¿Dónde termina la cobertura BBB contra delitos informáticos y dónde empieza la cobertura cibernética independiente para las entidades financieras?
Kunal Benodekar, Oficina de Dubai
El coste de la ciberdelincuencia para las empresas ha aumentado exponencialmente en los últimos años y ese crecimiento no muestra signos de remitir. Esto se ha visto impulsado en gran medida por los enormes avances tecnológicos, las nuevas y estrictas normativas sobre el tratamiento de datos y, más recientemente, el crecimiento del trabajo a distancia provocado por la pandemia mundial.
El mercado de los ciberseguros está aún en pañales. Menos del 1% de las ciberpérdidas mundiales están aseguradas. En ASL creemos que eso va a cambiar, y rápido. A medida que las empresas empiecen a comprender mejor sus riesgos cibernéticos, veremos un repunte en la venta de pólizas cibernéticas independientes. Los principales expertos predicen que las primas brutas de los seguros cibernéticos crecerán más de un 20% anual hasta alcanzar los 20.000 millones de dólares en 2025.
Pero, ¿qué significa este panorama cambiante para las instituciones financieras en particular?
Muchas instituciones financieras cuentan con algún tipo de póliza Bankers Blanket Bond (BBB), que a menudo indemniza sólo las pérdidas directas de los fondos propios de la entidad e incluye cobertura para riesgos como la falta de honradez de los empleados y el fraude/robo tradicional. Junto a esto, los bancos a menudo optan por adquirir también cobertura para delitos informáticos, y normalmente sobre la base de la redacción LSW 983 de Lloyd's. Los riesgos asegurados incluyen la manipulación fraudulenta de sistemas informáticos, programas y comunicaciones electrónicas.
Por otro lado, las pólizas cibernéticas independientes suelen proporcionar cobertura para los costes y responsabilidades tanto de primera como de tercera parte relacionados con incidentes cibernéticos, como virus, pirateos informáticos y ataques de ransomware.
La cobertura de primera parte incluye el pago con fondos propios de la entidad en concepto de extorsión por ransomware. También abarca todos los costes incurridos para devolver a la entidad a la posición en la que se encontraba antes del incidente, incluidos los pagos para reparar los sistemas, notificar el incidente a las partes interesadas y mitigar los daños a la reputación. Las pérdidas por interrupción de la actividad también se incluirían en la cobertura de daños directos.
Las responsabilidades frente a terceros incluyen cualquier exposición asociada a reclamaciones legales que se interpongan contra la entidad tras el siniestro, incluidos los costes de defensa y el pago de daños y perjuicios. También incluyen el pago de multas reglamentarias.
A medida que el mercado de los ciberseguros empieza a madurar, ¿seguirán viendo las entidades financieras el valor de mantener tanto las pólizas tradicionales de delitos informáticos como las nuevas ofertas independientes de ciberseguros?
Para contextualizar, la redacción de la LSW 983 de Lloyd's, que constituye la base de las pólizas de delitos informáticos de muchas entidades financieras, se redactó hace más de 20 años. Incluye cláusulas de seguro para transferencias iniciadas por voz y comunicaciones por telefacsímil. Aunque algunas aseguradoras han modificado sus pólizas con el tiempo para abordar riesgos cibernéticos más modernos, esto ha sido poco sistemático, y algunos asegurados siguen teniendo una cobertura que podría no abordar todos los peligros que podrían derivarse de un ciberataque.
Un ejemplo de ello son los ataques de ransomware, que actualmente es el tipo de ciberdelincuencia de más rápido crecimiento en todo el mundo y plantea un riesgo significativo para los bancos. Aunque estamos empezando a ver endosos de extorsión cibernética incluidos en las pólizas de delitos informáticos, esto está lejos de ser habitual y los asegurados que no tienen pólizas cibernéticas independientes están en gran parte expuestos a este riesgo creciente.
Como resultado, un fenómeno reciente que hemos observado es que los aseguradores intentan "meter con calzador" las pérdidas por ransomware en las cláusulas tradicionales de seguro contra delitos informáticos. También estamos viendo que ocurre algo similar con las responsabilidades de terceros y los costes derivados de las violaciones de datos que se presentan en las pólizas de indemnización profesional de los banqueros.
Dado que las pólizas contra delitos informáticos ofrecen una cobertura limitada tras un ciberataque, ¿están los aseguradores cibernéticos en mejor posición para ofrecer una "ventanilla única" de cobertura cibernética a las entidades financieras?
¿Qué futuro cree que aguarda a las entidades financieras y aseguradoras en un mercado cibernético en constante evolución?
Si desea obtener más información sobre nuestras capacidades en materia de investigación y evaluación de notificaciones cibernéticas, pérdidas por interrupción de la actividad empresarial y costes de reparación, póngase en contacto con Kunal Benodekar o Robert Lloyd.