Scopri come la compagnia farmaceutica Merck ha risolto una controversia assicurativa da 1,4 miliardi per i danni di NotPetya.
In un clima digitale dove gli attacchi informatici rappresentano una minaccia costante, la disputa risolta da Merck con i propri assicuratori, a seguito del colossale danno economico causato dal malware NotPetya, pone un precedente significativo nel complesso rapporto tra cyber security e coperture assicurative.
Nel giugno del 2017, la realtà farmaceutica Merck & Co. venne scossa da un’aggressione informatica di ampie proporzioni, attribuita al software malevolo NotPetya. Questo specifico tipo di attacco mirava non soltanto alla richiesta di un riscatto, ma alla distruzione pura e semplice dei dati aziendali. In tale contesto, la Merck avanzò nei confronti delle proprie assicurazioni una richiesta di risarcimento pari a circa 1,4 miliardi di dollari per le perdite subite, perdite che interessarono diverse aree aziendali, dalla produzione alla ricerca alla vendita.
Gli assicuratori si opposero, facendo leva su una clausola che escludeva dalla copertura danni causati da atti di guerra. Su questo punto, la giurisprudenza si è trovata a dibattere a fondo, dal momento che le indagini svolte imputavano il cyber attacco a mosse strategiche di entità statali contro l’Ucraina.
Una sentenza storica è stata quindi pronunciata dalla Corte Superiore del New Jersey nel 2022, che si schierò chiaramente a favore della Merck, determinando così un cambiamento di rotta nell’interpretazione delle clausole assicurative relative agli attacchi informatici e ai rischi generali.
Il caso di Merck contro i suoi assicuratori evidenzia una sfumatura critica nella gestione del rischio cyber: quando un attacco informatico diventa sostanzialmente uno strumento di guerre politiche, fino a che punto è ascrivibile al concetto di “atto di guerra” in termini assicurativi? Sebbene il malware NotPetya fosse stato concepito come arma digitale principalmente contro infrastrutture critiche ucraine, i suoi effetti si sono propagati ben oltre il bersaglio iniziale, raggiungendo aziende e istituzioni globali che nulla avevano a che fare con il conflitto.
Questa riflessione solleva questioni significative sulla privacy, sulla sicurezza dei dati aziendali e sulla necessità che le polizze assicurative siano in grado di coprire danni di tale portata e natura. L’accordo tra Merck e i suoi assicuratori ci incoraggia ad esplorare nuove forme di tutela assicurativa nel campo della cyber security, che siano in grado di evolvere parallelamente all’intensificarsi delle minacce digitali.