Martes, 14 Enero 2020

Ciberriesgo y ciberseguro (II): silent cyber ¿una revolución en curso?

VolverLa aparición de un “ciberuniverso”, en imparable expansión, constituye una fuente de oportunidades, pero también crea una serie de incertidumbres que anticipan una “revolución” en el mundo del seguro; los ciberriesgos están obligando a aseguradores y reaseguradores a introducir cambios notables en distintos ramos y en distintos momentos del ciclo asegurador: desde el acto mismo de la suscripción, la tramitación de los siniestros, la gestión diaria de las pólizas, el cálculo de las primas o el propio reaseguro.

La irrupción de los ciberseguros se produce en un mercado en el que los riesgos conocidos se encuentran, tendencialmente, asegurados. Por su parte, el comportamiento de los ciberriesgos es el de buscar acomodo en las pólizas ya existentes, pólizas para las que no fueron diseñadas. Estos ciberriesgos, desconocidos en el momento de la suscripción o, sencillamente, no asegurados, se conocen con el nombre de silent cyber.

El silent cyber es una fuente de ambigüedad y conflicto entre aseguradora-asegurado con implicaciones de calado.

Tal y como ya anticipábamos en nuestro artículo de diciembre de 2019, Ciberriesgo y Ciberseguro: la incertidumbre necesaria, el principal daño asociado al silent cyber es la pérdida de beneficios como consecuencia de la interrupción de la actividad productiva, los daños propios (pérdida de datos, equipos…) y otros daños consecuenciales.

En atención al tipo de daños que provocan los ciberriesgos, serán las pólizas de property y de RC las que sufran, en mayor medida, los efectos del silent cyber puesto que son éstas las que cubren las pérdidas pecuniarias derivadas del cese/interrupción de actividad. Así, el escenario actual es el de tomadores/asegurados reclamando de las aseguradoras de property o RC que se cubran los daños derivados de un “cibersiniestro”.

Este es el escenario esbozado por el ransomware NotPetya en 2017.

“Ransomware” es el nombre que recibe el software que tiene como objetivo el “secuestro de datos”; es decir, un software diseñado expresamente para bloquear el acceso a datos hasta que se haga efectivo el pago de un rescate (ransom).

El 27 de junio de 2017, NotPetya (una versión refinada del ya conocido Petya) infectaba el servidor de la farmacéutica Merck and Co. en Ucrania propagándose, en un escaso margen de tiempo, a más de 30.000 ordenadores y 7.500 servidores de la compañía en todo el mundo. Compañías como Mondelez, WPP, FedEx o Maersk sufrieron también las consecuencias del NotPetya.

El NotPetya, entre otras consecuencias, provocó la interrupción de la actividad productiva del gigante farmacéutico Merck & Co. el cual, una vez controlada la crisis, cifró los daños en 1.300 millones de dólares americanos entre pérdidas de datos, equipos y pérdidas pecuniarias asociadas a la interrupción de la producción. El rescate solicitado por cada terminal bloqueado era de 300 dólares en bitcoins.

El objetivo del NotPetya no era la actividad productiva de Merck & Co. El NotPetya, de acuerdo con datos de diversas agencias de inteligencia, tenía por objetivo las instituciones financieras y gubernamentales ucranianas, dentro de la lógica de un conflicto bélico, hoy aún no resuelto, entre la Federación Rusa y Ucrania. En este punto, es preciso señalar que, técnicamente, es muy difícil conocer el origen real de un ciberataque; de hecho, compañías estratégicas rusas sufrieron también las consecuencias del NotPetya y el Gobierno ruso siempre negó la autoría del ataque.

Desde la óptica aseguradora, la cuestión de interés radica en que el laboratorio Merck & Co. declaró un siniestro por valor de 1.300 millones de dólares americanos a los distintos aseguradores y reaseguradores (más de 30). De acuerdo con la interpretación de Merck & Co., los daños producidos por el NotPetya eran imputables a las pólizas de property.

Las aseguradoras de Merck & Co. rehusaron cobertura, al considerar que los daños sufridos por el laboratorio eran consecuencia de un “acto de guerra” y, por lo tanto, se encontraban dentro de esta, ya tradicional, exclusión de cobertura (daños por conflicto bélico, revolución, terrorismo, sucesos climáticos extremos…).

El conflicto se encontraba servido y, dada la enorme cuantía de los daños producidos por el NotPetya, resultó imposible de transar. Ahora, será un tribunal de Nueva Jersey el que decida sobre la interpretación de la exclusión de “acto de guerra” que contienen la mayor parte de las pólizas de property o de RC.

En este sentido, ¿puede considerarse como un “acto de guerra” un ciberataque? ¿Es posible considerar, en un contexto globalizado, que los efectos secundarios de un ciberataque (las víctimas colaterales) son también víctimas de un “acto de guerra”? ¿Puede considerarse a una compañía como víctima de un ciberataque cuando éste no se ha dirigido contra ella (víctima colateral)? ¿O tan sólo puede considerarse “ciberatacada” aquella compañía que ha resultado ser objetivo del ciberataque?

Y es que la cuestión no es baladí. El silent cyber podría imputarse a la póliza de property si descontextualizamos completamente el origen de los daños o si, tal y como argumenta el laboratorio, no existe prueba de que Merck & Co. haya sido una víctima colateral de un ciberataque “que se fue de las manos”.

Por el contrario, asumir que las aseguradoras de property y de RC han de cubrir los daños masivos producidos por ransomware, en un contexto bélico, supondría imputar a una póliza que no ha sido diseñada para atender los efectos potencialmente catastróficos de los ciberriesgos, unos daños por los que no se ha satisfecho prima alguna. Llegados a este punto, conviene preguntarse si tiene sentido imputar un “cibersiniestro” a una póliza de property o de RC existiendo (ya) los ciberseguros en el mercado.

A la vista de lo anterior, el caso del NotPetya constituye un drama asegurador que sólo puede terminar mal, bien para Merck & Co., bien para el pool asegurador y reasegurador.

En caso de que el tribunal de Nueva Jersey decidiese imputar el silent cyber a las pólizas de property o de RC de Merck & Co., desencadenaría una auténtica revolución en el sector del seguro que obligaría al re-cálculo de las primas, so pena de que se repita el mismo escenario descrito en cualquier otro lugar del mundo, por cuantía similar o, probablemente, superior.

Desde el Departamento de Derecho del Seguro de Belzuz Abogados S.L.P. recomendamos minimizar, a toda costa, los efectos del silent cyber y reducir todo tipo de ambigüedades a la hora de suscribir una póliza de property o de RC: bien se contrata una cobertura limitada de ciberriesgos que permita modular la prima y hacerla competitiva en el mercado, bien se especifica la exclusión de cobertura de los ciberriesgos de la póliza y se contrata un ciberseguro aparte. Sólo de esta forma se evitarán conflictos entre tomador/asegurado y asegurador y volverá la pax aseguradora al mercado.

Departamento de Derecho del Seguro | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

 

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa