizza o trasmette indipendentemente dal fatto che sia frutto di un’attività dolosa o meno”.

Sono potenzialmente suscettibili di essere ricompresi in tale definizione gli “incidenti che comportano la violazione, la perdita o la diffusione di dati sensibili, di natura personale ma anche finanziaria, truffe ed estorsioni, cyberbullismo/cyberstalking, furto di identità, lesioni alla reputazione o all’immagine, frodi su acquisti/vendite e-commerce, clonazione di carte di credito/debito, ecc.” (vd. sempre la citata indagine IVASS).

In un contesto del genere, acquistano valore e rilevanza tutte quelle forme di tutela assicurativa dirette a mitigare il cyber risk (polizze cyber). Tali e tanti prodotti assicurativi, versando sostanzialmente e per quel che qui interessa in tema di responsabilità civile, prevedono solitamente specifiche condizioni contrattuali e clausole c.d. claims made.

Si tratta in effetti di prodotti assicurativi specifici per proteggere le imprese e/o i professionisti dalle perdite economiche derivanti da eventi legati alla sicurezza digitale in relazione alla responsabilità civile per danni causati a terzi, costi di risposta e ripristino di dati e sistemi per attività di reazione e tutela, interruzione dell’attività, estorsioni e frodi informatiche, etc. etc.

Tradizionalmente, in tema di responsabilità civile, il modello claims made è alternativo a quello loss occurence: nel primo, la copertura riguarda unicamente le richieste risarcitorie formulate nel corso della efficacia del contratto di assicurazione ed indipendentemente dal momento in cui si sarebbe verificato l’evento dannoso. Nel secondo, la garanzia copre i sinistri effettivamente verificatisi nella vigenza della copertura indipendentemente dal momento in cui sarebbero state formulate le relative istanze risarcitorie.

In termini di massima approssimazione, al netto di formule spurie che possono recepire elementi dell’uno o dell’altro schema, il modello claims made è di fatto preferito dagli assicuratori in quanto sembra poter consentire alle compagnie una migliore valutazione e gestione del rischio.

Come noto, il modello claims made è stato protagonista di un articolato dibattito: dalla nullità per insanabile contrasto con lo schema tipico del contratto di assicurazione ex art. 1917 c.c. ovvero e comunque ai sensi e per gli effetti di cui all’art. 1895 c.c., alla prospettata vessatorietà della clausola, al prescritto vaglio di meritevolezza ex art. 1322 c.c., al revirement di cui alla nota pronuncia delle Sezioni Unite n. 22437/2018.

Si è così giunti a ritenere che la clausola claims made costituisca una deroga pattizia all’art. 1917 c. 1 c.c., consentita dall’ordinamento ai sensi dell’art. 1932 c.c. e quindi un modello contrattuale tipizzato dall’ordinamento. Ne siano riprova alcune significative scelte del legislatore quali l’art. 11 L. n. 24/2017 (c.d. Legge Gelli – Bianco) per la responsabilità medica, l’art. 3, 5° comma, lett. e) D.L. n. 138/2011 per l’esercizio delle libere professioni e l’art. 2 D.M. 22.9.2016 del Ministero della Giustizia per la professione forense. Dal giudizio sulla meritevolezza si è pertanto giunti al vaglio della adeguatezza della causa concreta del contratto quale equilibrio oggettivo e coerente tra rischio assicurato e premio.

Siffatto giudizio non può prescindere dal riconoscimento e dall’analisi delle diverse tipologie di clausole claims made: da un lato, quelle c.d. miste od impure che consentono l’operatività della copertura assicurativa solo quando sia il fatto illecito sia la richiesta risarcitoria intervengano nel periodo di efficacia del contratto. Pattuizioni di tal fatta possono all’occorrenza essere correte retrodatando gli effetti della garanzia alle condotte poste in essere in epoca anteriore alla vigenza del contratto.

Dall’altro, le clausole claims made c.d. pure per le quali la garanzia assicurativa copre solo ed esclusivamente gli eventi dannosi ‘denunciati’ nel corso del periodo di efficacia del contratto indipendentemente dalla data di commissione del fatto illecito generatore.

La prassi commerciale ha poi descritto meccanismi negoziali correttivi quali la deeming clause che consente la ‘denunciabilità’, durante la vigenza del contratto, anche delle circostanze che rendono verosimile una futura richiesta di risarcimento e la sunset clause che determina l’ultrattività dell’assicurazione per il tempo successivo alla cessazione dei suoi effetti.

Ovviamente, la validità della clausola claims made e del contratto cui afferisce è sostanzialmente condizionata dalle eventuali dichiarazioni false o reticenti del contraente in relazione allo specifico rischio assicurato (artt. 1892 e 1893 c.c.).

Interessante notare come, secondo un recente arresto (Cass. n. 6490/2024) ed ai fini del richiamato vaglio di adeguatezza, il modello proposto dall’art. 11 L. n. 24/2017 (c.d. Legge Gelli – Bianco) – di una claims made pura con retroattività decennale, priva di una clausola di garanzia postuma obbligatoria salvo il caso di cessazione definitiva dell’attività professionale – non costituisca affatto una tipizzazione assolutamente cogente. Ciò a dire che le pattuizioni che, nella prassi, si discostano dal modello in parola non necessariamente devono essere ritenute invalide e meritevoli di essere automaticamente sostituite.

Pertanto, considerata la molteplicità delle possibili garanzie e le specifiche caratteristiche del cyber risk, la preventiva disamina del modello assicurativo offerto per la copertura del cyber risk è azione senz’altro predicabile e deve essere demandata a professionisti competenti nel diritto assicurativo e nelle nuove tecnologie che possano valutare l’effettiva rispondenza del prodotto alle esigenze proprie dell’operatore economico e la sua concreta adeguatezza. E ciò, oltre che con riguardo al descritto profilo di validità ed efficacia delle clausole claims made, anche in relazione alle condizioni di assicurabilità, alle esclusioni, nonché ai massimali ed alle franchigie applicate.