Viernes, 24 Julio 2020

Cyber y business interruption: ¿fenómenos distintos o trigger de cobertura?

VolverA lo largo de una serie de tres artículos (interrumpidos por la pandemia) hemos ido desgranando la problemática que presentan los ciberriesgos desde diferentes puntos de vista, analizando algunas de las coberturas más características, su alcance y sus efectos.

En anteriores entregas, hemos tratado de analizar las implicaciones de los ciberriesgos cuando se pretenden imputar a pólizas que no han sido diseñadas para dar cobertura a este tipo de riesgos. Dejando aparte las dudas que suscita el silent cyber (enero de 2020), lo cierto es que la interacción de los ciberriesgos con las pólizas de property constituye una preocupación creciente en el mercado. Uno de los aspectos menos conocidos del cyber es, precisamente, su potencial para actuar como trigger (disparador) de las coberturas de business interruption previstas en muchas de las pólizas de property.

En estos días, las cláusulas de business interruption se encuentran de actualidad dado el contexto generado por la COVID-19 y su notable impacto sobre la economía mundial. Las cláusulas de business interruption tienen por objeto cubrir el perjuicio patrimonial que supone el cese de la actividad productiva por la materialización de un evento que, normalmente, se identifica con un daño material; este tipo de coberturas, tradicionalmente, nacen de la materialización de un evento catastrófico como un incendio, una deflagración, un evento meteorológico extremo… Todos ellos eventos que provocan la destrucción de los medios de producción o de las instalaciones productivas y el consecuente cese o reducción de la actividad productiva.

El problema fundamental que presentan las cláusulas de business interruption es que suelen encontrarse ligadas a la ocurrencia de un daño material; en ausencia de un daño material a las instalaciones o medios de producción, no se podrían activar este tipo de coberturas.

Diferentes tribunales se han visto obligados a analizar estas cláusulas a la luz de la COVID-19. En Francia, una de las aseguradoras sistémicas (y buque insignia del sector asegurador francés) se veía obligada a afrontar el pago de una indemnización como consecuencia de la interrupción de la actividad de una conocida cadena de restauración durante la primera ola de la pandemia mientras que, en fecha bien reciente, un tribunal de Ciudad del Cabo (Sudáfrica) consideraba que el hecho de que se hubiese producido una interrupción de negocio de un restaurante como consecuencia del confinamiento impuesto por las autoridades sanitarias, en realidad, tiene relación con la COVID-19 y, por lo tanto, dispara las coberturas previstas para la pandemia en la póliza suscrita al efecto.

En ninguno de los casos anteriores se ha producido un daño material, un daño sobre los medios de producción o sobre las instalaciones productivas, sino el mero cese de la actividad productiva con motivo de las restricciones impuestas por la pandemia. El hecho de que se hayan disparado las coberturas de business interruption en ausencia de un daño material pone en cuestión el alcance de este tipo de cláusulas y el cálculo del riesgo efectuado por la entidad aseguradora. En tanto en cuanto pueda considerarse que el cese de actividad, sin daño, es el disparador de este tipo de coberturas, resulta claro que los ciberriesgos pueden convertirse en un trigger para considerar.

La naturaleza de los ciberriesgos es diversa, cambiante y versátil. En el ADN del ciberriesgo se encuentra su capacidad para adaptarse a la víctima, rastrear y explotar sus debilidades. En este sentido, más allá del malware destinado a la obtención de información y al espionaje, en las últimas décadas estamos asistiendo al desarrollo y sofisticación de malware que tiene la capacidad (intencionada o no) de provocar un daño material sobre su objetivo, bien de forma directa, bien indirecta. En muchos casos, este tipo de malware se ha desarrollado para el sabotaje industrial, aunque algunos de ellos forman parte de lo que, técnicamente, se ha dado en denominar APTs (Advanced Persistent Threats): ciberataques con motivación política, perpetrados por organizaciones de cierto tamaño o por estados.

Un ejemplo muy conocido de los efectos potencialmente lesivos del malware sobre los procesos de producción se encuentra en “Stuxnet”, descubierto en 2010. Este gusano informático tenía como objetivo los sistemas SCADA (Supervisory Control and Data Acquisition), aquellos que permiten el control y monitorización, a distancia, de los procesos productivos. El fin último de Stuxnet era, según medios especializados, sabotear el programa nuclear iraní (probablemente en Bushehr o Natanz). ¿Cómo lo lograba?

Stuxnet tomaba el control de los sistemas de medición de presión y velocidad de válvulas y rotores de forma que los operadores no pudiesen conocer los parámetros reales de medición. Stuxnet conseguía, así, dañar las centrifugadoras tan necesarias para el proceso de enriquecimiento de uranio paralizando y, en todo caso, ralentizando el programa nuclear iraní. Stuxnet sí produce un daño material en los medios de producción.

Otro ejemplo del potencial para provocar un business interruption por un ciberataque lo encontramos en NotPetya, del que ya tuvimos ocasión de hablar en entregas anteriores (febrero 2020). Este virus, también una APT pero, esta vez, en forma de ransomware, tenía como objetivo la administración ucrania, pero infectó centenares de equipos del laboratorio Merck & Co. Este “secuestro” de los equipos provocó el cese total de la producción del laboratorio, con sus consecuentes pérdidas millonarias. No existió daño material, pero sí daño patrimonial consecutivo.

Tanto en el caso del NotPetya como en el caso del Stuxnet el laboratorio o la, en su caso, empresa gestora de la planta nuclear podrían haber declarado un siniestro en su póliza de property; en el caso de Stuxnet, de no haberse conocido la autoría de esta APT, este siniestro difícilmente podría haber sido rehusado. El potencial destructivo de los ciberriesgos para con los medios de producción debe ser abordado de forma adecuada: es preciso desarrollar y comercializar productos de ciberseguro adaptados a la casuística de cada empresa y sector productivo, ya que todos pueden ser víctima (objetivo o daño colateral) de un ciberataque.

A la hora de valorar la cobertura de una póliza de property, así como la posibilidad de que la póliza cubra un business interruption sin daño, es preciso acudir a los clausulados y a la literalidad de cada una de las pólizas (diversas, en todo caso). En este sentido, resulta ciertamente improbable que se reinterpreten los clausulados, cuando éstos exigen la materialización de un daño material a los medios de producción, para dar cobertura a un business interruption sin daño material.

Desde el Departamento de Derecho del Seguro de Belzuz Abogados S.L.P. seguimos haciendo hincapié en la clarificación y simplificación de los clausulados de forma que, tanto Tomador como Aseguradora, conozcan los riesgos cubiertos y hasta dónde se extienden sus responsabilidades. Evitar el silent cyber, contribuir a la concienciación sobre los ciberriesgos y fomentar el desarrollo de productos de ciberseguro completos y efectivos no es sino una obligación de todos en este verano de incertidumbre.

Departamento de Derecho del Seguro | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

 

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa