Cuando en 2017 el malware #NotPetya inutilizó los ordenadores de la empresa farmacéutica Merck, no sólo fue un punto de inflexión en el mundo de la ciberseguridad, sino que también lo fue en lo que se ha acabado conociendo como la póliza de “ciberseguro”.
En efecto, la activación de la póliza para cubrir los daños provocados por el ciberataque, por valor de 1.400 millones de euros, puso encima de la mesa el controvertido debate acerca de los alcances de la cobertura aseguradora de los incidentes de ciberseguridad, para darse cuenta, de un lado, de que la complejidad y taxonomía de los ciberataques dirigidos hace complicado poder cubrir todas las tipologías; y, de otro lado, para destacar la importancia de las cláusulas limitativas de cobertura aseguradora a la hora de negociar pólizas de esta naturaleza.
Desde la óptica regulatoria, en España es el artículo 3 de la Ley de Contrato de Seguro, que data del año 1980, la que prevé la posibilidad de incluir este tipo de cláusulas en los contratos, entendiéndose aquéllas como las que operan para restringir, condicionar o modificar el derecho del asegurado a la indemnización una vez que el riesgo objeto del seguro se ha producido.
Mucho se ha escrito ya sobre esta controversia entre Merck y su compañía aseguradora, por lo que no hace falta entrar a repetir los argumentos esgrimidos en juicio por la compañía acerca de la definición de lo que debe entenderse por ciberguerra (la aseguradora trató de justificar el ataque como una acción perpetrada por un Estado, situación que no cubría la póliza de Merck).
Ahora bien, sí que este caso debe hacernos ser conscientes de la habitualidad de este tipo de cláusulas, y exigir a nuestro bróker que nos explique en detalle cuál es el alcance de estas limitaciones, especialmente en un escenario como el actual, en el cual tenemos un mayor conocimiento del funcionamiento de los ciberataques y de su impacto en las empresas y, muy especialmente, en sus proveedores.
Tengamos en cuenta, por ejemplo, que no todas las pólizas de ciberseguro dan cobertura a todas las necesidades de ciberseguridad con las que nos vamos a encontrar, especialmente a la luz de los nuevos cambios normativos (en particular, con la Directiva NIS2 y el Reglamento DORA), en los que la responsabilidad se sitúa en el ámbito del órgano de dirección de la empresa, debiendo quedar cubierto por la póliza de responsabilidad de administradores y directivos. Igual ocurre con los incidentes que tienen su origen en un acto criminal, cuya cobertura se desplaza hacía un tipo de póliza distinta (en el argot asegurador, la póliza de “crime”).
En el caso de las limitaciones por casos de fuerza mayor (conocidas en inglés como acts of God) y otras impuestas por la compañía aseguradora, de buen seguro tendremos poco margen de maniobra a la hora de negociar su inclusión en el contrato de seguro, que -como sabemos- tiene la naturaleza jurídica de contrato de adhesión en sus condiciones generales. Sin embargo, será importante tener claro cuáles son los supuestos en los que se puede activar dicha cláusula, y poder gestionar tales riesgos dentro de la organización de la forma más apropiada y evitar, en la manera de lo posible, una reclamación o procedimiento judicial contra una de las pocas compañías en el mercado que, en la actualidad, dan cobertura a este tipo de siniestros.
Esta buena práctica, consistente en una “auditoría de póliza de ciber”, nos dará información clara y concisa acerca de cuál es el nivel de cobertura real de la organización frente a riesgos ciber, que cada vez son más y más cambiantes, lo que nos obliga a mantener este nivel de protección siempre actualizado, y donde la implementación de medidas técnicas y organizativas adecuadas debe tenerse en cuenta también a la hora de calcularnos y proponernos un alcance de cobertura y un precio de la prima a pagar.
Con respecto a esto último, cada vez son más las entidades que vinculan la negociación de su póliza de ciber a su nivel de cumplimiento normativo, permitiendo a sus brokers o intermediarios (es destacable la propuesta de Asterra Partners en este sentido) negociar este tipo de pólizas de una manera adecuada, entendiendo que ni todas las empresas asumen el mismo riesgo cibernético, ni todas las empresas necesitan las mismas coberturas.
En cualquier caso, y con independencia del caso Merck, el ciberseguro se ha convertido en una medida organizativa mitigadora de riesgos, que sirve a la empresa a la hora de acreditar su diligencia debida cuando gestiona su ciberseguridad, siendo un tema esencial a nivel operativo, pero cada vez más estratégico desde la perspectiva de compliance de la empresa.
Por último, traigo a colación a Julián Marías, quien decía que lo que más le inquietaba de España era que mientras muchos se preguntan qué va a pasar, muy pocos se cuestionan qué vamos a hacer. En este ámbito en el que ahora nos encontramos, y como lecciones aprendidas en la cobertura de riesgos cibernéticos, comencemos a plantearnos la necesidad de trabajar en la identificación y cobertura de aquellos nuevos riesgos que trae consigo la Inteligencia Artificial, y que muchas compañías están comenzando a asumir sin todavía ser conscientes de su alcance ni de su impacto en la empresa.