Torna al blog
Governance Digitale

Cyber insurance: cosa copre davvero e cosa no

18 gennaio 2026 · 5 min di lettura

La polizza non è un piano di sicurezza

Il mercato delle cyber insurance in Italia è cresciuto del 42% nel 2025 (ANIA). Sempre più PMI acquistano polizze cyber — ma poche leggono le clausole. E quelle clausole contengono esclusioni che possono rendere la polizza inutile proprio quando serve.

Cosa copre una polizza cyber tipica

  • Incident response: costi di indagine forense, bonifica, ripristino sistemi
  • Business interruption: mancato fatturato durante il fermo (con franchigia temporale)
  • Riscatto ransomware: in alcune polizze, il pagamento del riscatto (in calo)
  • Responsabilità civile: danni a terzi per data breach, costi legali
  • Notifica breach: costi di comunicazione GDPR ai soggetti interessati
  • Danno reputazionale: costi di crisis management e PR

Le esclusioni che contano

Ecco le clausole di esclusione più comuni — e più pericolose — nelle polizze italiane:

  • Mancanza di misure minime: se non avete MFA, backup testati o patching regolare, la compagnia può rifiutare il risarcimento. È la clausola più invocata.
  • Atto di guerra: gli attacchi attribuiti a stati-nazione (Russia, Cina, Corea del Nord) possono essere esclusi come "atti di guerra". Dopo NotPetya, questa clausola è stata contestata in tribunale.
  • Vulnerabilità note non patchate: se il breach sfrutta una CVE con patch disponibile da oltre 30 giorni, molte polizze escludono la copertura.
  • Insider threat: azioni dolose di dipendenti o ex-dipendenti sono spesso escluse o limitate.
  • Dati non cifrati: se i dati compromessi non erano cifrati e la cifratura era "ragionevolmente implementabile", esclusione.
  • Franchigia temporale: la business interruption scatta dopo 8-24 ore di fermo. Le prime ore — le più costose — sono a vostro carico.

Il questionario pre-polizza: attenzione

Per ottenere la polizza, dovete compilare un questionario sulle vostre misure di sicurezza. Dichiarazioni false o imprecise possono invalidare l'intera polizza. Se dichiarate di avere MFA ovunque ma non è vero, in caso di sinistro la compagnia può rifiutare il pagamento.

Quanto costa

Per una PMI italiana da 5-10M€ di fatturato:

  • Copertura base (500K€): 2.000-5.000€/anno
  • Copertura media (1M€): 5.000-12.000€/anno
  • Copertura estesa (2M€+): 10.000-25.000€/anno

I premi dipendono da: settore, fatturato, misure di sicurezza, storico sinistri. Aziende con ISO 27001 ottengono sconti del 15-30%.

La regola d'oro

La cyber insurance è l'ultimo livello di difesa, non il primo. Non sostituisce la sicurezza: la complementa. Prima investite in prevenzione (MFA, backup, formazione, patching), poi assicurate il rischio residuo. Una piattaforma XDR come Presidio copre esattamente quelle misure minime che le polizze richiedono per essere valide. Il percorso Blueprint vi prepara al questionario pre-polizza con documentazione verificabile. Una polizza senza sicurezza reale è un pezzo di carta; la sicurezza senza polizza è un rischio calcolato ma scoperto.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli