Tuesday, 03 December 2019

Ciberriesgo y ciberseguro: la incertidumbre necesaria

VolverEn abril del año 2007, Estonia sufrió uno de los primeros ciberataques masivos de los que se tiene constancia. El colapso del sistema financiero y la Administración Pública de esta pequeña república báltica, puso en el centro del tablero de la geopolítica el problema de la ciberseguridad.

Diez años más tarde, en mayo de 2017, el WannaCry provocaba estragos en empresas estratégicas y en distintos servicios públicos, entre los que se encontraban 16 hospitales del NHS británico. En 2018, España registraba un incremento del 25% en los ciberataques a empresas de interés estratégico.

Hoy, en 2019, España ocupa el lugar 11 (de 28) en el Índice de la Economía y la Sociedad Digitales (“DESI”) que elabora la Comisión Europea desde 2016. El DESI valora diferentes aspectos de la digitalización, tal y como son (i) la conectividad, (ii) el capital humano, (iii) el uso de servicios de internet, (iv) la integración de la tecnología digital y (v) los servicios públicos digitales.

La evolución de España en el índice DESI, del que se recogen datos desde 2015, muestra cómo el esfuerzo de Administraciones Públicas y empresas ha catapultado a España desde el puesto 15 al 11 en apenas 3 años. Si bien son las Administraciones Públicas las que impulsan a España en este índice, las empresas y capital humano (manejo de las nuevas tecnologías por la población) han provocado una cierta ralentización en el progreso dentro de este índice.

En todo caso, lo cierto es que la digitalización creciente de la economía española (y de sus empresas) la hace, cada vez, más vulnerable al riesgo tecnológico o ciberriesgo.

Por ciberriesgo se entiende todo aquel que se deriva del uso de sistemas digitales de comunicación y operación por parte de empresas y/o Administraciones y que produce una serie de perjuicios económicos, daños materiales o, incluso en ocasiones, daños personales.

Frente al riesgo que afrontan empresas y Administraciones Públicas ante la creciente (e imparable) digitalización, desde el sector de los seguros se propone un nuevo producto: los ciberseguros.

El ciberseguro tiene por objeto mitigar los efectos del ciberriesgo, normalmente, las consecuencias patrimoniales de un “ciberataque”: pérdida de beneficios, paralización de la producción, sobrecostes… En otras palabras, un ciberseguro no es una barrera primaria de protección frente al ciberriesgo (no lo evita) sino una medida para paliar sus efectos.

Ante el incremento de ciberataques, las empresas son cada vez más conscientes de la necesidad de protegerse frente al ciberriesgo, lo que se ha traducido en un incremento mayor del 10% en la suscripción de pólizas de este tipo.

El problema fundamental de una póliza de ciberriesgo radica en determinar los riesgos que se van a encontrar cubiertos, los activos a los que alcanza la cobertura, la definición del propio siniestro, la delimitación de ámbito temporal y, sobre todo, territorial (elemento de especial importancia cuando se trata de una póliza paraguas). En el ámbito de los ciberseguros, definir de manera precisa los tipos de daños y los fundamentos de las coberturas, resulta, si cabe, de mayor importancia que en relación al resto de tipos de seguros.

Las pólizas de ciberriesgo se diferencian, a priori, de aquellas relacionadas con la protección de datos. En este sentido, en el mercado español, se produce una confusión de coberturas y tipos de pólizas que ha conducido a considerar como ciberriesgo la vulneración de la normativa de protección de datos. En este sentido, la definición, deliberadamente abierta y genérica, de “seguridad adecuada” o “medidas técnicas y organizativas apropiadas” que se recoge en el Reglamento (UE) 2016/679 de 27 de abril de 2016 de Datos Personales y Libre Circulación de los mismos, contribuye a mezclar distintos tipos de pólizas y a desgajar de las pólizas de RC clásicas o de D&O, la responsabilidad por la vulneración de la normativa de protección de datos.

La cobertura fundamental de los ciberseguros son las pérdidas propias: pérdida de beneficios por interrupción/alteración de la producción, eventuales rescates (ransomware) o incluso la transferencia fraudulenta de fondos. La cuestión clave en el aseguramiento de la pérdida de beneficios radica en determinar el momento hasta el que el Asegurador habrá de hacer frente a la pérdida de dichos beneficios: hasta la recuperación de los niveles normales de producción, o bien hasta el simple reinicio de la producción.

Además, dentro de los riesgos que podrían encontrarse cubiertos por las pólizas de ciberriesgo, se encuentran: (i) los daños a terceros derivados de fallos en la seguridad (ataques de denegación de servicio, paralización de la producción/suministro…), (ii) los gastos de gestión de incidentes, (iii) los gastos de restablecimiento del riesgo reputacional y (iv) los daños producidos por la difusión o publicación de contenidos confidenciales de terceros.

Dentro de los riesgos típicamente cubiertos por las pólizas de ciberriesgo es preciso destacar la cobertura de los gastos de gestión de incidentes que abarcan, desde la determinación de las causas/origen del ciberriesgo, la asistencia de un equipo de asesoría legal especializada, el asesoramiento por un gabinete de comunicación o los servicios de un gabinete de crisis, entre otros.

Algunos de los productos más sofisticados del mercado de ciberseguros contemplan la asistencia previa a la propia suscripción para determinar los activos asegurables, el nivel de ciberseguridad del que dispone el Tomador/Asegurado o el análisis de vulnerabilidad del Tomador/Asegurado.

El mercado español de seguros mira a Londres y a los Estados Unidos en la configuración y diseño de las pólizas de ciberriesgo, adaptando los clausulados a las particularidades del mercado español y sirviendo, a su vez, de puente a Latino- América, donde los clausulados de inspiración europea se enfrentan al enfoque americano del concepto ciberriesgo (más amplio que el europeo). Por todo lo anterior, nos encontramos ante un mercado enormemente heterogéneo (en riesgos, coberturas, Asegurados…), lo que genera productos tailor made.

Habida cuenta de la naturaleza del riesgo cubierto y de las particularidades y la enorme heterogeneidad del mercado, dos son los momentos críticos dentro de la suscripción/gestión de un ciberseguro: el análisis previo de la ciberseguridad del Tomador/Asegurado y la actualización periódica del riesgo declarado que, por la propia naturaleza de la digitalización, se encuentra en continuo cambio y reajuste.

La digitalización es un proceso imparable que cambia, diariamente, el mundo en que ciudadanos, Administraciones Públicas y empresas, entre las que se encuentra el sector seguros, se interrelacionan. Los ciberseguros tienen por vocación mitigar el riesgo económico-financiero que nace del desarrollo tecnológico y de la digitalización de la economía pues, en palabras de Isaac Asimov “¿qué ofrece un científico en cambio? ¡Incertidumbre! ¡Inseguridad!”. Y, como ya se sabe: la incertidumbre y la inseguridad son presupuesto necesario para el nacimiento del seguro.

Desde el Departamento de Derecho del Seguro de Belzuz Abogados S.L.P. recomendamos actuar con prudencia (y convenientemente asesorados) a la hora de suscribir un ciberseguro para evitar la desagradable sorpresa de exclusiones de cobertura no previstas o una sobreexposición al riesgo no deseada.

Insurance Law department | Madrid (Spain)

 

Belzuz Abogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

 

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa