Cyber Insurance ed Email: Perché la Polizza Non Ti Salva Senza Protezione

Sempre Più Aziende Italiane Hanno una Polizza Cyber. Quasi Nessuna Ha Letto le Clausole.

Sempre piu' aziende italiane stanno stipulando polizze cyber. Ed e' una buona notizia — vuol dire che la consapevolezza cresce. Ma c'e' un problema: quasi nessuna ha letto le clausole sulle email.

E quelle clausole, in caso di sinistro, fanno la differenza tra un risarcimento e un "mi dispiace, non e' coperto".

Ho visto aziende pagare €5.000 all'anno di premio cyber, subire un attacco via email, e scoprire al momento della richiesta di risarcimento che la polizza non copriva nulla. Perche'? Non avevano un antispam professionale. E l'assicurazione lo considerava un requisito minimo.

Vediamo nel dettaglio cosa sta succedendo, cosa chiedono davvero le compagnie, e come evitare di buttare soldi in una polizza che non ti protegge.

Il Boom delle Cyber Insurance in Italia

Il mercato delle cyber insurance in Italia e' esploso. I numeri parlano chiaro:

• Crescita del 40% nel 2025 rispetto all'anno precedente
• Premi medi per PMI: da €2.000 a €10.000 all'anno, a seconda del settore e del fatturato
• Coperture tipiche: data breach, ransomware, business interruption, responsabilita' civile per violazione dati

Le compagnie piu' attive — Generali, Zurich, AXA, Hiscox — propongono pacchetti dedicati alle PMI con franchigie da €5.000 a €25.000. Sembra un affare ragionevole: paghi qualche migliaio di euro all'anno e se succede qualcosa, l'assicurazione copre danni che possono arrivare a centinaia di migliaia di euro.

Ma — e qui viene il punto — queste polizze non sono assegni in bianco. Hanno condizioni. Requisiti. Clausole. E se non le rispetti, la copertura salta.

E' come avere un'assicurazione sulla casa che richiede la porta blindata. Se ti svaligiano ed avevi la porta di legno, l'assicurazione ti stringe la mano e ti augura buona fortuna.

La Clausola Che Nessuno Legge: "Misure di Sicurezza Adeguate"

Apri una qualsiasi polizza cyber e cerca la sezione "Obblighi dell'assicurato" o "Condizioni di copertura". Troverai quasi sempre una frase simile a questa:

> "L'assicurato si impegna a mantenere misure di sicurezza informatica adeguate e proporzionate al rischio, incluse ma non limitate a: protezione endpoint, antispam professionale, backup regolari, autenticazione multi-fattore, formazione del personale."

Sembra ragionevole. Ma il diavolo e' nei dettagli.

"Adeguate" non significa "qualcosa". Significa che la compagnia, in fase di liquidazione del sinistro, valutera' se le tue misure erano sufficienti. E se decide che non lo erano — e qui entra il perito informatico — il sinistro viene rigettato. Parzialmente o totalmente.

Nella pratica, questo si traduce in:

• Se hai un antispam professionale con sandboxing, AI e anti-BEC → coperto
• Se usi solo il filtro base di Gmail o Office 365 → probabilmente non coperto
• Se non hai nemmeno SPF e DMARC configurati → quasi certamente non coperto

Non sto parlando di scenari teorici. Sto parlando di sinistri reali dove l'assicurazione ha contestato il risarcimento perche' l'azienda non aveva protezione email adeguata.

Email: Il Punto Debole Che Invalida la Polizza

Perche' le assicurazioni sono cosi' fiscali proprio sulle email? Semplice: il 91% degli attacchi informatici parte da un'email. Non da un hacker che buca il firewall. Non da una chiavetta USB infetta. Da un'email.

Phishing. BEC. Ransomware tramite allegato. Brand impersonation. Tutte minacce che arrivano nella inbox dei tuoi dipendenti.

Le compagnie assicurative lo sanno benissimo. I loro dati interni confermano che la stragrande maggioranza dei sinistri cyber ha origine in una email malevola che ha superato i filtri (o che non aveva filtri da superare).

Quindi la logica e' questa: se il 91% degli attacchi parte dalle email, e tu non proteggi le email, l'assicurazione ti chiede — legittimamente — perche' dovrebbe pagare.

E' come guidare senza cintura di sicurezza. L'assicurazione auto copre gli incidenti, ma se scopre che non indossavi la cintura, puo' ridurre il risarcimento. Con le email e' lo stesso principio.

Il Circolo Vizioso del "Tanto Ho la Polizza"

C'e' un comportamento pericoloso che vedo in molte PMI: "Abbiamo la cyber insurance, quindi siamo a posto."

No. Non sei a posto. Sei a posto solo se:

1. La polizza copre effettivamente il tipo di attacco subito
2. Rispetti tutti i requisiti di sicurezza previsti dal contratto
3. Notifichi l'incidente entro i termini (di solito 24-48 ore)
4. Documenti cosa e' successo e le misure che avevi in essere

Se manchi anche solo il punto 2, tutto il resto diventa irrilevante.

Cosa Chiedono le Assicurazioni nel 2026

Prima di emettere una polizza, le compagnie ti sottopongono un questionario preassuntivo. E' un documento di 5-15 pagine dove ti chiedono nel dettaglio cosa fai per proteggerti. Le risposte influenzano sia il premio che le condizioni di copertura.

Ecco le 5 domande che riguardano specificamente le email — e che la maggior parte delle aziende non sa come rispondere:

1. Antispam Professionale (Non Solo Filtro Base)

"L'azienda utilizza un sistema di protezione email professionale con analisi avanzata delle minacce?"

Attenzione: il filtro incluso in Office 365 (EOP) o Gmail non e' considerato "professionale" dalla maggior parte delle compagnie. Serve una soluzione dedicata con sandboxing, analisi AI, protezione BEC.

Una soluzione come MailSniper, basata su Libraesva Email Security, risponde a pieno a questo requisito.

2. SPF/DKIM/DMARC Configurati

"Il dominio email aziendale ha configurati i record SPF, DKIM e DMARC?"

Questi tre protocolli impediscono a chiunque di inviare email fingendo di essere il tuo dominio. Se non li hai, chiunque puo' mandare un'email da tuonome@tuaazienda.it e sembrare legittimo.

Non sai se li hai configurati? Puoi verificarlo gratis in 30 secondi.

3. Multi-Factor Authentication (MFA)

"L'accesso alle caselle email e' protetto da autenticazione a piu' fattori?"

Se un dipendente perde la password (o gliela rubano con un phishing), l'MFA e' l'ultima linea di difesa. Senza MFA, una password rubata = accesso completo alla casella.

4. Formazione Anti-Phishing per i Dipendenti

"Il personale riceve formazione periodica sul riconoscimento delle minacce email?"

Alcune compagnie chiedono evidenza documentata: date delle sessioni, contenuti, partecipanti. Non basta dire "si', ne abbiamo parlato a pranzo".

5. Incident Response Plan per Email Compromise

"Esiste una procedura documentata per la gestione di compromissioni delle caselle email aziendali?"

Se un account viene compromesso, cosa fai? Chi avvisi? In che ordine? Se non hai un piano scritto, la risposta "improvvisiamo" non piace ne' all'assicurazione ne' al Garante Privacy. Questo si collega anche agli obblighi della direttiva NIS2, che richiede procedure di incident response documentate.

Quanto Risparmi sul Premio con un Antispam Serio

E qui arriva la parte che interessa a tutti: i soldi.

Facciamo due conti concreti per un'azienda con 50 caselle email:

Costo MailSniper: €1,50/casella/mese x 50 caselle x 12 mesi = €900/anno

Sconto sul premio assicurativo: le compagnie riconoscono sconti dal 10% al 20% sul premio per aziende che dimostrano di avere misure di sicurezza adeguate. Su un premio di €5.000/anno, parliamo di:

• Sconto 10% = €500/anno di risparmio
• Sconto 20% = €1.000/anno di risparmio

Quindi il costo netto dell'antispam diventa:

• Scenario conservativo: €900 - €500 = €400/anno (€0,67/casella/mese)
• Scenario favorevole: €900 - €1.000 = -€100/anno (l'antispam si paga da solo e ti avanzano €100)

E questo senza contare il costo evitato in caso di attacco. Vuoi calcolare quanto ti costerebbe un data breach? Usa il nostro calcolatore del costo di un attacco — i numeri fanno riflettere.

C'e' anche un altro aspetto: alcune compagnie riducono la franchigia (l'importo che rimane a tuo carico in caso di sinistro) se dimostri di avere protezioni adeguate. Su una franchigia standard di €10.000, potresti scendere a €5.000 o anche meno.

Insomma: non e' solo una questione di protezione. E' una questione di portafoglio.

La Combo Vincente: Protezione + Assicurazione

E arriviamo al punto fondamentale: non e' un aut-aut. Non devi scegliere tra antispam e assicurazione. Ti servono entrambi.

L'antispam professionale fa la prima linea: blocca il 99,9% delle minacce prima che arrivino ai tuoi dipendenti. Ma nessun sistema e' infallibile al 100%. Quel 0,1% che passa, se va a segno, puo' costare caro.

La cyber insurance copre quel rischio residuo. E' la rete di sicurezza sotto il trapezista. Ma funziona solo se il trapezista ha fatto il suo lavoro — cioe' se hai le protezioni in regola.

Pensala cosi':

MailSniper diventa il prerequisito per rendere operativa la tua polizza. Non e' un costo aggiuntivo — e' la condizione necessaria perche' l'investimento in assicurazione abbia senso.

Cosa Fare Adesso: 4 Step Pratici

Se hai gia' una polizza cyber (o stai per stipularne una), ecco cosa fare oggi:

1. Rileggi le clausole sulla sicurezza email: cerca le parole "antispam", "email security", "misure adeguate". Evidenzia tutto.
2. Verifica i tuoi DNS: controlla SPF, DKIM e DMARC del tuo dominio. E' gratis e ci vogliono 30 secondi.
3. Valuta la tua protezione email attuale: se usi solo il filtro base del tuo provider, non e' sufficiente. Un antispam professionale come MailSniper parte da €0,99/casella/mese per aziende con 101+ caselle.
4. Documenta tutto: tieni traccia delle misure adottate, delle date di attivazione, delle configurazioni. In caso di sinistro, la documentazione e' la tua migliore difesa.

E se vuoi capire quanto e' vulnerabile la tua azienda prima ancora di parlare con un assicuratore, fai il nostro test di sicurezza email — e' gratuito e ti da' un quadro chiaro in meno di un minuto.

La cyber insurance e' uno strumento prezioso. Ma senza protezione email adeguata, e' un pezzo di carta. Con MailSniper, diventa una vera rete di sicurezza.