Ciberseguros: Un riesgo democrático y una cobertura que se extiende

Ciberseguros: Un riesgo democrático y una cobertura que se extiende

Por Martín Elizalde

Toda organización, no importa su tamaño o el sector del mercado donde esté inserta, necesita contratar un ciber seguro para moderar su exposición en esta época definida por la información digital.  Así lo demuestran los incidentes de ataques informáticos, con su secuela de robo de identidad, pérdida de información y ciber extorsión. Hace  un par de años, comenzaron una serie de ataques muy publicitados. Sus víctimas fueron  Sony, Target, Apple, Google y hasta Ashley Madison

-contrariamente a lo que puede sugerir su razón social, Ashley no comercializa productos escolares online, sino ofrece la posibilidad de engañar, de manera presencial, a la pareja de sus usuarios. Los ataque informáticos eran un riesgo del que se hablaba en los medios, pero parecía que estaba fuera del radar de los negocios más pequeños, o menos célebres.  

En estos tiempos se comprobó que no era así. Este año asistimos a una serie de ataques que no perdonaron a nadie. El riesgo se democratizó. No es necesario ser Apple, el vecino del almacén de la esquina se quedó sin un triste file luego qué Wanna Cry pasó por el barrio.  El ransomware llegó  para ser una parte de nuestra vida. Desde 2014, el 81% de las firmas de envergadura estadounidenses y el 60% de las demás en aquel país, pueden haber sufrido incidentes de seguridad informática, muchas veces sin saberlo. ¿Y en Argentina? Bueno, sólo los ataques de la semana pasada dejaron un tendal de víctimas… 

Cyber Risk, entonces  es hoy el más grande y sistemático de los riesgos que enfrenta el mercado asegurador. La razón es que afecta esencialmente cada riego que derive del uso de la tecnología, en una época cuando el 97% de la documentación comercial es digital. El siniestro no solo daña la continuidad de un negocio, también a las relaciones entre el atacado y sus clientes, si la data perdida es de ellos. Y siempre es de ellos. La Ley argentina responsabiliza a quien recolecta y registra  una base de datos, respecto del titular de los datos.

¿Cómo reacciona el legislador respecto de la cobertura de este riesgo? Gradualmente las naciones dictan normas de distinta jerarquía que tienen en su mayoría como fuente de inspiración a la estadounidense General Data Protection Regulation (GDPR). Esta norma es muy interesante desde el punto de vista que hasta regula la obligación del asegurado de notificar el ataque. En  nuestro país aún no existe un marco claro, pero la responsabilidad por pérdida de datos personales de terceros encaja dentro del espíritu de la Ley de Protección de datos Personales 25326.  La responsabilidad de quien sufrió  el ataque (y tengo en mente a Directores y Gerentes) respecto de terceros titulares de la data perdida, se rige por las normas de la responsabilidad penal y civil comunes.  

¿Y cómo reaccionan las compañías? Gradualmente, extendiendo la cobertura a un rango cada vez mayor de siniestros. Una cobertura típica en la Unión Europea ofrece protección ante el robo de datos, la pérdida de información confidencial, así como los incidentes relacionados con la reputación, la privacidad o perjuicios a terceros y empleados. También el asegurado está protegido por las pérdidas económicas que pueda tener un negocio si se ve obligado a cerrar temporalmente y por los daños informáticos (restauración del software, recopilación de copia de seguridad, reposición de sistemas etc.). Las pólizas también cubren las consecuencias de una extorsión cibernética, incluso para una posible restitución de la imagen de la empresa en el caso de que fuera necesario. Además, el seguro cubre los honorarios de expertos para limitar el impacto de un ciberataque.  Este punto merecería un artículo aparte. Creo que la cláusula de cooperación y exclusión son parte esencial de la cuestión. Una cosa de que el asegurado haya mantenido un mínimo aceptable de condiciones de seguridad y capacitación y otra el caso opuesto. Los clientes tienen a su disposición un servicio para restaurar el software dañado y del sistema de control de acceso, así como de descontaminación del código malicioso. En España, la firma Mapfre incluso cubre lo que en su póliza de “ciberriesgo” está descrita como “asesoría legal y un servicio de atención telefónica para poder hacer la gestión de reparación de los daños causados con la violación de datos” 

Es indudable que nos encontramos ante el riesgo más serio de los últimos años, con una industria  aseguradora que ha respondido, pero que no lo cubre en su totalidad aún y un legislador que suele seguir los pasos de los hechos y no viceversa. 

En general, es un riesgo que  no es percibido aún en su real gravedad y cuya cobertura, más allá de las condiciones de póliza que he enumerado antes,  tiende a quedarse en las consecuencias de un hackerismo malicioso. Incluso algunos aseguradores aún consideran que las coberturas actuales  pueden cubrir el variado frente de riesgos existentes-  que, en realidad,  parecen crecer mensualmente.

Por otra  parte, si bien es cierto que el hackerismo es muy llamativo y “hace” encabezados, lo cierto es que muchos daños devienen de accidentes u omisiones de los asegurados. Lo que me hace pensar que las coberturas se incrementarán y se harán más  amplias en este sentido. 

En definitiva,  existe por parte del asegurado la percepción que el riesgo se ha democratizado y ahora se lo siente cercano y por parte de las aseguradoras se desarrolla  un proceso evolutivo que sugiere la ampliación de las coberturas en un (muy) corto plazo – En Internet, todo es en tiempo real…

Deja una respuesta