INDICE

L’ASSICURAZIONE VIENE PRESTATA NELLA FORMA “CLAIMS MADE” E OPERA PER LE RICHIESTE DI RISARCIMENTO PERVENUTE PER LA PRIMA VOLTA ALL’ASSICURATO DURANTE IL PERIODO DI ASSICURAZIONE IN CORSO E DENUNCIATE ALLA SOCIETÀ NEL MEDESIMO PERIODO.

Si richiama l’attenzione del Contraente/Assicurato sulle clausole evidenziate in colore grigio che prevedono decadenze, nullità, esclusioni, sospensioni e limitazioni delle garanzie, ovvero oneri ed obblighi a carico del Contraente/Assicurato.

GLOSSARIO

Per i termini indicati in grassetto nella presente Polizza, trovano applicazione le seguenti definizioni.

ACCESSO O UTILIZZO NON AUTORIZZATO: l’acquisizione dell’accesso o dell’utilizzo di Sistemi Informatici da parte di uno o più soggetti non autorizzati o l'impiego di Sistemi Informatici con modalità non autorizzate.

Assicurato: sia al singolare che al plurale, si intende:

1. Il nominativo del Contraente, indicato nella Scheda di Polizza e ogni Società Controllata dal

Contraente (congiuntamente denominati l’“Assicurato”);

2. Un amministratore, direttore generale o dirigente dell’Assicurato, ma esclusivamente con riferimento

alle funzioni dallo stesso o dalla stessa esercitate per conto dell’Assicurato;

3. Un dipendente (anche part-time, somministrato, distaccato o stagionale) del Contraente ma esclusivamente per le attività svolte nell’ambito del proprio lavoro e correlate allo svolgimento dell’attività dell’Assicurato;

4. Il soggetto giuridico che detenga la totalità nel capitale dell’Assicurato o un socio qualora l’Assicurato sia un’associazione, ma solo con riferimento allo svolgimento dei propri compiti in nome e per conto dell’Assicurato;

5. Un Assicurato Aggiuntivo, ma solo con riferimento alle Richieste di Risarcimento nei confronti di tale soggetto giuridico per atti, errori od omissioni dell’Assicurato;

6. L’asse ereditario, gli eredi, gli esecutori testamentari, gli amministratori o tutori, i curatori e i rappresentanti legali di un Assicurato in caso di morte, incapacità, insolvenza o fallimento dell’Assicurato, ma solo nella misura in cui a tale Assicurato sarebbe stata altrimenti garantita la copertura ai sensi della presente Assicurazione; e

7. Il coniuge legittimo, o la parte di una unione civile, compresa ogni persona fisica che si qualifichi come convivente ai sensi di quanto previsto dalla legge applicabile a ciascun Assicurato, ma esclusivamente in conseguenza di atti, errori o omissioni di tale Assicurato.

ASSICURATO AGGIUNTIVO: una persona fisica o giuridica che il Contraente abbia richiesto per iscritto di aggiungere quale Assicurato Aggiuntivo ai sensi della presente Polizza, per atti, errori od omissioni che non siano ancora stati commessi, ma solo nei limiti in cui l’Assicurato sarebbe stato responsabile e la copertura sarebbe stata operativa ai sensi della presente Polizza.

ATTIVITÀ: l’attività commerciale o industriale o professionale svolta dall’Assicurato.

ATTIVITÀ PUBBLICITARIE ASSICURATE: pubblicazione di Materiale Pubblicitario sul sito web

dell’Assicurato.

BROKER: l’intermediario di assicurazioni indicato nella Scheda di Polizza al quale il Contraente / Assicurato ha conferito il mandato a rappresentarlo ai fini del presente contratto.

Circostanza: qualsiasi evento o fatto che potrebbe ragionevolmente rappresentare il presupposto per una

Richiesta di Risarcimento.

Codice Maligno: virus, trojan horse, worm o ogni altro software simile, codice o script progettati appositamente per introdursi nella memoria del computer o in un disco del computer e diffondersi da un computer all’altro.

CONTO: conto aperto dall’Assicurato presso un Istituto Finanziario dal quale l’Assicurato possa pagare,

consegnare o trasferire Xxxxxx o Valori.

CONTRAENTE: il soggetto indicato nella prima pagina della Scheda di Xxxxxxx.

Controllo: controllo societario esercitato ai sensi del primo e del secondo comma dell’Art. 2359 del Codice

Civile.

COSTI, ONERI E SANZIONI PCI: sanzioni, penali, rimborsi, accertamenti monetari, recuperi da frodi dovuti dall’Assicurato ai sensi del Merchant Services Agreement come diretta conseguenza di una sospetta Violazione di Dati. Previo assenso da parte della Società, tale voce include i costi ragionevoli e necessari per l’assistenza legale per impugnare, contestare o ridurre l’ammontare dei Costi, oneri e Sanzioni PCI. I Costi, oneri e Sanzioni PCI non includono riaccrediti, commissioni interbancarie, sconti o compensi non connessi ad una Violazione di Dati.

COSTI PER RECUPERO DATI: i costi ragionevoli e necessari sostenuti dall’Assicurato per riottenere l’accesso ai Dati o ripristinare i medesimi, ovvero - qualora tali Dati non possano essere ragionevolmente resi accessibili, ripristinati, riuniti, assemblati o raccolti - i reali, ragionevoli e necessari costi e spese sostenute dall'Assicurato per raggiungere tale determinazione.

Il termine Costi per Recupero Dati non include (i) il valore monetario di profitti, le royalties o la perdita di quote di mercato relative ad un Dato, inclusi, a titolo non esaustivo, segreti commerciali o altre informazioni di proprietà o qualsiasi altro importo relativo al valore del Dato; (ii) costi di giustizia e spese legali di ogni tipo, (iii) perdite derivanti da qualunque responsabilità o obbligazione nei confronti di terzi per qualsivoglia motivo e a qualsiasi titolo; o (iv) Perdita da Cyber Estorsione.

Danaro: mezzo di scambio in uso corrente, autorizzato o adottato da un governo nazionale o straniero per la propria valuta.

DANNI: importi dovuti in forza di una sentenza di condanna al risarcimento, lodo arbitrale o transazione. Il termine Danni comprende inoltre le somme che l’Assicurato sia obbligato a depositare in un fondo a titolo di equo indennizzo per il pagamento delle richieste di risarcimento da parte dei consumatori a seguito di provvedimento giudiziale ovvero di una transazione di un Procedimento.

Il termine Danni non comprende:

1. profitti futuri e lucro cessante, restituzioni, restituzioni per arricchimento senza causa o indebito oggettivo da parte di un Assicurato, ovvero spese per l’ottemperanza a provvedimenti in forma specifica, inclusi provvedimenti di inibitoria;

2. rimborso o compensazione di corrispettivi, onorari, spese o commissioni per beni o servizi già forniti o per i quali, seppur non ancora forniti, sia già stato stipulato un contratto;

3. tasse, imposte o perdita di benefici fiscali;

4. Multe, sanzioni o penali che eccedano la misura del risarcimento strettamente compensativo;

5. risarcimento per i danni punitivi o esemplari, a meno che gli stessi non siano assicurabili in base alla legge applicabile;

6. sconti, buoni, premi, riconoscimenti o altri incentivi offerti ai committenti o ai clienti dell’Assicurato;

7. penali contrattuali;

8. fatto salvo quanto stabilito nella Sezione “Costi e spese PCI”, sanzioni, penali, costi o altri importi del

cui pagamento un Assicurato sia responsabile in virtù di un Merchant Services Agreement; o

9. importi per i quali l’Assicurato non sia responsabile, o per i quali non sussista alcun diritto per

l’esercizio dell’azione legale nei suoi confronti.

Danno alle Cose: pregiudizio economico conseguente a deterioramento o distruzione di beni materiali, compresa la perdita del loro uso. Ai fini di tale definizione, i beni materiali non includono i dati elettronici.

Danno alla Persona: lesione fisica, malattia, infermità o morte di una persona, comprese le lesioni

all’integrità psichica che ne derivino.

Data di Continuità:

1. la data indicata nella Scheda di Polizza; o

2. in relazione ad eventuali Società Controllate acquisite dopo la data indicata alla Data di Continuità, la data nella quale il Contraente ha acquisito tale Società Controllata.

DATA DI RETROATTIVITÀ: data specificata nella Scheda di Polizza, salvo che in relazione ad eventuali Società Controllate che siano divenute tali successivamente a tale data. Per ciascuna di tali Società Controllate, si intenderà come Data di Retroattività la data alla quale il Contraente ha acquisito il Controllo su tali Società Controllate.

DATO: qualsiasi software o dato elettronico presente nei Sistemi Informatici e che sia soggetto regolarmente a procedure di back-up.

Dato Personale:

1. le informazioni relative al(ai) soggetto(i)/persone fisiche qualificabili come dati personali ai sensi della

Legge sulla Notifica della Violazione; e

2. il numero della patente di guida o di altro documento personale o il codice fiscale; il numero di previdenza sociale; i recapiti telefonici non pubblicati; i numeri di carte di credito, debito x xxxxx finanziari in combinazione con i relativi codici di sicurezza, di accesso, password o PIN; quando tali informazioni consentano di identificare o contattare una persona fisica o consentano l’accesso ai suoi dati bancari o finanziari o ad informazioni sanitarie con esclusione delle informazioni lecitamente disponibili al pubblico.

DENIAL OF SERVICE ATTACK (DOSA): attacco con il quale l’autore dello stesso intenda esaurire la capacità di un Sistema Informatico inviando a quest’ultimo un volume eccessivo di dati elettronici, al fine di impedire la possibilità di accesso autorizzato a tale Sistema Informatico.

DIVULGAZIONE NON AUTORIZZATA: la divulgazione a terzi (compresa la divulgazione effettuata attraverso il phishing) o l’accesso a informazioni, senza autorizzazione dell’Assicurato e senza la conoscenza o il consenso o l’acquiescenza da parte di soggetti facenti parte del Gruppo di Controllo.

FRANCHIGIA: importo prestabilito che, in caso di sinistro, rimane a carico dell’Assicurato, come indicato nella Scheda di Polizza.

GRUPPO DI CONTROLLO: l’amministratore, il socio, il dirigente degli affari societari, il direttore generale, il dirigente degli affari legali, il direttore finanziario, l’amministratore fiduciario o il risk manager dell’Assicurato; ed ogni altro individuo che ricopra funzioni equivalenti.

INFORMAZIONI DI TERZI: segreti commerciali, dati, progetti, previsioni, formule, metodi, prassi, informazioni sulle bande magnetiche di carte di credito e di debito, stime, registrazioni, report o altri tipi di informazioni di un terzo estraneo all’Assicurato e che non siano di pubblico dominio.

INTERMEDIARIO: l’intermediario incaricato dalla Società alla distribuzione del prodotto assicurativo.

LAVORATORE INDIVIDUALE: persona fisica che lavora o presta servizi per l’Assicurato a fronte di un contratto scritto di lavoro o di servizi. Tale condizione sarà ritenuta applicabile al momento del compimento di un atto, errore od omissione rilevante ai sensi della presente Polizza.

LEGGE SULLA NOTIFICA DELLA VIOLAZIONE: legge, regolamento, normativa italiana o straniera, di livello nazionale, federale, statale o emesso da qualsiasi autorità amministrativa di qualsiasi Stato (ivi incluse le istituzioni, agenzie e altri enti dell’Unione Europea) che richieda l’invio di una comunicazione ai soggetti in caso di una violazione di Dati Personali.

LEGGE SULLA PRIVACY: legge o normativa Italiana - ed in particolare, il Codice per la protezione dei dati personali, di cui al Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni ed integrazioni - o di derivazione comunitaria o dell’Unione Europea - ed in particolare, il Regolamento UE 2016/679 del 27 aprile 2016 (“General Data Protection Regulation”), ed ogni altro atto normativo relativo alla disciplina ed attuazione della tutela dei dati personali e privacy in qualsivoglia giurisdizione - legge o normativa straniera nazionale, federale, provinciale, statale, locale o di altra autorità amministrativa di qualsivoglia Paese che richieda all’Assicurato di tutelare la riservatezza e/o la sicurezza di Dati Personali.

MASSIMALE AGGREGATO: la massima esposizione della Società per sinistro e per anno, così come indicato nella Scheda di Polizza a copertura di tutte le Perdite (diverse dai costi per i Servizi per la Gestione di una Violazione dei Dati).

MATERIALE MEDIA: ogni informazione in formato elettronico, incluse parole, suoni, numeri, immagini o grafiche; pubblicità, video, contenuti in streaming, web-casting, forum online, bacheca e chat room con esclusione dei computer, software o beni, prodotti o servizi descritti, illustrati o visibili in tale Materiale Media.

MERCHANT SERVICES AGREEMENT: accordo scritto tra l’Assicurato e una banca o istituto di pagamento o di moneta elettronica, o una società emittente di carte di credito/debito, o società di elaborazione di carte di credito/debito o un prestatore di servizi che consenta all’Assicurato di accettare pagamenti e/o versamenti attraverso carte di credito, carte di debito, prepagate o altre tipologie di carte.

Minaccia di Estorsione: minaccia tesa a:

1. alterare, distruggere, danneggiare, cancellare o corrompere i Dati;

2. perpetrare un Accesso o Uso non Autorizzato nei Sistemi Informatici;

3. impedire un accesso ai Sistemi Informatici o ai Dati;

4. rubare, utilizzare impropriamente o pubblicamente un Dato, un Dato Personale o Informazioni di Xxxxx;

5. introdurre un Codice Maligno all’interno dei Sistemi Informatici o in Sistemi Informatici di Terzi attraverso i Sistemi Informatici;

6. interrompere o sospendere i Sistemi Informatici;

salvo che il Pagamento per l’Estorsione venga ricevuto da o per conto dell’Assicurato.

Molteplici Minacce di Estorsione connesse o continuate saranno considerate ai sensi di questa Polizza come un’unica Minaccia di Estorsione e si considereranno avvenute nel momento in cui si è verificata la prima Minaccia di Estorsione.

MULTA: ogni ammenda, multa o sanzione pecuniaria dovuta in favore di qualsivoglia istituzione o organizzazione governativa ove imposta a seguito di un Procedimento da parte di qualunque organizzazione governativa nazionale, regionale, provinciale, locale o di altro tipo di qualsivoglia nazione (ivi inclusa qualsivoglia istituzione, agenzia o ente governativo dell’Unione Europea), sempreché l’assicurabilità di tali somme sia ammissibile e lecita ai sensi della legge applicabile al caso di specie.

In ogni caso, il termine Multa non include invece (a) costi per riparare o migliorare i Sistemi Informatici,

(b) costi per stabilire, implementare, mantenere, migliorare o risanare le procedure di sicurezza o privacy, programmi o processi interni, (c) costi di verifica, valutazione, conformità o di comunicazione o (d) i costi per proteggere la riservatezza l'integrità e / o la sicurezza dei Dati Personali dal furto, perdita o divulgazione, anche se in risposta ad un procedimento o indagine amministrativa o giudiziaria.

PAGAMENTO DELL’ESTORSIONE: il denaro, la Valuta Digitale o qualunque altro valore, i beni commerciabili o i servizi o le attività richieste per evitare, far cessare o inibire una Minaccia di Estorsione.

PARTE CORRELATA: l’Assicurato e qualunque dipendente passato, presente e futuro, amministratori, direttori, dirigenti, soci, partners o persona fisiche che agiscano come collaboratori indipendenti dell’Assicurato.

PERDITA: Xxxxx, le Spese di Difesa, i Servizi per la Gestione di una Violazione dei Dati, le Spese per investigazione, le Multe, i Costi, oneri e Sanzioni PCI, i Costi per Recupero Dati, le Perdite da Interruzione dell’Attività e le Perdite da Cyber Estorsione.

Perdita da Cyber Estorsione:

1. Ove assicurabile per legge, qualsiasi Pagamento dell’Estorsione che sia stato effettuato sotto costrizione da o per conto dell’Assicurato con il preventivo consenso scritto della Società, ma solamente allo scopo di evitare o far terminare una Minaccia di Estorsione e per un importo che non ecceda i Danni e le Spese correlate alla Richiesta di Risarcimento che sarebbero state sostenute se non si fosse proceduto al Pagamento dell’Estorsione;

2. parcelle e spese pagate da e per conto dell’Assicurato per consulenti sulla sicurezza con il preventivo consenso scritto della Società, ma solamente per evitare o far terminare una Minaccia di Estorsione.

Perdita da Interruzione di Attività:

- La Perdita di Profitto,

- le Spese per un esperto informatico, e

- le Spese Straordinarie

effettivamente patite e/o sostenute durante il Periodo di Ripristino come risultato diretto della effettiva interruzione di attività dell’Assicurato causata da una Violazione della Sicurezza. La copertura assicurativa per la Perdita da Interruzione di Attività si applica solo dopo il decorso del Periodo di Attesa.

La Perdita da Interruzione di Attività non comprende: (i) qualsivoglia perdita derivante da qualunque responsabilità o obbligazione nei confronti di terzi per qualsiasi motivo, (ii) costi di giustizia e spese legali di ogni tipo; (iii) perdite subite a seguito di condizioni commerciali sfavorevoli, (iv) perdite a seguito di variazioni dei valori di mercato o ogni altra perdita consequenziale, o (v) Costi di Recupero Dati.

Perdita di Profitto si intende:

1. il profitto netto al lordo delle imposte che l’Assicurato avrebbe incassato o guadagnato; e

2. le spese fisse di gestione sostenute dall’Assicurato (inclusi i compensi e gli stipendi), per necessità, durante il Periodo di Ripristino.

PERIODO DI ASSICURAZIONE: il periodo di tempo fra la data di decorrenza della presente Polizza, indicata nella Scheda di Polizza, e l’effettiva data di risoluzione, scadenza o annullamento della presente Polizza.

PERIODO DI ATTESA: il periodo di tempo che inizia dopo l’interruzione effettiva delle attività commerciali dell’Assicurato - che sia stata causata da Violazione della Sicurezza - e termina una volta trascorse le ore indicate nella Scheda di Polizza come Periodo di Attesa.

PERIODO DI GARANZIA POSTUMA: (ove applicabile) il periodo di prolungamento pari a 12 (dodici) mesi della validità di copertura della presente Polizza, indicato nella Scheda di Polizza, stabilito previa espressa pattuizione tra le parti e pagamento di un premio aggiuntivo.

PERIODO DI RIPRISTINO: il periodo di tempo pari a 180 giorni che decorre dalla effettiva e necessaria interruzione o sospensione delle attività operative dell’Assicurato.

POLITICA PRIVACY: il documento operativo e procedurale adottato dall’Assicurato per l’adeguamento alla vigente normativa sulla privacy, ovvero documenti scritti disponibili al pubblico relativi alla procedura per la raccolta, l’utilizzo, la condivisione, la diffusione e la correzione o il completamento, e l’accesso a Dati Personali.

Polizza: L’insieme dei documenti che comprovano la presente copertura assicurativa.

PROCEDIMENTO: qualsiasi richiesta di informazioni, indagine amministrativa, o procedimento avviato da parte del Garante per la Protezione dei dati personali, dell’Autorità per le Garanzie nelle Comunicazioni o da qualsivoglia altra autorità o ente italiano competente - ovvero da un analogo ente statale, locale o governativo estero - derivante dall’uso improprio di Dati Personali o da qualsiasi altro aspetto relativo al controllo o al trattamento di Dati Personali.

QUESTIONARIO/MODULO DI PROPOSTA: il formulario attraverso il quale la Società prende atto di tutte le notizie ritenute essenziali per la valutazione dei rischi o e per la determinazione del premio di polizza; le dichiarazioni in esso contenute formano parte integrante del contratto. Si intendono, altresì, inclusi i relativi allegati, e tutte le altre informazioni e i materiali inviati o specificamente citati alla Società da o per conto dell'Assicurato in relazione alla sottoscrizione della presente Polizza o delle precedenti polizze di cui la presente sia un rinnovo.

RESPONSABILITÀ MEDIA: qualsiasi dei seguenti atti commessi direttamente, o per conto di, dall’Assicurato nell’attività di creare, pubblicare, riprodurre, diffondere o realizzare Materiale Media per il pubblico:

1. diffamazione o ingiuria o calunnia in forma scritta o orale, discredito dei prodotti, diffamazione commerciale, atto o fatto illecito, inflizione di stress emotivo, condotta offensiva o altro illecito correlato al discredito o danneggiamento della reputazione di una persona fisica o giuridica;

2. violazione del diritto alla privacy di una persona fisica, ivi inclusa la diffusione di informazioni false;

3. invasione o interferenza nel diritto di tutela all’uso del nome o dell’immagine di un individuo, tra cui l’appropriazione del nome commerciale, del personaggio, della voce o dell’immagine;

4. plagio, pirateria o appropriazione indebita di idee;

5. violazione del copyright;

6. violazione di nomi a dominio, marchi, segni distintivi, loghi, titoli, metatag o slogan, marchi commerciali o segni distintivi di beni o servizi;

7. improprio collegamento ipertestuale (deep-linking) o framing all'interno di contenuti elettronici;

8. falso arresto o detenzione;

9. violazione o interferenza con qualsivoglia diritto di domicilio;

10. concorrenza sleale, nel caso in cui sia connessa ai fatti di cui ai precedenti punti 5. o 6.

Richiesta di Risarcimento:

1. una richiesta scritta ricevuta da un Assicurato per il pagamento di somme di denaro, obbligo di fare o la prestazione di servizi;

2. in relazione alla sola copertura fornita ai sensi della Sezione 2.5 “Costi di istruttoria”, l’avvio di un

Procedimento nei confronti di un Assicurato;

3. in relazione alla copertura prevista dalla Sezione 1.2 “Responsabilità per la sicurezza delle informazioni e privacy”, una richiesta ricevuta dall’Assicurato di adempiere all’obbligazione contrattuale di provvedere alla notifica di una Violazione dei Dati ai sensi della Legge sulla Notifica della Violazione.

Eventuali Richieste di Risarcimento derivanti dagli stessi atti, errori o omissioni, ovvero da una serie di atti, errori o omissioni correlati o ripetuti ovvero da atti, errori o omissioni continuate, dovranno essere considerate, ai fini della presente Polizza, come una singola Richiesta di Risarcimento, indipendentemente dal numero dei richiedenti o degli Assicurati coinvolti nella Richiesta di Risarcimento. Tali Richieste di Xxxxxxxxxxxx s’intenderanno presentate alla data di presentazione della prima Richiesta di Risarcimento.

SERVIZI PER LA GESTIONE DI UNA VIOLAZIONE DEI DATI: i costi e i compensi incorsi per far fronte ad una effettiva o sospetta Violazione dei Dati o Violazione della Sicurezza per le seguenti attività:

1. assistenza legale in favore dell’Assicurato per valutazione degli obblighi sullo stesso gravanti ai sensi della Legge sulla Notifica della Violazione applicabile o del Merchant Services Agreement, nonché in relazione ai Servizi per la Gestione di una Violazione dei Dati elencati di seguito;

2. assistenza da parte di un esperto di sicurezza informatica al fine di determinare l’esistenza, la causa o lo scopo di un’attuale o potenziale Violazione dei Dati ovvero di eliminarla o contenerla, ove tale Violazione dei Dati fosse ancora attiva sui Sistemi Informatici dell’Assicurato;

3. assistenza da parte di un PCI Forensic Investigator per accertare l’esistenza, la causa o lo scopo di un’attuale o potenziale Violazione dei Dati in relazione ai dati relativi a carte di credito/debito e la nomina di un esperto di sicurezza informatica che certifichi o fornisca assistenza per la certificazione della compliance PCI, come previsto dal Merchant Services Agreement;

4. per provvedere alla notifica ai Soggetti Titolari a seguito di una Violazione dei Dati in eccesso rispetto al Massimale per notifiche a Soggetti Titolari;

5. la messa a disposizione di un call center per fornire informazioni ai Soggetti Titolari interessati da una Violazione dei Dati, in eccesso rispetto al Massimale per notifiche a Soggetti Titolari;

6. il monitoraggio del credito, il monitoraggio dell’identità o altra soluzione selezionata tra i prodotti e servizi indicati nell’Appendice Informativa ed offerti ai Soggetti Titolari potenzialmente coinvolti a causa della Violazione dei Dati in eccesso rispetto al Massimale per notifiche a Soggetti Titolari;

7. i costi per pubbliche relazioni o gestione della crisi, che siano approvati preventivamente dalla Società

a propria discrezione, e che siano strettamente diretti a mitigare il danno per l’Assicurato.

I Servizi per la Gestione di una Violazione dei Dati saranno prestati - secondo le condizioni e i termini indicati nell’Appendice Informativa posta in fondo al presente documento - da un fornitore di servizi raccomandato dalla Società e selezionato dall’Assicurato di concerto con la Società. Qualora il fornitore di servizi dovesse risultare indisponibile o non possa fornire il servizio indicato ai punti precedenti, la Società procurerà un servizio similare a mezzo di altre risorse nell’arco di un tempo ragionevole. In caso di modifiche legislative, regolamenti o obblighi normativi e/o giudiziali che impediscano o limitino la Società

- o i suoi fornitori di servizi - dal fornire, in tutto o in parte, i Servizi per la Gestione di una Violazione dei Dati, la Società farà tutto il possibile per sostituirli con servizi similari ma, qualora ciò non fosse possibile, non risponderà per la mancata fornitura di tali servizi.

I Servizi per la Gestione di una Violazione dei Dati sono soggetti ai termini e alle condizioni della presente Polizza, includono l’assistenza da parte del Team Gestione Sinistri ma non comprendono i salari/stipendi dell’Assicurato.

SICUREZZA INFORMATICA: i software, i computer o i dispositivi hardware di rete, la cui funzione o scopo è quella di evitare un Accesso o Utilizzo non Autorizzato, un Denial of Service Attack contro i Sistemi Informatici, l’attacco ad un Sistema Informatico attraverso un Codice Maligno ovvero la trasmissione di un Codice Maligno dai Sistemi Informatici.

La Sicurezza Informatica comprende i software anti-virus e i sistemi di rilevamento dell’intrusione, firewalls e sistemi elettronici per il controllo dell’accesso ai Sistemi Informatici mediante l’impiego di password, identificazione biometrica o simili degli utenti autorizzati. Soltanto in riferimento alle Sezioni 1.2, 2.5, 2.7, con il termine Sicurezza Informatica si intendono anche le politiche e le procedure sulla sicurezza delle informazioni predisposte in forma scritta che l’Organizzazione Assicurata ha adottato al fine di evitare un Accesso o Utilizzo non Autorizzato, un Denial of Service Attack contro i Sistemi Informatici, un’infezione dei Sistemi Informatici a causa di un Codice Maligno o la trasmissione di un Codice Maligno dai Sistemi Informatici.

Sistemi Informatici: computer e relativi dispositivi d’input e output, inclusi computer portatili aziendali, telefoni cellulari aziendali, dispositivi di memorizzazione dei dati, dispositivi di rete, e sistemi di back up che siano:

1. gestiti e di proprietà dell’Assicurato ovvero da questa noleggiati;

2. in relazione alla sola copertura per la Sezione 1 - Responsabilità civile verso terzi e per i Servizi per la Gestione di una Violazione dei Dati, gestiti da un service provider terzo – previo contratto in forma scritta - e impiegati per fornire servizi di applicazione per computer dedicati all’Assicurato ovvero

per l’elaborazione, il mantenimento, l’hosting o la memorizzazione dei dati elettronici dell’Assicurato, in conformità al contratto stipulato con quest'ultima per tali dispositivi.

SISTEMI INFORMATICI DI TERZI: sistemi informatici - comprensivi di dispositivi input e output correlati, dispositivi di memorizzazione dati, dispositivi di rete e sistemi di back up - che non sono di proprietà dell’Assicurato o non vengono da questi gestiti o controllati, con esclusione di quelli per i quali l’Assicurato svolga servizi.

Società: ITAS Mutua, che presta l’assicurazione, quale risulta dalla polizza sottoscritta dalle Parti.

SOCIETÀ CONTROLLATA: qualsiasi entità giuridica di cui l’Assicurato:

1. deteneva, direttamente o indirettamente, il Controllo su tale soggetto alla data di sottoscrizione della presente Polizza; e

2. acquisisca il Controllo successivamente alla data di sottoscrizione della presente Polizza, purché i ricavi dell’organizzazione acquisita non superino il quindici percento (15%) dei ricavi annuali dell’Assicurato; oppure

Qualora i ricavi dell’organizzazione acquisita superino il quindici percento (15%) dei ricavi annuali dell’Assicurato, la copertura ai sensi di Polizza sarà garantita per un termine di 60 (sessanta) giorni, ma solo per atti, incidenti o eventi che si verifichino nel periodo in cui l’Assicurato abbia detenuto tale percentuale. Successivamente al suddetto termine, la copertura sarà operante solo previa comunicazione per iscritto dell’acquisizione alla Società e previo assenso da parte di quest’ultima e previo il pagamento del premio aggiuntivo che sarà comunicato.

SOGGETTI TITOLARI: le persone fisiche alle quali deve essere inviata (o almeno tentata) una notifica per violazione della privacy ai sensi della Legge sulla Notifica della Violazione.

Spese di Difesa:

1. tutte le spese ragionevoli e necessarie sostenute per resistere alle Richieste di Risarcimento come previsto dall’Art. 1917, comma 3 c.c., xxx comprese le spese richieste ed addebitate da un avvocato nominato in conformità alle disposizioni di cui alla Sezione 5.3 “Difesa in Giudizio e Transazione sulle Richieste di Risarcimento”;

2. tutti gli altri costi e spese legali inerenti all’esame, soluzione, difesa o contestazione di una Richiesta di Risarcimento, ovvero da circostanze che possano comportare una Richiesta di Risarcimento, se tali spese sono state sostenute dalla Società ovvero dall’Assicurato con il previo consenso scritto della Società;

3. il costo per la costituzione di cauzioni o fondi di garanzia per impugnare o ottenere provvedimenti giudiziali per il rilascio di beni di proprietà dell’Assicurato per il corretto adempimento di obbligazioni, qualora richiesto in merito a qualsivoglia Richiesta di Risarcimento.

Le Spese di Difesa non comprendono i salari, le spese di gestione o altri importi addebitati o sostenuti direttamente dall’Assicurato per l’assistenza o la collaborazione fornita alla Società ai fini della difesa e dell’esame di una Richiesta di Risarcimento ovvero di una circostanza che potrebbe dare origine ad una Richiesta di Risarcimento ovvero le spese per ottemperare a provvedimenti amministrativi, transazioni o decisioni giudiziali.

SPESE PER INVESTIGAZIONE: le spese ragionevoli sostenute dall’Assicurato - previo assenso della Società - per assumere un investigatore - abilitato all’esercizio di tale attività - per la ricerca di prove per l’individuazione dell’autore dell’atto illecito che abbia causato un evento coperto dalla presente Polizza. In ogni caso, non rientrano nella presente copertura le spese effettuate oltre i sei (6) mesi dal termine del Periodo di Assicurazione.

SPESE PER UN PERITO: le spese ragionevoli e necessarie sostenute dall’Assicurato per verificare la fonte o la causa di una Perdita da Interruzione di Attività.

SPESE STRAORDINARIE: le spese ragionevoli e necessarie sostenute dall’Assicurato durante il Periodo di Ripristino per minimizzare, ridurre o evitare una Perdita di Profitto, a condizione che tali spese siano superiori alle spese che avrebbe sostenuto l’Assicurato, qualora non ci fosse stata alcuna Violazione della Sicurezza.

TEAM GESTIONE SINISTRI: il team nominato da ITAS Mutua il cui compito è il coordinamento dei Servizi per la Gestione di una Violazione dei Dati. Il Team Gestione Sinistri collabora con l’Assicurato per esaminare l’impatto di una violazione di dati e contemporaneamente offrire assistenza nel coordinamento di una serie di risorse e servizi di cui l’Assicurato potrebbe avere bisogno per ottemperare agli obblighi legali e rispondere alle richieste di utenti e clienti. Il Team Gestione Sinistri può essere contattato via

email al seguente indirizzo xxxxxxxx.xxxxx@xxxxxxxxxx.xx o attraverso un call center disponibile 24/7 al x00 000 000 000.

TERRORISMO INFORMATICO: il ricorso premeditato ad attività volte a compromettere la rete o i Sistemi Informatici, ovvero la minaccia esplicita di ricorso a tali attività, nell’intento di provocare danni e perseguire fini sociali, ideologici, religiosi, politici o obiettivi analoghi, o di intimidire una o più persone nel perseguimento di tali obiettivi. In nessuna circostanza costituiscono terrorismo informatico le attività che fanno parte o sono condotte a sostegno di qualsiasi azione militare, guerra o operazione bellica.

TERZO: qualunque persona fisica o giuridica diversa dall’Assicurato, dal Contraente e dalla Società.

VALORI: strumenti negoziabili e non o contratti rappresentativi di Danaro o beni immobili o mobili e tutti gli altri documenti rappresentanti un valore.

Valuta Digitale: valuta digitale che:

- Necessita di tecniche di cifratura al fine di regolare la generazione di unità di valuta e verificarne il trasferimento;

- Viene archiviata e trasferita in formato elettronico; e

- Opera indipendentemente da banche centrali o qualsiasi altra autorità.

VIOLAZIONE DEI DATI: il furto, la perdita, o la Divulgazione Non Autorizzata di Dati Personali o Informazioni di Terzi per i quali vige l’obbligo della conservazione e custodia in capo all’Assicurato o di un terzo sotto la responsabilità dell’Assicurato.

Violazione della Sicurezza:

1. l’Accesso o Utilizzo Non Autorizzato di Sistemi Informatici, compresi l’Accesso o Utilizzo Non Autorizzato derivante dal furto di una password da un Sistema Informatico o da un Assicurato;

2. un Denial of Service Attack nei confronti dei Sistemi Informatici;

3. con riferimento alla copertura di cui alla Sezione di Responsabilità Civile, un Denial of Service Attack che

riguardi sistemi informatici che non siano di proprietà, posseduti, gestiti o controllati dall’Assicurato; o

4. il danneggiamento di Sistemi Informatici attraverso un Codice Maligno o la trasmissione di un Codice Maligno dai Sistemi Informatici.

Una serie continuata di Violazioni della Sicurezza, correlate o ripetute, ovvero Violazioni della Sicurezza multiple cui consegue un continuato malfunzionamento della Sicurezza Informatica dovranno essere considerate come un’unica Violazione della Sicurezza e si dovrà ritenere che si siano verificate al momento della prima Violazione della Sicurezza.

SEZIONE 1 - RESPONSABILITÀ CIVILE VERSO TERZI

CHI È ASSICURATO

Art. 1.1 - ASSICURATO

I soggetti di cui alla definizione di Assicurato.

CONTRO QUALI DANNI POSSO ASSICURARMI

Fermo restando quanto specificato alla voce “H” delle Esclusioni, l’assicurazione è valida per la responsabilità civile che possa derivare all’Assicurato da fatto anche doloso dei suoi dipendenti o di eventuali lavoratori parasubordinati (anche part-time, somministrati, distaccati o stagionali), limitatamente all’attività svolta in nome e per conto dell'Assicurato. Fermo il diritto di rivalsa della Società.

Art. 1.2 - VALIDITÀ TEMPORALE DELLE GARANZIE RCT - CLAIMS MADE

La copertura assicurativa della presente Sezione è prestata nella forma Claims Made. Essa pertanto copre le Richieste di Risarcimento da parte di terzi, conseguenti ad eventi assicurati non noti verificatisi successivamente la Data di Retroattività (ove prevista) indicata nella Scheda di Polizza, ed avanzate comunque per la prima volta nei confronti dell’Assicurato nel Periodo di Assicurazione e da questi debitamente denunciate alla Società durante il Periodo di Assicurazione (o durante l’eventuale Periodo di Garanzia Postuma).

Art. 1.3 - RESPONSABILITÀ PER LA SICUREZZA DELLE INFORMAZIONI E PRIVACY

La Società si impegna a tenere indenne l’Assicurato in relazione a Xxxxx e Spese di Difesa, di quanto questi sia legalmente tenuto a pagare in conseguenza di qualsivoglia Richiesta di Risarcimento, pervenuta all’Assicurato per la prima volta durante il Periodo di Assicurazione, derivante da:

1. Violazione dei Dati;

2. Violazione della Sicurezza;

3. Inosservanza della Legge sulla Notifica della Violazione;

4. inadempimento colposo da parte dell’Assicurato di quella parte della Politica Privacy che esplicitamente:

(a) proibisce o limita la diffusione, la divulgazione e la vendita da parte dell’Assicurato, di Dati Personali;

(b) impone all’Assicurato, previa richiesta dell’avente diritto, di garantire l’accesso ai relativi Dati Personali ovvero la correzione e modifica degli stessi in caso di loro incompletezza o imprecisione; ovvero

purché l’Assicurato abbia adottato una Politica Privacy, al momento dell’avverarsi di una delle violazioni

sopra elencate.

Art. 1.4 - RESPONSABILITÀ PER L’ATTIVITÀ MULTIMEDIALE E PUBBLICITARIA

La Società si impegna a tenere indenne l’Assicurato in relazione a Xxxxx e Spese di Difesa, che quest’ultimo sarà tenuto a corrispondere per responsabilità connesse a Richieste di Risarcimento per Responsabilità Media, presentate per la prima volta nei confronti dell’Assicurato durante il Periodo di Assicurazione.

Art. 1.5 - COSTI E SPESE PCI

La Società si impegna a tenere indenne l’Assicurato in relazione alle somme che quest’ultimo sarà tenuto a corrispondere per Xxxxx, oneri e Sanzioni PCI, per Richieste di Risarcimento pervenute per la prima volta durante il Periodo di Assicurazione.

COME E CON QUALI CONDIZIONI OPERATIVE MI ASSICURO LIMITI DI COPERTURA

Art. 1.6 - MASSIMALE

Il Massimale Aggregato indicato in Polizza è il massimale totale aggregato prestato a copertura di tutte le Perdite ai sensi della presente Xxxxxxx, fermo restando, per le sole Spese di Difesa, quanto previsto dall’Art. 1917, comma 3, c.c.

I sotto limiti previsti in Polizza, laddove applicabili, costituiscono parte integrante del - e non andranno a sommarsi al - Massimale Aggregato.

Art. 1.7 - FRANCHIGIA

evento o agli incidenti o eventi correlati, da cui derivi una Richiesta di Risarcimento. Qualora una

L’importo della Franchigia indicata in Scheda di Polizza si applica separatamente ad ogni incidente,

Richiesta di Risarcimento sia soggetta a più di una Franchigia, l’ammontare della relativa Franchigia si applicherà per ciascuna garanzia della presente Polizza, sino al massimo della Franchigia più elevata. Il pagamento delle somme di cui alla Franchigia resta condizione necessaria per il pagamento di qualsivoglia somma - ai sensi di Polizza - da parte della Società, la quale, in ogni caso, rimarrà obbligata solamente per le somme che dovessero eccedere la Franchigia.

Tabella riassuntiva di limiti, scoperti e/o franchigie

Garanzia	Franchigie	Sub limite per sinistro ed in aggregato
Responsabilità per la sicurezza delle informazioni e privacy	Vedi scheda di polizza	Vedi scheda di polizza
Responsabilità per l’attività multimediale e pubblicitaria	Vedi scheda di polizza	Vedi scheda di polizza
Costi e spese PCI	Vedi scheda di polizza	Vedi scheda di polizza

SEZIONE 2 – DANNI DIRETTI

CHE COSA POSSO ASSICURARE

Art. 2.1 - COSE ASSICURABILI

Con le garanzie previste in questa Sezione possono essere assicurati sia i danni diretti ai Dati che i danni indiretti come l’interruzione dell’attività esercitata dall’Assicurato e descritta in Xxxxxxx, conseguenti ad incidenti o eventi generatori che accadano per la prima volta successivamente alla Data di Retroattività e prima della scadenza del Periodo di Assicurazione.

CONTRO QUALI DANNI POSSO ASSICURARMI

Fermo restando quanto specificato alla voce “H” delle Esclusioni, l’assicurazione è valida per richieste connesse e/o derivanti, direttamente o indirettamente, da fatto anche doloso - ad esclusione della copertura di cui agli artt. 2.5 e 2.7 - dei suoi dipendenti o di eventuali lavoratori parasubordinati (anche part-time, somministrati, distaccati o stagionali), limitatamente all’attività svolta in nome e per conto dell'Assicurato. Fermo il diritto di rivalsa della Società.

La Società si impegna a tenere indenne l’Assicurato in relazione a:

2.2 - Xxxxx relativi all’interruzione della propria attività

Perdite da Interruzione di Attività che siano diretta conseguenza di una Violazione della Sicurezza di

cui l’Assicurato venga a conoscenza, per la prima volta, durante il Periodo di Assicurazione. 2.3 - Costi per recupero dati

Costi per Recupero Dati, quale conseguenza diretta di una Violazione della Sicurezza che l’Assicurato

scopra per la prima volta durante il Periodo di Assicurazione. 2.4 - Cyber Estorsione

Perdite da Cyber-Estorsione sostenute dall’Assicurato in conseguenza di una Minaccia di Estorsione

ricevuta per la prima volta contro di lui durante il Periodo di Assicurazione. 2.5 - Costi di istruttoria

Costi connessi ad un Procedimento, instaurato per la prima volta nei confronti dell’Assicurato durante il

Periodo di Assicurazione per un Violazione di Dati o per una Violazione della Sicurezza. 2.6 - Spese per investigazione

Qualsivoglia spesa inerente alle Spese per investigazione.

La Società si impegna altresì ad offrire all’Assicurato i seguenti servizi:

2.7 - Servizi per la Gestione di una violazione della privacy

Servizi per la Gestione di una Violazione dei Dati, conseguenti ad una Violazione di Dati o di una Violazione della Sicurezza di cui l’Assicurato sia venuto a conoscenza, per la prima volta, durante il Periodo di Assicurazione.

COME E CON QUALI CONDIZIONI OPERATIVE MI ASSICURO

LIMITI DI COPERTURA

Art. 2.8 - MASSIMALE

a. Regole generali per questa Sezione

Il Massimale Aggregato indicato in Polizza è il massimale totale aggregato prestato a copertura di tutte le Perdite - diverse dai costi per i Servizi per la Gestione di una Violazione dei Dati - ai sensi della presente Polizza, fermo restando, per le sole Spese di Difesa, quanto previsto dall’Art. 1917, comma 3, c.c.

I sottolimiti previsti in Polizza, laddove applicabili, costituiscono parte integrante del - e non andranno a sommarsi al - Massimale Aggregato.

b. Massimali applicabili ai Servizi per la Gestione di una Violazione dei Dati

La copertura per i Servizi per la Gestione di una Violazione dei Dati ai sensi di Polizza è in aggiunta al Massimale Aggregato.

Il Massimale delle notifiche in favore dei Soggetti Titolari indicato in Scheda di Polizza costituisce il numero massimo dei soggetti cui verrà inviata una notifica od offerto un servizio di call center o di monitoraggio dell’identità, da effettuarsi (anche in via di tentativo) per qualsivoglia incidente (o serie di incidenti) che possa far sorgere l’obbligo di copertura per i Servizi per la Gestione di una Violazione dei Dati.

Il Massimale indicato in Scheda di Polizza per le attività di esperti informatici, legali, di pubbliche relazioni e gestione della crisi di cui ai punti 1., 2., 3. e 7. della definizione di Servizi per la Gestione di una Violazione dei Dati rappresenta il limite aggregato e cumulativo di copertura per tali servizi.

Art. 2.9 - FRANCHIGIA

L’importo della Franchigia indicata in Scheda di Polizza si applica separatamente ad ogni incidente, evento o agli incidenti o eventi correlati, da cui derivi una Richiesta di Risarcimento o una Perdita. Qualora una Perdita sia soggetta a più di una Franchigia, l’ammontare della relativa Franchigia si applicherà per ciascuna garanzia della presente Polizza, sino al massimo della Franchigia più elevata.

L’importo della Franchigia indicato per i Servizi per la Gestione di una Violazione dei Dati si applica

separatamente ad ogni incidente, evento o agli incidenti o eventi correlati, da cui derivino obblighi per costi o servizi per assistenza legale, informatica forense, pubbliche relazioni o gestione della crisi indicati dai punti 1., 2., 3. e 7. della definizione di Servizi per la Gestione di una Violazione dei Dati.

La copertura assicurativa per Perdita da Interruzione di Attività opererà solo dopo il decorso del Periodo di Attesa e la Società indennizzerà l’Assicurato per tutte le Perdite da Interruzione di Attività patite nel corso del Periodo di Ripristino, in eccesso alla Franchigia applicabile.

Il pagamento delle somme di cui alla Franchigia resta condizione necessaria per il pagamento di qualsivoglia somma - ai sensi di Polizza - da parte della Società, la quale, in ogni caso, rimarrà obbligata

solamente per le somme che dovessero eccedere la Franchigia.

Tabella riassuntiva di limiti, scoperti e/o franchigie

Garanzia	Franchigie	Sub limite per sinistro ed in aggregato
Danni Relativi all’interruzione della propria attività	Vedi scheda di polizza	Vedi scheda di polizza
Costi per il recupero dati	Vedi scheda di polizza	Vedi scheda di polizza
Cyber estorsione	Vedi scheda di polizza	Vedi scheda di polizza
Costi di istruttoria	Vedi scheda di polizza	Vedi scheda di polizza
Spese per investigazione	Vedi scheda di polizza	Vedi scheda di polizza
Servizi per la gestione di una Violazione dei Dati	Vedi scheda di polizza	Vedi scheda di polizza

SEZIONE 3 – ESCLUSIONI

Art. 3.1 - ESCLUSIONI

La copertura prevista dalla presente Assicurazione non si applica a Richieste di Risarcimento o Perdite derivanti da:

A. Danni alle Persone o Danni alle Cose;

B. pretese:

- azionate da dipendenti, dirigenti, amministratori e collaboratori in genere dell’Assicurato per morte, lesioni personali, malattie o invalidità occorsi in relazione a qualsiasi forma di contratto di lavoro, impiego, stage, tirocinio, assunzione o collaborazione, o che derivino da una qualsiasi violazione di doveri e obblighi del datore di lavoro verso dipendenti, stagisti, tirocinanti, lavoratori in prova e collaboratori in genere;

- connesse a comportamenti di rilevanza penale, fraudolenti, illegali, dannosi o eventuali violazioni del diritto che siano commessi dall’Assicurato in modo premeditato o consapevole ed atti discriminatori in base a - ma non limitati a - sesso, razza, estrazione sociale, età, religione, gender, stato matrimoniale, disabilità fisiche o mentali, gravidanza.

Tuttavia, tali esclusioni non si applicheranno a Richieste di Risarcimento coperte ai sensi dei punti 1., 2. e 3. dell’art. 1.2 “Responsabilità per la sicurezza delle informazioni e privacy”, ovvero ai Servizi per la Gestione di una Violazione dei Dati di cui all’art. 2.7, e sempreché nessun soggetto del Gruppo di Controllo vi abbia partecipato o colluso.

C. Effettivi o asseriti atti, errori, omissioni o violazioni di obblighi da parte di ogni amministratore, sindaco, direttore generale o dirigente nello svolgimento delle proprie mansioni, qualora la Richiesta di Risarcimento sia avanzata da e per conto dell’Assicurato, di una Società Controllata, o qualsiasi amministratore, sindaco, direttore generale, dirigente o dipendente dell’Assicurato o di una Società Controllata, nell’esercizio dei propri diritti;

D. Responsabilità o obblighi contrattuali assunti, o derivanti o risultanti da violazioni o inadempimenti di un contratto o di un accordo scritto o orale, fermo restando, tuttavia, che tale esclusione non si applica:

1. con riferimento all’art. 1.2 “Responsabilità per la sicurezza delle informazioni e privacy” per Violazione dei Dati, per gli obblighi dell’Assicurato di mantenere la riservatezza o la sicurezza dei Dati Personali di terzi o di Informazioni di Terzi;

2. all’oggetto della copertura di cui alla Sezione 1.4 “Costi e spese PCI”; 3. in relazione al punto 4 della Definizione Responsabilità Media; o

4. nella misura in cui l’Assicurato sarebbe stato ugualmente responsabile in mancanza di tale contratto o accordo;

E. Effettive (o presunte) pratiche commerciali anticoncorrenziali, false, ingannevoli o scorrette. Tuttavia, questa esclusione non si applica a:

1. Richieste di Risarcimento coperte ai sensi dei punti 1., 2. e 3. dell’art. 1.2 “Responsabilità per la sicurezza delle informazioni e privacy” o dell’art. 2.5 - Costi di Istruttoria, ovvero

2. fornitura dei Servizi per la Gestione di una Violazione dei Dati di cui all’art. 2.7,

purché nessun soggetto del Gruppo di Controllo abbia partecipato né gli venga contestato di aver partecipato o colluso nella Violazione di Dati o Violazione della Sicurezza;

F. Pretese derivanti da qualsiasi effettiva o asserita:

1. raccolta illecita, trattamento o acquisizione di Dati Personali o altre informazioni personali da, o per conto di, o con il consenso o la collaborazione dell’Assicurato; o il mancato adempimento a un obbligo legale di fornire ai singoli individui la possibilità di consentire o meno alla raccolta, divulgazione o uso di Dati Personali; ovvero

2. trasmissione o pubblicazione non richiesta di e-mail, messaggistica istantanea, spamming, messaggi di testo, sms, fax, pubblicità, telefonate o altre comunicazioni;

3. illecita attività di telepromozione; o

4. attività di intercettazione telefonica, spionaggio o registrazione audio o video;

qualora qualsiasi delle sopramenzionate attività siano state svolte dall’Assicurato o per suo conto.

G. Atti, errori, omissioni, eventi, incidenti, malfunzionamenti, commessi o avvenuti prima della data di decorrenza della presente Polizza:

1. di cui qualsiasi soggetto di cui al Gruppo di Controllo fosse a conoscenza o avrebbe potuto ragionevolmente sospettare alla Data di Continuità; oppure

2. in relazione al quale ogni Assicurato abbia dato precedente comunicazione di una circostanza che potesse condurre ad una Richiesta di Risarcimento o Xxxxxxx, ad un diverso assicuratore in forza di un’altra polizza in vigore, considerando tra le seguenti, la data precedente:

(a) data di decorrenza della presente Polizza;

(b) in caso di rinnovo della presente Polizza, data di decorrenza della prima copertura consecutiva emessa dalla Società in rinnovo o sostituzione della presente Polizza;

H. Qualsivoglia azione, errore o omissione dolosa o fraudolenta, da parte di uno dei membri del Vertice Aziendale, o commessa da altri con la consapevolezza o la collusione di uno di costoro.

Tale esclusione non si applicherà a:

(i) Spese di Difesa sostenute per la difesa o la contestazione di Xxxxxxxxx di Xxxxxxxxxxxx sino alla emissione di una sentenza o decisione arbitrale che accerti l’intenzionalità della condotta, o alla ammissione per iscritto da parte dell’Assicurato della condotta od omissione contestata. A seguito di tale decisione o ammissione scritta di responsabilità, la Società avrà diritto alla restituzione di qualsiasi importo pagato per l'Assicurato ai sensi della presente Polizza;

(ii) Richieste di Risarcimento nei confronti di persone fisiche rientranti nella definizione di Assicurato, qualora tale persona fisica non abbia personalmente commesso, partecipato, xxxxxxx nella condotta od omissione contestata.

I. Pretese connesse a:

1. violazione o abuso - effettivo o presunto - di un brevetto o dei diritti correlati;

2. violazione del copyright derivante da (o relativo ad) un codice software o a prodotti software - diversa da violazioni derivanti da un furto o un Accesso o Utilizzo non autorizzato di un codice software - da parte di una persona che non sia una Parte Correlata;

3. utilizzo o appropriazione indebita - effettiva o presunta - di idee, segreti commerciali o Informazioni di Xxxxx (i) da parte o per conto dell’Assicurato, o (ii) da ogni altra persona fisica o giuridica, qualora tale utilizzo o appropriazione indebita vengano operati con la consapevolezza, il consenso o l’accettazione da parte di qualsiasi soggetto del Gruppo di Controllo.

L. Pretese connesse a Richieste di Risarcimento presentate da o per conto di una organizzazione governativa nazionale, regionale, provinciale, locale o di altro tipo (ivi inclusa qualsivoglia istituzione, agenzia o ente governativo dell’Unione Europea); con esclusione dei costi di cui all’art. 2.6 - Costi di Istruttoria o ai costi di notifica di cui al punto 4. della Definizione Servizi per la Gestione di una Violazione dei Dati;

M. Pretese connesse a Richieste di Risarcimento da parte o per conto di

- uno o più Assicurati nei confronti di ogni altro Assicurato o di altri Assicurati; posto che tale esclusione non si applica alle Richieste di Risarcimento coperte ai sensi dei punti 1., 2., 3. dell’art. 1.2 “Responsabilità per la sicurezza delle informazioni e privacy” azionate da una persona fisica che non rientri nella definizione di Gruppo di Controllo;

- un Assicurato Aggiuntivo;

- un’impresa o una società commerciale o altro ente nel quale un Assicurato detenga una partecipazione superiore al quindici percento (15%) ovvero presentate da qualsivoglia società (controllata, correlata o consorella) o da altra organizzazione che detenga oltre il quindici percento (15%) dell’Assicurato.

N. Pretese connesse ad uno dei seguenti eventi: (1) perdite d’esercizio, passività finanziarie o modifica dei valori delle poste di bilancio; eventuali perdite, trasferimenti o furto di denaro, titoli o beni materiali di terzi di cui l’Assicurato abbia il possesso, la custodia o il controllo; (2) il valore monetario di qualsiasi transazione o trasferimento elettronico di fondi da parte o per conto dell’Assicurato che sia perduto, ridotto o danneggiato durante il trasferimento da, ovvero tra, i conti; o (3) il valore di buoni, sconti, premi, riconoscimenti, o altra ricompensa in eccedenza rispetto all’importo contrattuale stabilito o previsto.

Tale esclusione non si applica se è prevista la copertura aggiuntiva E-Crime.

O. Con riferimento agli artt. 1.2, 2.5, 2.7, qualsivoglia Richiesta di Risarcimento o Perdita derivante dalla distribuzione, presentazione, esibizione, pubblicazione, esposizione o trasmissione di contenuti o materiali in:

1. trasmissioni, da o per conto di, o con il permesso o il controllo di qualsiasi Assicurato, ivi inclusi, senza limitazione alcuna, in televisione, al cinema, via cavo, in trasmissioni televisive satellitari e radiofoniche;

2. pubblicazioni, da o per conto di, o con il permesso o il controllo di qualsiasi Assicurato, ivi inclusi, senza limitazione alcuna, su giornali, attraverso newsletter, su riviste, libri o altra forma letteraria, monografia, brochure, directory, sceneggiature, pubblicazioni teatrali e video, ivi inclusi i contenuti visualizzati su un sito internet; ovvero

3. pubblicità da o per conto di qualunque Assicurato;

restando peraltro inteso che tale esclusione non si applica alla pubblicazione, distribuzione o visualizzazione della Politica Privacy adottata dall’Assicurato;

P. Imprecisa, inadeguata o incompleta descrizione della merce o del prezzo, dei prodotti o dei servizi ovvero della eventuale non conformità, ivi incluse garanzie o dichiarazioni di costo o stime di costo contrattuale;

Q. Xxxxx o asserita scommessa, concorso, lotteria, gioco promozionale o altro gioco d’azzardo;

R. Pretese (i) connesse a reali o asserite obbligazioni di pagamento di royalties o diritti di licenza; (ii) presentate da – o in nome e per conto di – organizzazioni o enti – nazionali od internazionali - di tutela dei diritti di proprietà intellettuali; (iii) presentate da o per conto di qualsivoglia contraente indipendente, joint venturer o partner derivanti o risultanti da controversie inerenti la titolarità di diritti sul Materiale Pubblicitario o sui servizi forniti da tale contraente indipendente, joint venturer o partner;

S. Direttamente o indirettamente, inquinamento dell’aria, dell’acqua, del suolo, del sottosuolo, effetti nocivi o dalla presenza di muffe tossiche ed amianto o da danno ambientale;

T. Direttamente o indirettamente, fulmini, vento, inondazioni, terremoti, maremoti, eruzioni vulcaniche, esplosioni o emanazioni di calore o radiazioni, provenienti da trasmutazioni del nucleo dell’atomo; oppure derivanti da radiazioni provocate dall’accumulazione artificiale di particelle atomiche;

U. Guasto o interruzione di alimentazione ad una infrastruttura energetica o di telecomunicazione, di utenze pubbliche, di servizi satellitari o di servizi esterni di comunicazione, qualunque ne sia la causa, che fornisce tali servizi all’Assicurato, qualora tale infrastruttura non sia sotto il diretto controllo dell’Assicurato;

V. Direttamente o indirettamente, guerra, invasione, azione di nemici esterni, ostilità, operazioni belliche (con o senza dichiarazione di guerra), guerra civile, ribellione, rivoluzione, insurrezione, tumulti civili che costituiscano o assumano le proporzioni di una sollevazione, esercizio di potere militare, legge marziale, usurpazione di potere. La presente esclusione non si applica agli atti di Terrorismo Informatico.

Z. Danni presunti o derivanti da qualsiasi accordo:

(i) che assicuri o garantisca un determinato risultato;

(ii) mediante il quale ci si impegni a tenere indenne o rimborsare in caso di un determinato risultato;

(iii) mediante il quale si accetti di pagare una penalità contrattuale o danni liquidati in caso di inadempimento;

(iv) che preveda un vantaggio maggiore o più duraturo di quello garantito alla parte con la quale originariamente si fosse obbligati;

fatto salvo il caso in cui l’Assicurato sarebbe in ogni caso responsabile pur in assenza di un tale accordo.

Premesse tutte le sopra svolte esclusioni, in ogni caso, la Società non sarà tenuta a fornire copertura, non sarà obbligata ad indennizzare alcun sinistro o a fornire alcuna prestazione in virtù del presente contratto nella misura in cui la fornitura di tale copertura, pagamento di qualsivoglia sinistro o fornitura di tale prestazione esporrebbe la Società a qualsiasi sanzione, divieto o restrizione derivanti da risoluzioni delle Nazioni Unite o sanzioni economiche e commerciali, leggi o disposizioni dell’Unione Europea, Regno Unito o Stati Uniti d’America.

SEZIONE 4 – NORME COMUNI A TUTTE LE GARANZIE

Art. 4.1 - RICHIAMO ALLE DEFINIZIONI

Le Parti convengono che le definizioni che precedono fanno parte integrante del presente contratto e vengono tutte richiamate ai fini dell’interpretazione di queste condizioni e di ogni altra previsione contrattuale riguardante la presente assicurazione.

I termini utilizzati al singolare includono anche il loro corrispettivo al plurale e viceversa.

Art. 4.2 - DICHIARAZIONI DEL CONTRAENTE E DELL’ASSICURATO

Per la stipula della presente Polizza e per la valutazione del rischio la Società fa affidamento sulle dichiarazioni e le informazioni rese dal Contraente e/o dall’Assicurato per iscritto prima della sottoscrizione del presente contratto, incluse le informazioni contenute nel Questionario/Modulo di Proposta. Le dichiarazioni inesatte o le reticenze del Contraente o dell’Assicurato relative a circostanze che influiscono sulla valutazione del rischio possono comportare la perdita totale o parziale del diritto all’Indennizzo, nonché la stessa cessazione della copertura assicurativa ai sensi degli articoli 1892, 1893 e 1894 c.c.

Si conviene inoltre che il Questionario/Modulo di Proposta costituisce parte integrante della Polizza stessa.

A parziale deroga di quanto sopra indicato, per l’acquisto di massimali aggregati da € 50.000,00 e € 100.000,00 non è necessaria la compilazione del Questionario/Modulo di Proposta, ma affinché le garanzie di polizza siano operative è necessario che l'Assicurato utilizzi software Anti-Virus e Firewall e che siano presenti copie di back-up dei dati.

Art. 4.3 - ALTRE ASSICURAZIONI - SECONDO RISCHIO

Se un sinistro risulti assicurato da un’altra polizza passata o presente stipulata da o per conto dell’Assicurato, o nella quale l’Assicurato sia il beneficiario, la presente Polizza opererà, nella misura consentita dalla legge e fermi restando i limiti, le condizioni e tutti i termini in essa previsti, solo in eccesso rispetto a tali coperture. Tale limitazione non opera nel caso in cui tali altre assicurazioni siano prestate specificatamente in eccesso ai massimali di Polizza specificati nella Scheda di Polizza della presente Polizza.

Qualora per qualsivoglia motivo non potesse applicarsi la limitazione di cui al paragrafo che precede, la Società è tenuta a pagare soltanto la quota proporzionale in ragione dell'indennizzo calcolato secondo il proprio contratto, esclusa comunque ogni obbligazione solidale con gli altri assicuratori.

L’Assicurato in ogni caso deve comunicare per iscritto alla Società l’esistenza o la successiva stipulazione di altre assicurazioni; l'omissione dolosa di tale comunicazione alla Società determina la perdita del diritto all'indennizzo. In caso di sinistro, l’Assicurato deve darne pronto avviso a tutti gli assicuratori, indicando a ciascuno il nome degli altri (art. 1910 c.c.).

Art. 4.4 - PAGAMENTO, MANCATO PAGAMENTO DEL PREMIO - CALCOLO DEL PREMIO

L’assicurazione ha effetto dalle ore 24 del giorno indicato nella Scheda di Polizza se il Premio o la prima rata di Premio sono stati pagati, altrimenti ha effetto dalle ore 24 del giorno del pagamento ricevuto dalla Società o a seguito delle indicazioni ricevute dall’Intermediario o dal Corrispondente. Il pagamento parziale del Premio non determinerà l’attivazione della copertura salvo che tale pagamento sia stato accordato preventivamente per iscritto dalla Società.

Se l’Assicurato non paga i Premi o le rate di Premio successive, l’assicurazione resta sospesa dalle ore 24 del trentesimo giorno successivo alla scadenza e riprende vigore dalle ore 24 del giorno del pagamento, ferme le successive scadenze (art. 1901 c.c.).

Art. 4.5 - VARIAZIONI DEL CONTRATTO

Qualunque variazione di questo contratto deve risultare da atto sottoscritto dal Contraente e dalla Società. Tutte le comunicazioni tra le Parti devono essere fatte per iscritto.

Art. 4.6 - AGGRAVAMENTO O DIMINUZIONE DEL RISCHIO

In caso di fatti o circostanze che aggravino il rischio, l’Assicurato deve darne avviso scritto alla Società entro sette giorni dalla data del loro accadimento, e si applicano le disposizioni dell’art. 1898 del Codice Civile. Gli aggravamenti del rischio che non sono stati resi noti o che non sono stati accettati dalla Società possono comportare la perdita totale o parziale del diritto all’ indennizzo, nonché la stessa cessazione della copertura assicurativa.

Se l’Assicurato comunica alla Società mutamenti che producono una diminuzione del rischio, si applicano

le disposizioni dell’art. 1897 del Codice Civile e la Società rinuncia al relativo diritto di recesso.

Art. 4.7 - SURROGA - RIVALSA

In tal caso l’Assicurato dovrà firmare tutti i documenti necessari e farà

Per ogni pagamento effettuato a termini di questo contratto la Società subentra nei diritti e nelle azioni spettanti all’Assicurato (sia che l’Assicurato sia stato o meno interamente risarcito della perdita effettiva) per il recupero di quanto pagato.

tutto quanto è necessario per documentare e conservare tale diritto, compresa la sottoscrizione di quegli atti che consentano alla Società di agire legalmente in luogo dell’Assicurato. Come condizione che precede l’obbligazione della Società in base alla presente Polizza, l’Assicurato non deve rinunciare o pregiudicare nessuno dei diritti della Società inerenti alla surrogazione o i diritti per ottenere il risarcimento o l’indennizzo da parti Terze.

Eventuali importi recuperati in eccesso rispetto all’indennizzo totale versato dalla Società ai sensi della presente Polizza (dedotti i costi di recupero) dovranno essere restituiti all’Assicurato.

La Società non eseguirà rivalsa nei confronti dei professionisti facenti parte della società assicurata, dei dipendenti e collaboratori, dei dirigenti nonché di tutti i collaboratori dell’Assicurato, tranne nei casi in cui uno di questi ultimi abbia commesso azioni od omissioni dolosi o comunque intenzionali.

Art. 4.8 - RICHIESTE DI RISARCIMENTO FRAUDOLENTE - CLAUSOLA RISOLUTIVA ESPRESSA

Qualora l’Assicurato sia complice o provochi dolosamente un sinistro od una Richiesta di Risarcimento falsa o fraudolenta riguardo ad un sinistro o una Richiesta di Risarcimento, esageri dolosamente l’ammontare del Danno e/o dichiari fatti non rispondenti al vero, produca documenti falsi, occulti prove, ovvero agevoli illecitamente gli intenti fraudolenti di terzi, egli perderà il diritto ad ogni indennizzo ed il presente Contratto sarà automaticamente risolto senza alcuna restituzione di Premio, fermo restando il diritto della Società alla rivalsa contro l’Assicurato per indennizzi già effettuati relativamente alla stessa Richiesta di Risarcimento.

Art. 4.9 - DURATA DEL CONTRATTO - SCADENZA SENZA TACITO RINNOVO

La presente Xxxxxxx scadrà alla sua naturale scadenza, indicata nella Scheda di Polizza, senza obbligo delle parti di darne preventiva comunicazione o avviso.

Qualora l’Assicurato intendesse rinnovare la Polizza per l’annualità successiva al Periodo di Assicurazione, sarà tenuto a compilare un nuovo Modulo di Proposta con le informazioni relative all’anno fiscale immediatamente precedente all’anno di sottoscrizione o rinnovo della Polizza. Su tale base la Società comunicherà il Premio per il successivo periodo assicurativo. In caso di accettazione dei termini di rinnovo da parte dell’Assicurato e conseguente pagamento del premio entro 30 (trenta) giorni dalla data di scadenza della Polizza, verrà emessa una nuova Polizza con effetto dalla data di scadenza anniversaria e con Premio e condizioni pari a quelli comunicati.

In caso di rifiuto, la Polizza si intende cessata a partire dalla suddetta scadenza.

Art. 4.10 - GARANZIA POSTUMA OPZIONALE

In caso di cessazione della presente assicurazione, per qualsiasi motivo, ad eccezione che per mancato pagamento del premio, il Contraente, avrà il diritto, previo il pagamento di un premio aggiuntivo così come indicato nella Scheda di Polizza, di ottenere una copertura per un Periodo di Garanzia Postuma con riguardo al periodo di tempo indicato nella Scheda di Xxxxxxx, in relazione a Richieste di Risarcimento sollevate nei confronti dell’Assicurato - e comunicate per iscritto alla Società - nel corso del Periodo di Garanzia Postuma. Il premio addizionale per il Periodo di Garanzia Postuma - a pena di invalidità ed inoperatività dell’estensione - dovrà essere versato entro 60 (sessanta) giorni dalla cessazione della presente Polizza.

L’acquisto del Periodo di Garanzia Postuma non andrà ad aumentare il Massimale Aggregato o qualsivoglia sotto limite previsto dalla presente Polizza. Il premio supplementare da corrispondere ai sensi della presente estensione s’intende interamente goduto al momento del suo pagamento e non sarà rimborsabile qualora il Contraente, per qualsivoglia ragione, dovesse recedere dal contratto anzitempo.

Art. 4.11 - TERRITORIALITÀ E GIURISDIZIONE

L’Assicurazione riguarda gli eventi che si verificano o i cui effetti debbono essere trattati processualmente nei territori indicati nella Scheda di Polizza.

Art. 4.12 - FACOLTÀ DI RECESSO IN CASO DI SINISTRO

Dopo la denuncia di qualunque Sinistro o Richiesta di Risarcimento e fino al sessantesimo giorno dal pagamento o rifiuto dell’indennizzo, la Società ha facoltà di recedere dal presente contratto con comunicazione scritta di preavviso di almeno 30 (trenta) giorni. In caso di recesso da parte della Società, quest’ultima restituirà al Contraente la frazione del Premio imponibile relativa al periodo di rischio non corso, al netto dell’imposta e delle spese amministrative per l’emissione del contratto.

Art. 4.13 - CESSAZIONE DELL’ASSICURAZIONE

Salvo quanto previsto all’Articolo 4.12 ed indipendentemente dal momento in cui la Società ne sarà informata, questa Polizza cesserà con effetto immediato nel caso di:

a) scioglimento della società o dell’associazione professionale; b) cessazione dell’Attività;

c) ritiro dall’Attività o morte dell’Assicurato;

d) fusione od incorporazione della società o dell’associazione professionale;

e) messa in liquidazione anche volontaria della società; f) cessione di ramo di azienda a soggetti Terzi;

g) sospensione, cancellazione o radiazione dal relativo Ordine Professionale, ovvero revoca dell’abilitazione all’esercizio della professione

i) insolvenza, fallimento o ammissione a qualsivoglia ulteriore procedura fallimentare dell’Assicurato o ammissione ad una procedura di sovraindebitamento.

In tutti i casi predetti l’Assicurazione resta efficace per i sinistri e/o le Richieste di Risarcimento e le circostanze che possono dare origine ad un sinistro dopo la data di cessazione, ma esclusivamente in relazione ad eventi avvenuti anteriormente alla data di cessazione e comunque fino alla scadenza del Periodo di Assicurazione.

Art. 4.14 - RECUPERO DI XXXX

Se l’Assicurato o la Società recuperano eventuali proprietà, somme di denaro o i Dati dopo che sia stato pagato l’indennizzo, la parte che ha effettuato il recupero deve darne tempestiva comunicazione all’altra. Se il bene recuperato è una somma di denaro o altri fondi, il recupero sarà utilizzato prima per il rimborso dei costi sostenuti dalla Società per tale recupero, poi per il rimborso alla Società dei pagamenti di indennizzo effettuati ed infine per il pagamento della Franchigia sostenuta dall’Assicurato.

Se il bene recuperato non è una somma di denaro o fondi, allora l’Assicurato può mantenere il bene recuperato e restituire il pagamento dell’indennizzo, più gli eventuali costi di recupero sostenuti dalla Società, o mantenere il pagamento dell’indennizzo meno i costi di recupero sostenuti dalla Società e trasferire tutti i diritti sul bene a favore della Società.

Art. 4.15 - ASSISTENZA E COOPERAZIONE

A. La Società avrà il diritto di effettuare in ogni tempo e luogo apposite ispezioni ed investigazioni, e l’Assicurato dovrà prestare la massima collaborazione nel corso di investigazioni ed ispezioni. L’Assicurato concorda di non porre in essere qualsivoglia iniziativa che possa, in qualunque modo, incrementare l’esposizione della Società. Le spese effettuate dall’Assicurato per l’assistenza e la cooperazione con la Società non costituiscono Spese di Difesa ai sensi della presente Polizza.

B. L’Assicurato non potrà ammettere alcuna responsabilità, effettuare qualsivoglia pagamento, assumere obbligazioni, effettuare spese, sottoscrivere transazioni, iniziare giudizi in merito alle Richieste di Risarcimento senza il previo consenso scritto della Società, ad eccezione di quanto espressamente previsto dalla Sezione “Difesa in Giudizio e Transazioni sulle Richieste di Risarcimento”. L’attività di adempimento alla Legge sulla Notifica delle Violazioni non potrà essere considerata come un’ammissione di responsabilità.

Art. 4.16 - FUSIONI E ACQUISIZIONI

A. Società Controllate Acquisite

Se nel corso di durata del Periodo di Assicurazione, l’Assicurato, o qualsiasi Società Controllata, acquisisca un’altra società le cui entrate siano superiori del quindici percento (15%) rispetto alle entrate annuali dell’Assicurato, considerando i quattro trimestri antecedenti l’inizio del Periodo di Assicurazione, tale società non sarà considerata quale Società Controllata ai sensi della presente copertura, e nessun Assicurato potrà essere coperto dalla presente Polizza in relazione a Richieste di Risarcimento o Perdite derivanti da qualsiasi atto, omissione, incidente od evento commesso prima o successivamente a tale acquisizione:

1) Da o per conto di tale società acquisita o da qualsivoglia dipendente o collaboratore della medesima;

2) Coinvolgente o relativo a beni, passività, procedure, attività pubblicitarie o di media della società acquisita o relativo a dati, informazioni, computer, reti, sistemi di sicurezza della - o sotto la relativa responsabilità - società acquisita o di un partner commerciale della medesima o di qualsiasi parte terza per conto della società acquisita; o

3) da qualsiasi persona o soggetto giuridico che possegga, gestisca o trasferisca informazioni o gestisca i Sistemi Informatici per conto della società acquisita;

a meno che il Contraente/Assicurato non invii alla Società notifica per iscritto antecedentemente tale acquisizione e ottenga dalla Società consenso per iscritto alla estensione di copertura a tali addizionali soggetti e versi l’eventuale premio aggiuntivo richiesto dalla Società.

Se nel corso di durata del Periodo di Assicurazione, l’Assicurato, o qualsiasi Società Controllata, acquisisca un’altra società le cui entrate siano superiori del quindici percento (15%) rispetto alle entrate annuali dell’Assicurato, considerando i quattro trimestri antecedenti l’inizio del Periodo di Assicurazione, sarà garantita copertura ai sensi di Polizza per un periodo massimo di sessanta (60) giorni, ma solo ed esclusivamente per le Richieste di Risarcimento che dovessero sorgere per atti, omissioni, incidenti od eventi commessi successivamente a tale acquisizione. Dopo il decorso del suddetto termine, sarà garantita la copertura ai sensi di Polizza solo qualora il Contraente/Assicurato invii alla Società apposita comunicazione scritta dell’acquisizione ed ottenga il consenso scritto dalla Società all’estensione della copertura assicurativa, previo il versamento del premio addizionale indicato dalla Società.

B. Fusioni o Consolidazioni

Qualora nel corso del Periodo di Assicurazione l’Assicurato si consolidi o si fondi con o sia acquisito da altro soggetto giuridico, o ceda oltre il 50 (cinquanta) % del proprio patrimonio ad altro soggetto giuridico, la presente Polizza rimarrà valida ed efficace, ma solo esclusivamente in relazione alla copertura riguardo gli atti od incidenti che siano avvenuti antecedentemente alla data della detta consolidazione, cessione, fusione o acquisizione. Resta inteso che rimarrà esclusa dalla presente copertura qualsiasi altra Richiesta di Risarcimento o Perdita, a meno che il Contraente/Assicurato, prima di tale consolidazione, cessione, fusione o acquisizione, non abbia inviato apposita comunicazione per iscritto alla Società ed abbia effettuato il pagamento dell’eventuale premio addizionale richiesto dalla Società per l’estensione di copertura.

Art. 4.17 - ONERI FISCALI

Gli oneri fiscali presenti e futuri relativi all’assicurazione sono a carico del Contraente.

Art. 4.18 - NORME DI LEGGE

Per l’interpretazione del presente contratto e per tutto quanto non espressamente previsto dalle condizioni in esso contenute o ad esso aggiunte mediante regolare atto sottoscritto dalle Parti, si dovrà fare riferimento unicamente alle leggi della Repubblica Italiana.

Art. 4.19 - FORO COMPETENTE

Per qualsivoglia controversia inerente alla validità, l’interpretazione od esecuzione del presente Xxxxxxxxx è competente in via di esclusiva il Foro di Milano.

Art. 4.20 - CLAUSOLA INTERMEDIARIO / GESTIONE DEL CONTRATTO

La gestione della presente Xxxxxxx è affidata all’Intermediario indicato nella Scheda di Polizza. Tutte le comunicazioni, escluse quelle di cui alla Sezione 5 della presente Polizza, alle quali il Contraente/Assicurato è tenuto, devono essere fatte per iscritto all’Intermediario. Pertanto, agli effetti delle condizioni della presente Polizza, la Società dà atto che:

a) ogni comunicazione fatta dal Contraente/Assicurato all’Intermediario si intenderà come fatta alla

Società;

b) ogni comunicazione fatta dall’Intermediario al Contraente/Assicurato si intenderà come fatta dalla

Società;

c) ogni comunicazione fatta dall’Intermediario alla Società si intenderà come fatta dal

Contraente/Assicurato.

Qualora il Contraente/Assicurato si avvalesse di un Broker (indicato nella Scheda di Polizza), con la sottoscrizione della presente Polizza lo stesso Contraente/Assicurato conferisce mandato a tale Broker di rappresentarlo ai fini della presente Xxxxxxx. È convenuto pertanto che:

a) ogni comunicazione fatta al Broker dall’Intermediario si considererà come fatta al

Contraente/Assicurato;

b) ogni comunicazione fatta dal Broker all’Intermediario si considererà come fatta dal

Contraente/Assicurato.

Ai sensi dell’Art. 118 del D. Lgs. 209/2005, la Società autorizza l’Intermediario ad incassare i premi; il pagamento del Premio eseguito in buona fede all’Intermediario, ha effetto liberatorio per il Contraente/Assicurato nei confronti della Società e, conseguentemente, impegna la Società (in caso di coassicurazione, tutte le Compagnie coassicuratrici) a garantire la copertura assicurativa oggetto del contratto.

SEZIONE 5 – COMUNICAZIONI DELLE RICHIESTE DI RISARCIMENTO, PERDITE O CIRCOSTANZE CHE POTREBBERO COMPORTARE UNA RICHIESTA DI RISARCIMENTO E GESTIONE DEI SINISTRI

Art. 5.1 - OBBLIGHI IN CASO DI SINISTRO

Qualsivoglia notifica o comunicazione di cui alla presente Sezione - ad eccezione di quanto previsto per i

Servizi per la Gestione di una Violazione dei Dati di cui infra - deve essere effettuata all’indirizzo email:

xxxxxxxx.xxxxx@xxxxxxxxxx.xx

L’Assicurato dovrà comunicare alla Società ogni Richiesta di Risarcimento pervenuta, non appena possibile, e in ogni caso entro (i) 30 giorni dalla cessazione del Periodo di Assicurazione, o (ii) del termine del Periodo di Garanzia Postuma (ove applicabile).

Con riferimento alla Perdita da Cyber Estorsione,

l’Assicurato deve darne comunicazione alla Società, non appena venuto a conoscenza della Minaccia di Estorsione, ma in ogni caso entro 30 giorni dopo la cessazione della presente Polizza. L’Assicurato dovrà ottenere il previo assenso della Società prima di incorrere in qualsivoglia spesa.

Con riferimento ai Costi di Recupero Dati, Perdita da Interruzione dell’Attività,

l’Assicurato deve inoltrare, immediatamente dalla scoperta di qualsivoglia circostanza, evento o incidente da cui potesse sorgere una di tali perdite, comunicazione scritta alla Società. L’Assicurato dovrà fornire alla Società prova accurata e dettagliata dei Costi di Recupero Dati, Perdita da Interruzione dell’Attività, e la presente Polizza coprirà il costo eventuale - sino ad un ammontare pari ad Euro 50.000,00 - di un consulente terzo che rediga la stima di tali costi e spese. In ogni caso, tutte le perdite e costi coperti ai sensi del presente paragrafo, a pena di decadenza, devono essere segnalate alla Società entro e non oltre sei mesi dal termine del Periodo di Assicurazione.

Con riferimento ai Servizi per la Gestione di una Violazione dei Dati,

l’Assicurato dovrà comunicare alla Società ogni reale o sospetta Violazione dei Dati o Violazione della Sicurezza, non appena ne avrà avuto conoscenza al seguente indirizzo email:

xxxxxxxx.xxxxx@xxxxxxxxxx.xx

o alternativamente contattando il call center al numero x00 000 000 000

e, in ogni caso, entro 30 giorni dal decorso del termine del Periodo di Assicurazione. La notifica delle circostanze ai sensi del presente paragrafo costituirà altresì notifica di circostanza che possa comportare una Richiesta di Risarcimento.

Con riferimento alla garanzia E-Crime,

l’Assicurato deve notificare alla Società qualsiasi perdita non appena possibile, ed in ogni caso entro 60 giorni dopo la cessazione della presente Polizza.

Se durante il Periodo di Assicurazione l’Assicurato viene a conoscenza di circostanze che potrebbero ragionevolmente rappresentare il presupposto di una Richiesta di Risarcimento (distinte rispetto a quelle nascenti da una Violazione dei Dati o Violazione della Sicurezza), potrà essere fornita comunicazione scritta alla Società, indicando:

1. i dettagli specifici relativi dell’atto, errore o omissione o Violazione della Sicurezza che potrebbe rappresentare ragionevolmente il presupposto di una Richiesta di Risarcimento;

2. l’indicazione del pregiudizio o danno che potrebbero derivare o siano derivati dalla circostanza; e

3. i fatti attraverso i quali l’Assicurato ha avuto conoscenza della circostanza, dell’atto, dell’errore, dell’omissione o della Violazione della Sicurezza.

Ogni successiva Richiesta di Risarcimento presentata nei confronti dell’Assicurato derivante da tale circostanza che sia oggetto di comunicazione scritta, sarà considerata presentata nel momento in cui la comunicazione scritta – conforme ai summenzionati requisiti – sia stata trasmessa per la prima volta alla Società.

Art. 5.2 - OBBLIGHI IN CASO DI MINACCIA DI ESTORSIONE

A. Dovere di Riservatezza dell’Assicurato

L’Assicurato dovrà in ogni momento garantire che la conoscenza dell’esistenza della presente assicurazione per Perdite da Cyber-Estorsione sia mantenuta strettamente confidenziale. La Società può recedere dalla copertura prevista per le Perdite da Cyber-Estorsione con 10 (dieci) giorni di preavviso scritto all’Assicurato qualora l’esistenza dell’assicurazione per Perdite da Cyber-Estorsione diventasse di pubblico dominio o venisse rivelata al soggetto che effettua una Minaccia di Estorsione. In ogni caso, la copertura per un Pagamento dell’Estorsione non opera per qualsivoglia Minaccia di Estorsione il cui autore sia comunque a conoscenza della presente copertura.

B. Obbligo dell’Assicurato di indagare sulla Minaccia di Estorsione ed evitare o limitare il

Pagamento dell’Estorsione

Prima di liquidare un qualunque Pagamento dell’Estorsione, l'Assicurato dovrà compiere ogni ragionevole sforzo per verificare che la Minaccia di Estorsione non costituisca un falso allarme, ovvero, non sia attendibile.

L’Assicurato dovrà assumere tutte le misure ragionevoli e pratiche al fine di evitare o limitare la liquidazione di un Pagamento dell’Estorsione.

C. Condizioni obbligatorie

Si applicano alla presente copertura per Perdite da Cyber-Estorsione le seguenti ulteriori condizioni:

1. Obbligo dell’Assicurato di dimostrare la costrizione: quale condizione per ottenere l’indennizzo di Perdite da Cyber-Estorsione, l’Assicurato deve essere in grado di dimostrare che il Pagamento dell’Estorsione è stato effettuato sotto minaccia o costrizione.

2. Avviso alla Polizia: l’Assicurato autorizza la Società o i loro rappresentanti a segnalare qualsiasi Minaccia di Estorsione alla Polizia o ad altre autorità pubbliche competenti. L’Assicurato a tal fine si impegna a sottoscrivere qualsiasi delega o procura e a compiere qualsiasi ulteriore formalità ragionevolmente richiesta dalla Società a tal fine, e a prestare ogni possibile collaborazione alle indagini e verifiche.

5.3 - Difesa in giudizio e transazioni sulle richieste di risarcimento

A. La Società avrà il diritto di decidere discrezionalmente di assumere, nel rispetto di tutte le disposizioni, i termini e le condizioni della presente Polizza la difesa di:

1. ogni Richiesta di Risarcimento nei confronti dell’Assicurato per Xxxxx che siano risarcibili ai sensi della presente Polizza, anche nel caso in cui una o più asserzioni della Richiesta di Risarcimento siano infondate, false o fraudolente;

2. ai sensi della Sezione 2.5 - Costi di istruttoria, ogni Richiesta di Risarcimento sotto forma di

Procedimento.

Il legale dovrà essere nominato di comune accordo dal Contraente e dalla Società ma, in mancanza di tale accordo, prevarrà la decisione della Società.

B. In relazione ai Danni che siano risarcibili nel rispetto dei termini della presente Polizza, la Società si farà carico delle Spese di Difesa sostenute con il suo previo consenso scritto. Il Massimale Aggregato disponibile per il risarcimento dei Danni o di Multe sarà ridotto e potrà essere completamente utilizzato per il pagamento delle Spese di Difesa.

C. Qualora l’Assicurato neghi il proprio consenso a transazioni o accordi stragiudiziali proposti dalla Società e accettabili per il richiedente e/o danneggiato, e decida di contestare la Richiesta di Risarcimento, l’obbligazione contrattuale della Società per i Danni e le Spese di Difesa non potrà eccedere l’importo per cui la Richiesta di Risarcimento avrebbe potuto essere definita transattivamente, al netto della Franchigia residua, e sommato alle Spese di Difesa correlate alle Richieste di Risarcimento sostenute fino al momento del rifiuto.

D. La Società accetta che l’Assicurato possa definire transattivamente ogni Richiesta di Risarcimento laddove i Xxxxx e le Spese di Difesa non superino la Franchigia, purché l’intera Richiesta di Risarcimento sia transatta e l’Assicurato (o gli Assicurati) venga completamente liberato, da parte di tutti i danneggiati.

E. Su richiesta della Società, l’Assicurato dovrà partecipare agli incontri di mediazione, udienze arbitrali o giudiziali e deposizioni in connessione a qualsiasi Richiesta di Risarcimento.

Art. 5.4 - PROVA E STIMA DELLA PERDITA

Con riferimento alla Perdita da Interruzione dell’Attività, l’Assicurato deve inviare una comunicazione scritta, a mezzo lettera raccomandata a/r o PEC, e-mail o fax alla Società, attraverso i soggetti indicati nella Scheda di Polizza, non appena possibile dopo la scoperta di una circostanza, incidente od evento che possa far sorgere tale perdita. L’Assicurato dovrà fornire alla Società prova della Perdita da Interruzione dell’Attività, e saranno coperti dalla presente Polizza solo ed esclusivamente i costi necessari e ragionevoli, fino alla somma di Euro 50.000,000, sostenuti dall’Assicurato per far redigere ad un terzo esperto una perizia circa i danni e le perdite patite. Tutti i danni e costi inerenti tale perdita dovranno essere scoperti e comunicati, incluse tutte le evidenze probatorie di tali danni e costi, alla Società entro e non oltre i sei (6) mesi successivi al termine del Periodo di Assicurazione.

CONDIZIONI AGGIUNTIVE

LA SEGUENTE CONDIZIONE AGGIUNTIVA È VALIDA ESCLUSIVAMENTE SE LA GARANZIA È INDICATA NELLA SCHEDA DI POLIZZA ED È STATO PAGATO IL PREMIO

A.1 - E-Crime

La Società concorda con il Contraente, in considerazione del pagamento del premio e soggetto a tutte le disposizioni, i termini e le condizioni di questa Polizza, che le seguenti disposizioni, termini e condizioni della Polizza sono modificati con l'aggiunta di quanto segue:

SEZIONE 2 – DANNI DIRETTI

Che cosa posso assicurare

E-CRIME

Qualsivoglia danno patrimoniale diretto derivante da:

1. Istruzioni Fraudolente;

2. Trasferimento fraudolento di fondi;

3. Frodi Telefoniche;

di cui l’Assicurato sia venuto a conoscenza per la prima volta durante il Periodo di Assicurazione.

Tale garanzia è prestata nella forma Claims Made. Essa pertanto copre fatti ed eventi non noti verificatisi successivamente la Data di Retroattività (ove prevista) indicata nella Scheda di Polizza o, comunque, per la prima volta nel Periodo di Assicurazione e debitamente denunciati alla Società durante il Periodo di Assicurazione (o durante l’eventuale Periodo di Garanzia Postuma).

GLOSSARIO

Per i termini indicati in grassetto nella presente Polizza, trovano applicazione le seguenti definizioni.

Istituto Finanziario: qualsivoglia, banca, istituto di credito o risparmio, trust, istituto finanziario, broker di

security, fondo di investimento dove l’Assicurato detenga un conto bancario.

Istruzione fraudolenta:

un’istruzione ricevuta per iscritto, in formato elettronico (incluse e-mail o web based) o per via telefonica al fine di trasferire, pagare o consegnare Danaro o Valori e fornita da un terzo, il cui obiettivo è quello di fuorviare un Assicurato nell’errata interpretazione di un fatto materiale in base al quale l’Assicurato agisce in buona fede, con esclusione di perdite derivanti, direttamente o indirettamente, da:

1. qualsiasi Istruzione Fraudolenta che non sia stata verificata con il richiedente utilizzando la procedura di controllo interno;

2. l'uso effettivo o presunto di carte di credito, debito, accesso, a saldo, per l’identificazione del cliente

o altre carte;

3. qualsiasi trasferimento di denaro, beni, informazioni o altro, attuata con il coinvolgimento di qualsiasi persona fisica o giuridica che abbia autorizzato la procedura di controllo interno dell'Assicurato;

4. l'elaborazione o la mancata elaborazione di operazioni di accredito, controllo, addebito, addebito del numero d'identificazione personale, bonifico elettronico o pagamenti mobile per conti correnti commerciali;

5. errori od omissioni di natura contabile o aritmetica, o il guasto, il malfunzionamento, l’inadeguatezza

o contraffazione di qualsiasi prodotto o servizio;

6. qualsivoglia responsabilità nei confronti di xxxxx, o qualsivoglia perdita di qualsivoglia natura tanto diretta che indiretta;

7. qualsivoglia compenso o costo per assistenza legale; o

8. attività svolte per provare o stabilire l’esistenza di una Istruzione Fraudolenta.

FRODI TELEFONICHE: l’attività commessa da un terzo soggetto per accedere al sistema telefonico dell’Assicurato al fine di utilizzarlo per scopi non autorizzati.

TRASFERIMENTO FRAUDOLENTO DI FONDI: la perdita di Danaro o Valori - depositati in un Conto presso un Istituto Finanziario - che derivi da una fraudolenta istruzione per iscritto proveniente da un terzo verso tale Istituto Finanziario, per via elettronica, telegrafica, cavo o telefonica, volta a pagare o consegnare Danaro

o Valori da qualsivoglia conto detenuto dall’Assicurato presso tale istituto, senza la consapevolezza o il consenso del medesimo.

Per Trasferimento Fraudolento di Fondi non si intende, e quindi deve ritenersi esclusa, qualsivoglia perdita derivante da:

1. qualsivoglia atto ricompreso nella politica di antiriciclaggio e per la prevenzione dei reati societari

dell’Istituto Finanziario;

2. provato (o presunto tale) atto fraudolento, disonesto, criminoso od omissivo commesso, o coinvolgente, una persona fisica rientrante nella definizione di Assicurato;

3. qualsivoglia perdita indiretta o consequenziale, di qualsivoglia natura;

4. danni punitivi, esemplari ovvero multe, ammende, penali o perdite di benefici fiscali;

5. responsabilità nei confronti di terze parti, ad eccezione per i danni direttamente connessi ad un

Trasferimento Fraudolento di Fondi;

6. costi e compensi per assistenza legale o quelli sostenuti per la dimostrazione o la prova del

Trasferimento Fraudolento di Fondi;

7. furto, smarrimento, distruzione di, accesso non autorizzato a, o uso non autorizzato di informazioni confidenziali, ivi incluso un PIN o un codice di sicurezza;

8. qualsivoglia manomissione, alterazione di strumenti di negoziazione, valori, documenti; o

9. qualsivoglia provato (o presunto tale) utilizzo di carte di credito o debito, addebito, accesso a tali carte ovvero utilizzo di informazioni contenute in tali carte.

Estratto dello statuto

CONDIZIONI PARTICOLARI VALEVOLI PER I SOCI - ASSICURATI DELL’ITAS

MUTUA

ESTRATTO DELLO STATUTO

Copia integrale dello Statuto è a disposizione dei Soci – Assicurati presso la Sede dell’Agenzia ed è altresì scaricabile dal sito xxx.xxxxxxxxxx.xx.

Art. 1 - Costituzione e Sede

È costituita la Società di Mutua Assicurazione a responsabilità limitata, con la denominazione “ITAS Istituto Trentino-Alto Adige per Assicurazioni Società mutua di assicurazioni” o anche “ITAS Mutua”, già eretta il 5 ottobre 1821 con la denominazione Istituto Provinciale Incendi.

La denominazione tedesca è “ITAS Landesversicherungsanstalt Trentino Südtirol V.V.a.G.” o anche “ITAS Versicherungsverein auf Gegenseitigkeit” ovvero “ITAS V.V.a.G.”.

L’ITAS Mutua ha sede in Trento. Essa può esercitare la sua attività sia in Italia che all’estero.

Art. 5 - Contribuzioni

Per il raggiungimento dello scopo sociale i Soci assicurati si obbligano a contribuire con gli occorrenti mezzi, secondo le disposizioni del presente Statuto.

La responsabilità dei Soci assicurati è limitata al solo pagamento dei contributi annui stabiliti dallo Statuto e finisce col cessare dell’assicurazione. (…)

Art. 9 – Contributi-colletta

Il Consiglio di amministrazione determina almeno annualmente i tassi di contributo-colletta da applicare ai valori di classe per ciascun ramo esercitato ed eventualmente per particolari settori di uno stesso ramo. (…)

Il contributo-colletta, integrato dall’eventuale Fondo di garanzia, è notificato ai Soci mediante affissione nelle sedi degli intermediari e deve essere pagato entro i termini e nei modi stabiliti dalle condizioni di polizza. Le disposizioni di cui al presente articolo trovano applicazione in quanto non contrastino con le norme legislative o regolamentari.

Art. 10 – Ammissioni alla Società

Può partecipare alla Società chiunque abbia un interesse all’assicurazione e ciò anche mediante stipulazione di polizza per conto altrui o di chi spetta o a mezzo di rappresentante.

La qualità di Socio-Assicurato si acquista con la stipulazione della polizza di assicurazione la quale, assieme alle presenti norme statutarie, regola i rapporti del Socio-Assicurato con l’ITAS Mutua. (…)

La qualifica ed i conseguenti diritti di Xxxxx cessano immediatamente a tutti gli effetti per il Socio- Assicurato con l’estinzione - a qualsiasi causa dovuta - del rapporto assicurativo (…).

Il Consiglio di amministrazione è competente a decidere sull’ammissione dei Soci a suo insindacabile giudizio.

Art. 11 - Vincolo sociale del Socio-Assicurato

Il vincolo sociale nei confronti del Socio-Assicurato è obbligatorio per il periodo indicato nella Polizza di assicurazione dallo stesso stipulata e si rinnova, unitamente al contratto di assicurazione, per l’ulteriore periodo indicato nella Polizza o previsto dalla legge, qualora non venga esercitata la facoltà di disdetta, ai sensi e per gli effetti della vigente normativa nonché delle clausole contrattuali.

Salvo il caso in cui la morte del Socio-Assicurato comporti necessariamente la cessazione del rischio, gli eredi del Socio-Assicurato subentrano, ai sensi e per gli effetti della normativa vigente, solidalmente nel rapporto sociale, rispettivamente nell’assicurazione.

Nel caso in cui la legge e le condizioni generali di assicurazione stabiliscano il trasferimento dei diritti e degli obblighi derivanti dal contratto d’assicurazione, il subentrante acquista la qualità di Socio-Assicurato. La mora del Socio-Assicurato non risolve da sola il vincolo sociale, ferme rimanendo le conseguenze dell’inadempimento.

Art. 27 – Rappresentanza legale

La rappresentanza legale di ITAS Mutua spetta al Presidente, ai Vicepresidenti del Consiglio di amministrazione solo in caso di urgenza o impedimento del Presidente, all’Amministratore Delegato e, ove nominato, al Direttore Generale.

Il Consiglio di amministrazione per gli atti di ordinaria amministrazione nell’ambito dell’area di competenza, può attribuire la rappresentanza legale ai Dirigenti. La rappresentanza legale si esprime con l’apposizione, sotto la denominazione della Società, delle firme di due delle persone precedentemente indicate, con la precisazione che con la firma abbinata di due dirigenti la rappresentanza legale si esercita unicamente in relazione alle aree di competenza degli stessi. Resta comunque salvo quanto diversamente deliberato dal Consiglio in relazione a particolari fattispecie.

La rappresentanza giudiziaria spetta ai rappresentanti legali, oltre che ai Dirigenti ai quali sia demandata dal Consiglio di amministrazione (sempre con le modalità di cui al precedente comma).

Il Consiglio di amministrazione definisce il sistema delle procure e deleghe aziendali, attribuendo la rappresentanza della Società anche a dipendenti o terzi con procure per singoli atti o categorie di atti contenenti le relative modalità di firma. Il Consiglio di amministrazione può autorizzare che determinati documenti e corrispondenze vengano sottoscritti in tutto o in parte con riproduzione meccanica della firma.

Pagina 1 di 4

APPENDICE INFORMATIVA

GRAZIE PER AVER ACQUISTATO LA POLIZZA ASSICURATIVA ITAS CYBER PROTECTION.

I SERVIZI A VOSTRA DISPOSIZIONE

ITAS Cyber Protection è la soluzione leader di mercato per la gestione del rischio dati e privacy e fornisce accesso ad una gamma di servizi concepiti per aiutare la vostra azienda a far fronte ad una violazione di dati reale o presunta in maniera efficace, efficiente ed in ottemperanza con la normativa di riferimento.

La presente Appendice Informativa descrive le caratteristiche della vostra polizza ITAS Cyber Protection e delinea il processo di risposta ad una violazione di dati reale o sospetta, incluso come utilizzare al meglio il Team Gestione Sinistri.

Incoraggiamo la distribuzione del presente documento ai componenti del vostro team di gestione incidenti cyber e la considerazione delle risorse offerte dalla polizza come parte integrante del vostro piano di gestione della crisi aziendale.

La vostra polizza ITAS Cyber Protection comprende una gamma di servizi tra cui l’assistenza durante ciascuna fase dell’indagine e gestione di un incidente cyber da parte del Team Gestione Sinistri, costituito da professionisti in ambito privacy ed esperti tecnici.

Una telefonata od una email al Team Gestione Sinistri al fine di notificare una presunta violazione di

dati da avvio all’attivazione dei seguenti servizi:

Indagine iniziale e consulenza

• Servizi Legali

• Servizi di informatica forense

Gestione incidente

• Servizi di notifica (inclusa la notifica a territori al di fuori dell’Italia, se necessario)

• Call centre

• Risoluzione incidente e servizi di mitigazione

• Pubbliche relazioni e spese di gestione della crisi

Per notificare un incidente, mandate un’email a xxxxxxxx.xxxxx@xxxxxxxxxx.xx

SERVIZI LEGALI

Il Team Gestione Sinistri di ITAS

ITAS ha un focus specifico nel fornire servizi di gestione delle violazioni di dati ai propri clienti. Per questo abbiamo creato il Team Gestione Sinistri; un'unità dedicata che punta esclusivamente a sostenere gli assicurati a prepararsi per reagire alle violazioni di dati. Il Team Gestione Sinistri lavora in collaborazione con gli assicurati per esaminare e determinare la gravità dell'incidente, mentre coordina la gamma di risorse e servizi di cui può aver bisogno l'assicurato per soddisfare i requisiti legali, mantenere la fiducia del consumatore e proteggere la reputazione. Il Team Gestione Sinistri collabora con gli assicurati in qualità di partner selezionato nell'indagine e nella risposta alle violazioni di dati. Il Team Gestione Sinistri è a disposizione delle organizzazioni a prescindere da vastità, gravità o costo della violazione dati.

Quando notificare?

Suggeriamo di notificare ITAS non appena sospettiate che informazioni personali o dati confidenziali dei quali siete responsabili possano essere stati compromessi. Quanto prima viene notificato l’incidente, quanto più il Team Gestione Sinistri può esservi d’aiuto.

Occorre inoltre notificare ITAS prima di contattare qualsiasi fornitore di servizi dato che il Team Gestione Sinistri vi guiderà nel processo di gestione e risoluzione dell’incidente e collaborerà con voi nella selezione dei migliori esperti per l’incidente specifico.

Come notificare?

Inviare un’mail a xxxxxxxx.xxxxx@xxxxxxxxxx.xx contenente le seguenti informazioni:

• Ragione sociale e partita IVA della vostra azienda e numero di polizza (laddove possibile);

• Breve descrizione dell’incidente;

• Data di accadimento dell’incidente (se nota);

• Data di rilevamento dell’incidente da parte della vostra organizzazione;

• Contatto di riferimento interno alla vostra azienda in controllo della gestione dell’incidente.

Vi invitiamo a:

• non utilizzare altri indirizzi email di ITAS al fine di notificare l’incidente;

• non includere informazioni di carattere per-sonale o di natura sanitaria.

Suggeriamo di utilizzare l’email come strumento prioritario di notifica; in alternativa potete notificare l’incidente chiamando il call center ITAS, x00 000 000 000, e fornire le informazioni sopra descritte.

Xxxx succede a seguito della notifica?

Un membro del Team Gestione Sinistri risponderà alla notifica normalmente nel medesimo giorno lavorativo od entro il giorno lavorativo successivo; verrà organizzata una call per discutere dell’incidente, assistervi nell’indagine e valutare i migliori servizi disponibili ai sensi di polizza. Suggeriamo di far partecipare alla call gli individui che all’interno della vostra azienda sono coinvolti nella gestione dell’incidente.

Il Team Gestione Sinistri collaborerà con voi durante l’intera durata delle indagini al fine di coordinare la fornitura dei servizi di gestione dell’incidente.

Laddove un incidente dovesse richiedere la notifica dello stesso ai sensi di legge, il Team Gestione Sinistri mette a disposizione servizi legali esperti al fine di assistervi nell’indagine e gestione dell’incidente.

Il Team Gestione Sinistri reperirà tali servizi legali e vi metterà in contatto con tali esperti; vi preghiamo di non contattare diretta-mente gli esperti da noi selezionati senza avere coinvolto il Team Gestione Sinistri.

CYBER ESTORSIONE E RANSOMWARE

Servizi disponibili

Gli attacchi ransomware costituiscono oggigiorno una minaccia comune condivisa da qualsiasi organizzazione produttiva. Il Team Gestione Sinistri fornisce assistenza puntuale in caso di incidenti ransomware grazie all’estesa esperienza nella gestione di tale tipologia di incidenti.

Se la vostra organizzazione subisce un attacco ransomware, il Team Gestione Sinistri vi assisterà come segue:

• Dialogo immediato con il Vostro team per poter determinare una gestione adeguata della crisi;

• Contatto rapido con esperti informatici forensi al fine di poter determinare se informazioni personali o sanitarie siano state compromesse; e/o

• Contatto con esperti in grado di fornire assistenza tecnica per la decifratura dei dati, ripristino degli stessi o reperimento di bitcoin laddove la legge permetta di pagare il riscatto.

Servizi di informatica forense

Laddove si richieda l’intervento di esperti informatici forensi per poter valutare l’impatto di un incidente, forniremo servizi esperti al fine di (1) assistervi nel determinare se e in che misura sia necessario ottemperare con i requisiti di legge in materia di notifica e (2) se applicabile, fornire consulenza in relazione all’indagine svolta da un PCI Forensic Investigator.

Tali esperti necessiteranno dell’accesso ad informazioni, files e sistemi ed è fondamentale che vi atteniate alle richieste che tali esperti possano avanzare e che forniate la massima collaborazione. Le rilevazioni ed eventuale reportistica fornita dagli esperti informatici verranno condivisi con voi, il Team Gestione Sinistri ed i legali da voi nominati al fine di fornire consulenza sull’incidente.

Il Team Gestione Sinistri reperirà tali servizi informatici e vi metterà in con-tatto con i nostri esperti preselezionati; vi preghiamo di non contattare direttamente gli esperti da noi selezionati senza avere coinvolto il Team Gestione Sinistri.

SERVIZI DI NOTIFICA E CALL CENTRE

Il Team Gestione Sinistri vi assisterà durante il processo di notifica; collaboreranno con la vostra organizzazione con il fine di individuare i dettagli della notifica stessa e come coordinare tale processo unitamente ai consulenti legali nella redazione delle lettere di notifica, tempistica ed indirizzi per il fornitore di servizi.

Il Team Gestione Sinistri vi aiuterà anche nella redazione di una lista di domande frequenti per gli addetti del call centre.

SERVIZI DI RISOLUZIONE E MITIGAZIONE

ITAS Cyber Protection include al proprio in-terno la fornitura di prodotti e soluzioni di protezione e monitoraggio di identità.

Il Team Gestione Sinistri fornirà assistenza relativamente al funzionamento del prodotto e la relativa applicabilità per ciascun singolo incidente.

La disponibilità del prodotto varierà in base alla giurisdizione.

LE VOSTRE RESPONSABILITÀ

Con il fine di garantire che i servizi sopra elencati possano essere forniti rapidamente ed adeguatamente occorre che vi atteniate strettamente alle procedure elencate in polizza e nella presente Appendice Informativa.

Richiediamo la vostra collaborazione ed assistenza.

Vi preghiamo di riscontrare qualsiasi quesito o richiesta del Team Gestione Sinistri o dei fornitori di servizi in maniera rapida e di stipulare i contratti necessari con i nostri esperti per la fornitura dei servizi sopra menzionati.

Sarete ritenuti responsabili per il pagamento dei costi derivanti dal mancato riscontro rapido di risposte, informazioni accurate o approvazioni necessarie per la fornitura di servizi.

La polizza non prevede nessuna copertura per stipendi o costi di carattere generale interni alla vostra

organizzazione, né per la vostra assistenza e cooperazione nella gestione dell’incidente.

In caso di incidente o sospetto incidente, vi preghiamo di non contattare direttamente alcuno dei fornitori di servizi. Si prega di fornire notifica a

xxxxxxxx.xxxxx@xxxxxxxxxx.xx o a x00 000 000 000

come descritto a pagina 2 della presente Appendice Informativa.

I termini “noi” utilizzato nella presente Appendice Informativa ha lo stesso significato di “Società” in polizza e il termine “voi” ha lo stesso significato di “Assicurato” in polizza. Termini in maiuscolo nel presente documento hanno lo stesso significato di quanto indicato in polizza.

Document Metadata

Table of Contents

INDICE

Document Metadata