Articolo

Assicurazione Crime

L'assicurazione Crime per atti dolosi e infedeltà dei dipendenti tutela l’azienda dalle perdite economiche conseguenti a reati quali furti perpetrati da dipendenti, falsificazioni, rapine e cyber crime.

L’esistenza di protocolli interni robusti può consentire di prevenire le frodi, tuttavia dipendenti disonesti e truffatori esterni possono aggirare la sicurezza anche delle aziende con una gestione attenta e controlli rigidi, causando potenzialmente perdite pecuniarie significative.

Oltre l’infedeltà dei dipendenti, che rimane la principale area di attenzione per le aziende, la polizza Crime copre generalmente anche i danni causati da atti specifici compiuti da terzi:

Furto, danneggiamento o distruzione di denaro, titoli e/o altri beni nei locali dell'assicurato e altrove (per esempio, durante il trasporto).
Falsificazione o alterazione di strumenti negoziabili, inclusa la falsificazione della firma dell'assicurato su assegni aziendali.
Manipolazione fraudolenta del sistema informatico dell'assicurato, compresi i trasferimenti di fondi su conti esteri ad opera di hacker.
Istruzioni fraudolente per l’effettuazione di bonifici online ricevute dalla banca dell'assicurato e che sembrano provenire dall’assicurato stesso.
Ricevimento da parte dell'assicurato di valuta contraffatta.
Frodi di social engineering.

L’assicurazione Crime è uno strumento essenziale per la tutela aziendale in quanto le conseguenze di uno qualsiasi di questi reati possono essere finanziariamente devastanti per l’azienda e comportare gravi danni reputazionali. Inoltre, negli Stati Uniti, l'Employee Retirement Income Security Act del 1974 (ERISA) sancisce l’obbligatorietà dell’assicurazione contro frodi e malversazioni per qualsiasi soggetto che gestisca fondi rientranti in un piano previdenziale aziendale, una clausola solitamente inserita nelle polizze per infedeltà dei dipendenti e atti dolosi.

In Italia, il Decreto Legislativo 231/2001 sulla responsabilità amministrativa dell'ente prevede che le aziende debbano dotarsi di modelli organizzativi e di gestione del rischio per prevenire reati tra cui frodi e malversazioni, rendendo la polizza Crime un elemento complementare importante della compliance aziendale.

La polizza Crime è anche chiamata polizza per infedeltà dei dipendenti perché di fatto copre anche le perdite causate da furti perpetrati da dipendenti.

Come opera la copertura Crime?

Le polizze Crime per infedeltà dei dipendenti e atti dolosi possono variare a seconda della compagnia di assicurazione prescelta, ma in genere hanno le seguenti caratteristiche:

Sono stipulate su base "rischi nominati": coprono esclusivamente i sinistri che rientrano in una delle categorie di reati espressamente indicate nella polizza.
In linea generale il massimale non è aggregato, ma si applica separatamente a ogni singolo sinistro.
Sebbene le franchigie si applichino al singolo sinistro, una serie di atti compiuti da una stessa persona o da uno stesso gruppo di persone è considerata un evento singolo, pertanto soggetto a un unico massimale e franchigia, indipendentemente dal protrarsi dell’evento (ad esempio il furto) prima di essere scoperto. La legge statunitense ERISA prevede che non si applichi alcuna franchigia ai sinistri riguardanti i piani previdenziali aziendali assicurati ai sensi dell’ERISA stessa.

Che cos'è una frode di social engineering?

Il social engineering, o ingegneria sociale, si riferisce a una varietà di tecniche, come la compromissione delle email aziendali o l’usurpazione fraudolenta dell’identità, utilizzate da truffatori per ingannare e manipolare le vittime affinché trasferiscano fondi.

Questo tipo di frodi si verifica solitamente allorché i truffatori contattano un dipendente tramite telefono o email richiedendo il trasferimento di fondi per acquisire o modificare gli estremi bancari di un fornitore. Per essere più credibili, questi truffatori tendono a condurre ricerche approfondite sulla vittima prima di fare la richiesta, per esempio potrebbero reperire informazioni sul dipendente o l'azienda dai social media e altre fonti o accedere ai server email aziendali inviando una mail di spam contenente un codice infetto.

Poiché i responsabili delle frodi di social engineering sono in grado di creare scenari plausibili, la loro tecnica dolosa potrebbe essere rilevata solo dopo che i fondi sono stati trasferiti su conti bancari esteri, rendendo impossibile un recupero totale o parziale delle somme. Questo genere di frodi è attuato a danno di piccole imprese o di grandi organizzazioni, di qualsiasi settore o area geografica.

Anche se una polizza standard per infedeltà e atti dolosi non prevede la copertura specifica per le frodi di social engineering, è possibile sottoscrivere una clausola integrativa che fornisca una copertura esplicita. Tale copertura comporta un sub-massimale e una sub-franchigia, tuttavia in alcuni casi gli assicuratori possono fornire massimali di diversi milioni. Se il programma assicurativo aziendale prevede polizze che operano in eccesso, si può cercare di aggiungere un sub-massimale anche in queste polizze di secondo livello, assicurandosi che il massimale in eccesso non superi il sub-massimale della polizza primaria.

Quando si attiva la copertura?

Le polizze Crime per infedeltà dei dipendenti e atti dolosi offrono copertura in due scenari:

Con la formula "loss discovered", la copertura si applica al sinistro di cui si viene a conoscenza durante il periodo di vigenza assicurativa, indipendentemente da quando è avvenuto l'evento o il sinistro, una caratteristica che rende preferibile questa opzione.
Con la formula "loss sustained", la copertura si applica quando si subisce effettivamente il sinistro.

Scoperta del sinistro

La scoperta del sinistro corrisponde a due circostanze:

L'assicurato viene a conoscenza per la prima volta di fatti che porterebbero ragionevolmente a presumere che si sia verificato un sinistro coperto dalla polizza, anche se tutti i fatti relativi al sinistro non sono ancora noti.
Sono intraprese azioni legali contro l'assicurato per atti che rientrano nell'ambito della copertura.

In genere, il contraente deve fornire all'assicuratore una notifica scritta il prima possibile, in ogni caso non oltre 30-60 giorni dopo essere venuto a conoscenza del sinistro. Inoltre, deve generalmente fornire ogni documento ed elemento di prova del sinistro entro quattro o sei mesi dalla relativa scoperta. Sebbene la maggior parte degli assicuratori sia disposta a concedere proroghe per la presentazione della documentazione, l'onere della prova ai fini della copertura ricade esclusivamente sull'assicurato.

Per supportare gli assicurati nella produzione di prove solide attestanti il sinistro, molte polizze offrono una copertura per il ricorso a periti o avvocati. La Pratica Forensic Accounting and Claims Services di Marsh Risk Consulting fornisce supporto per predisporre la documentazione comprovante il sinistro, consentendo di migliorare significativamente l’indennizzo ottenibile nell’ambito della polizza crime.

Quali danni non sono solitamente coperti da una polizza Crime?

Le polizze Crime possano variare, ma solitamente non prevedono le seguenti coperture:

Perdite causate dai dipendenti dopo che l'assicurato è venuto a conoscenza di un altro atto doloso commesso dallo stesso dipendente.
Perdite indirette o conseguenti di qualsiasi natura, come l'interruzione dell'attività o la perdita di reddito potenziale.
Spese legali.
Spese sostenute per redigere la documentazione comprovante il sinistro, a meno che la polizza non preveda una copertura delle spese di indagine/richiesta di indennizzo.
Furto di dati, incluso il furto di dati aziendali, segreti commerciali, elenchi di clienti o proprietà intellettuale.
Danni materiali causati da incendio.
Multe e sanzioni.
Stipendi e bonus, commissioni, provvigioni e qualsiasi perdita di reddito associata.
Perdite basate esclusivamente sui registri di inventario.

Quali informazioni sono necessarie per la richiesta di polizza?

L’assicurando è invitato a compilare un modulo di proposta per aiutare l'assicuratore a comprendere i rischi a cui è esposta l'azienda. Generalmente la compagnia richiede le seguenti informazioni:

Dimensioni dell’azienda: ricavi, numero di dipendenti, sedi e presenza geografica.
Settori operativi.
Accessibilità a contanti o oggetti di grande valore da parte dei dipendenti.
Sistemi e controlli in atto per prevenire i sinistri, inclusi i processi di audit e di elaborazione dei pagamenti.

Differenziare il rischio

In sede di richiesta di polizza, è importante che l’assicurando dimostri di rappresentare un rischio di livello "buono", ossia l’assenza di sinistri pregressi o, in caso contrario, la prova degli interventi correttivi attuati per evitare il ripetersi di accadimenti analoghi in futuro. Inoltre, le compagnie considerano un rischio di livello “buono” in presenza dei seguenti elementi:

Bilancio certificato con giudizio senza modifica.
Revisore esterno autorevole.
Risultati finanziari costanti e stabili nel tempo.
Risultati finanziari positivi rispetto ai peer di settore.
Ambiente di controllo interno solido, che prevede:
- Separazione dei compiti relativi ai flussi di tesoreria, inclusi clienti e fornitori/gestione paghe.
- Processo formalizzato di gestione dei fornitori.
Funzione di internal audit indipendente.
Controlli rigorosi sui trasferimenti di fondi.
Un numero di telefono o un indirizzo mail dedicato alle segnalazioni di whistleblowing.

Business person walks up escalator in city

Articolo