Il Cyber Monitoring Centre (CMC) nato nel Regno Unito ha deciso di replicare il suo modello oltre oceano: è in corso la preparazione di una struttura operativa negli Stati Uniti, con l’obiettivo di iniziare le attività di background nel corso dell’anno e diventare pienamente operativa nel 2027. L’organizzazione utilizza una scala da 1 a 5 — definita informalmente “hurricane scale” — per quantificare l’impatto finanziario e l’estensione economica di gravi attacchi informatici, offrendo metriche pensate per policy maker, assicuratori e grandi imprese.
Negli ultimi mesi il CMC ha analizzato eventi che hanno avuto conseguenze rilevanti sull’economia britannica: due attacchi di grande impatto nel 2026 e l’intervento pubblico legato al caso Jaguar Land Rover hanno aperto la discussione su chi debba coprire i costi, come misurare i danni e quali strumenti normativi siano necessari.
I responsabili del centro sottolineano la necessità di dati standardizzati e di nuove pratiche per stimare spese di ricostruzione dei sistemi IT e ripercussioni sulla catena di fornitura.
Metodi e governance dell’analisi
Per valutare un episodio complesso come l’attacco a Jaguar Land Rover, il CMC ha impiegato un team ridotto ma specializzato: quattro-sei addetti a tempo pieno, guidati da due attuari, hanno passato oltre un mese ad aggregare ed esaminare dati pubblici, comunicati aziendali e testimonianze della catena di fornitura. Le stime sono poi state discusse in un workshop tecnico con un comitato di cinque esperti, che include figure di spicco del mondo della cyber security. Questo processo evidenzia l’importanza di una governance solida per convalidare ipotesi e ridurre l’incertezza nella quantificazione dell’impatto economico.
Approccio metodologico
L’approccio si basa sull’integrazione di dati pubblici, interviste mirate e modelli econometrici per stimare perdite dirette e indirette. Il CMC sta inoltre esplorando nuovi metodi per calcolare i costi di rebuild dei sistemi IT e lavora con i chief information security officer per ottenere parametri più robusti. L’obiettivo è rendere replicabile il processo di categorizzazione degli incidenti e fornire indicatori che possano essere usati da assicuratori e autorità di regolamentazione.
Le implicazioni per politica pubblica e mercato assicurativo
Il caso Jaguar Land Rover e la successiva garanzia di prestito statale di £1,5 miliardi hanno riacceso il dibattito sul ruolo dello Stato nelle crisi cyber. Esperti avvertono che interventi puntuali, senza regole chiare, possono creare un pericoloso precedente e modificare gli incentivi aziendali.
Se le imprese pensano che lo Stato interverrà sempre, potrebbero ridurre gli investimenti in resilienza e protezione. Tra le proposte sul tavolo si parla di assicurazione obbligatoria, incentivi fiscali o di un meccanismo statale definito per eventi sistemici.
Il problema della protezione assicurativa
Il mercato assicurativo fatica a sostenere perdite diffuse: alcuni operatori stimano un protection gap molto ampio — fino al 90% in certi scenari — soprattutto quando i danni si propagano nella catena di fornitura e nelle economie locali. Questo spiega perché i governi si trovano spesso a intervenire, ma anche perché è urgente definire un quadro che bilanci responsabilità private e possibili garanzie pubbliche, evitando il rischio di un moral hazard che indebolirebbe la sicurezza complessiva.
Minacce emergenti e il ruolo degli attori nazionali
La comunità tecnica mette in guardia su gruppi con capacità di lunga portata: tra questi il collettivo noto come Volt Typhoon, ritenuto capace di pre-posizionare accessi nei sistemi critici e causare danni potenzialmente superiori ai £5 miliardi coinvolgendo decine di migliaia di soggetti. Altri attori statuali o affiliati rimangono una minaccia intermittente; esempi storici ricordano campagne distruttive come lo Shamoon contro settori energetici, mentre episodi recenti hanno colpito aziende di dispositivi medici e altri operatori negli Stati Uniti.
Per rispondere a questi rischi il CMC intende espandere la sua capacità analitica oltre il Regno Unito, con la costituzione di una entità legale negli Usa e la nomina di un comitato tecnico locale. Questa estensione mira a standardizzare metriche di impatto e a fornire una base comparabile per decisioni politiche e valutazioni assicurative, contribuendo così a una gestione più trasparente e coordinata degli incidenti su scala internazionale.
In conclusione, l’esperienza britannica mostra come misurare l’impatto finanziario degli attacchi sia possibile ma richieda strumenti condivisi, esperienza tecnica e scelte politiche chiare. La resilienza — intesa come capacità di mantenere operativa l’infrastruttura critica — resta la leva principale per ridurre la probabilità che un evento si trasformi in un disastro economico, e la creazione di quadri normativi e assicurativi adeguati è essenziale per distribuire correttamente i rischi tra privato e pubblico.
