Juan Manuel Quintana Zuazúa: "El ramo de seguro de riesgos cibernéticos pronto será considerado tan relevante como los seguros de Responsabilidad Civil o de Daños Materiales"
Entrevistamos a Juan Manuel Quintana Zuazúa, Abogado especializado en Derecho Mercantil, con ocasión de su participación en la reciente publicación del número 183-184 de la Revista Española de Seguros, titulado “El seguro en tiempos de pandemia. Visión comparada”, número que ha contado con la dirección de Francisco Javier Tirado Suárez, participación que se ha materializado en el excepcional estudio titulado “Ciberriesgos y pandemia: Objetividad, subjetividad y especificidad de la variación del riesgo asegurado
1.- Juan Manuel, ¿cómo está afectando actualmente la situación de pandemia a los riesgos cibernéticos?
De manera general, podría afirmarse que nos encontramos ante una intensificación sin precedentes de la ciberdelincuencia, con todo lo que ello implica.
La pandemia ha generado vulnerabilidades adicionales en las empresas y organismos públicos, ya que se ha visto alterado el que venía siendo su normal funcionamiento y se han tenido que buscar soluciones de emergencia, a menudo improvisadas.
Los ciberdelincuentes saben sacar provecho de ese caos organizativo mediante métodos cada vez más sofisticados.
A su vez, los particulares también se ven afectados, ya que la preocupación por la pandemia, así como por la situación económica generada, ha traído consigo una proliferación de fraudes y estafas a través de internet en las que es más fácil que la población caiga en el engaño, de lo que pudiera serlo en otras circunstancias.
2.- ¿Cuáles son los principales y más habituales factores específicos de exposición al riesgo cibernético?
La pandemia nos ha puesto en un escenario en el que se produce la combinación de un aumento de la actividad delictiva en internet, con un aumento de las vulnerabilidades, lo cual da lugar a resultados peligrosos.
El teletrabajo ha sido la salvación para las empresas que han podido funcionar en esta modalidad, especialmente durante el confinamiento estricto, pero también supone un punto débil a considerar.
Los procesos operativos no son iguales dentro del entorno controlado de una oficina que en los domicilios particulares. Las anomalías que pudieran delatar la actividad de un ciberdelincuente (como pudiera ser una solicitud extraña mediante la suplantación de la identidad de algún empleado) pueden pasar más fácilmente desapercibidas.
Del mismo modo, las redes y equipos domésticos, suelen ser más vulnerables que los entornos debidamente securizados de las empresas.
La falta de protocolos de ciberseguridad actualizados, muy habitual en las pequeñas y medianas empresas, que no tienen la misma percepción del riesgo que una gran corporación, hace que sean el objetivo ideal para los ciberdelincuentes.
3.- ¿Cómo debe actuar una organización, ante el auge de la ciberdelincuencia, en una situación de pandemia como la actual?
La clave reside en la capacidad de la empresa para implantar con éxito un buen protocolo de prevención de riesgos cibernéticos, y de hacer que los empleados sean conscientes de la realidad de este peligro, de manera que puedan prevenirlo, detectarlo, evitarlo y, llegado el caso, minimizar los daños y perjuicios.
Muchos de los fraudes y ataques sufridos por empresas y particulares se han perpetrado mediante el llamado “fraude de ingeniería social”, en el que se aprovecha el punto débil de la falta de prevención de las personas y el exceso de confianza.
No son raros los casos de empresas que han realizado transferencias bancarias millonarias a las cuentas de los ciberdelincuentes, que se habían hecho pasar por proveedores, simplemente falseando la cuenta de correo electrónico de un empleado real.
Del mismo modo, un archivo adjunto en un e-mail, aparentemente normal, puede ser, en realidad, un virus informático del tipo ransomware, que inutiliza los archivos mediante una encriptación indescifrable y exige el pago de un rescate económico a los extorsionadores para recuperarlos.
4.- La gestión, prevención y control del ciberriesgo corporativo ¿a quién compete en una organización?
En realidad, cada uno de los componentes de una empresa tiene un papel en relación con ello, ya que los riesgos cibernéticos son muy variados y afectan a diferentes áreas, bajo la responsabilidad de diferentes departamentos y empleados.
Un ciberataque puede poner contra las cuerdas la operatividad de los sistemas informáticos, la seguridad de los datos personales, el propio funcionamiento de la empresa e incluso directamente, el contenido de sus cuentas bancarias.
Hay que desterrar la anticuada idea de que los ciberriesgos son un “problema de los informáticos”, del mismo modo que un incendio no puede considerarse simplemente como un “problema de los bomberos”.
Debe haber una perfecta y fluida coordinación entre el Departamento de IT, el Compliance Officer, el Delegado de Protección de Datos, el Risk Manager, la Dirección y los responsables de los departamentos que, a su vez, deben transmitir las pautas a seguir a todo el personal, en todos los escalones de la organización.
En particular la figura del Risk Manager, el Gerente de Riesgos, me parece de especial relevancia, ya que será competencia suya, tanto haber suscrito un programa de seguros adecuado para este tipo de riesgos y ajustado a su dimensionamiento, como, llegado el caso, coordinar con la compañía aseguradora la resolución del incidente si se produjese.
5.- ¿En qué se caracterizan ahora los seguros de ciberriesgo tras la irrupción de la pandemia de la COVID-19?
El ramo de seguro de riesgos cibernéticos ha experimentado un rápido crecimiento, que ya venía siendo sostenido antes de la pandemia, que lo ha revelado como un tipo de seguro indispensable y que pronto será considerado al mismo nivel de relevancia que los seguros de Responsabilidad Civil o de Daños Materiales.
La pandemia ha supuesto un acelerador de este proceso, en cuanto a que ha magnificado los riesgos que este tipo de seguros vienen cubriendo, incrementando con ello la necesidad de disponer de aseguramiento frente a estas amenazas.
Por una parte, ha generado en muchas compañías aseguradoras, la necesidad de adaptarse a este mercado, ofreciendo este tipo de seguros especializados al resultar evidente la creciente demanda de ellos.
Sin embargo, al incrementarse el riesgo, puede percibirse una tendencia general al endurecimiento de las condiciones del mercado asegurador, que se materializa particularmente en condicionados más restrictivos con las coberturas, mayores exigencias de prevención al asegurado y primas más elevadas.
6.- ¿Podría explicarnos por qué habla usted de naturaleza mixta en el seguro de riesgos cibernéticos?
El seguro de ciberriesgos es un tipo de seguro extremadamente técnico, que cubre supuestos de naturaleza muy diferente, que tienen en común únicamente el medio informático.
Por este motivo, estos seguros incluyen en sus contratos coberturas que tradicionalmente se verían englobadas en pólizas de diferentes ramos, como las destinadas a cubrir los perjuicios a terceros, los daños propios, la pérdida de beneficios…
Un ataque informático puede tener toda clase de efectos directos e indirectos, propios y frente a otros, virtuales, físicos, económicos, reputacionales y legales.
Esta variedad de efectos, hace que necesariamente el seguro tenga que ser polivalente y constituir un ramo nuevo, ya que sería complicado articular un programa de seguros completo y sólido, si hubiera que cubrir estos riesgos de manera dispersa en las pólizas existentes de los ramos tradicionales.
7- Desde el punto de vista del aseguramiento de los riesgos cibernéticos ¿Qué coberturas son más demandadas?
Las formas clásicas de cobertura aseguradora, destinadas a la indemnización de los daños producidos, una vez concretados y cuantificados, resultan fundamentales, como en cualquier seguro. No obstante, un punto clave y diferenciador de este tipo de seguros, son las coberturas más enfocadas hacia la minimización de los daños.
En particular, destacaría las coberturas de respuesta a incidentes.
Cuando una organización es víctima de un ciberataque, la primera reacción suele ser pánico y el desconcierto, especialmente en pequeñas y medianas empresas, que no disponen de los medios para contrarrestar, repeler o minimizar los efectos de una amenaza de este tipo.
Para todas las partes, es preferible que los daños y perjuicios tengan el menor alcance posible, por lo que este tipo de coberturas “de asistencia” son muy importantes para resolver o mitigar la situación, lo que implica un nivel de cualificación técnica y medios especializados que rara vez podrían ser asumidos por la organización asegurada.
8.- ¿Qué efectos destaca en la variación del riesgo y valor vinculante de los contaros del seguro en la actual situación pandémica?
Este aspecto, en el que centro mi trabajo recientemente publicado por SEAIDA, considero que tiene un particular interés jurídico, ya que se trata de un factor que ha generado inquietud, tanto en las compañías aseguradoras como en los asegurados.
En vista de este aumento sin precedentes de la ciberdelincuencia, considerado un efecto de esta pandemia sobrevenida, la reacción inmediata de las organizaciones aseguradas ha sido revisar sus coberturas frente a este tipo de riesgo. A su vez, las compañías aseguradoras se han apresurado a analizar, igualmente, los condicionados de sus pólizas en vigor.
Los contratos de seguro, como cualquier contrato, tienen un valor vinculante para las partes contratantes. Rige el principio jurídico del pacta sunt servanda, que es su razón de ser como fuente de derechos y obligaciones para las partes.
Sin embargo, la legislación plantea mecanismos de rescisión o modificación de los términos de estos contratos en vigor, ante una variación del riesgo asegurado, de tal magnitud, que de haberse conocido en el momento de la celebración del contrato, no se habría llevado a cabo, o hubiese variado notablemente lo pactado. Es el llamado principio rebus sic stantibus, que incluso suele venir reflejado, en muchas pólizas, en una cláusula específica en la que se plantea su aplicación.
Sin extenderme en detalles legislativos, que analizo en mi trabajo de manera pormenorizada, la posición doctrinal que mantengo se basa en la especificidad del riesgo asegurado como elemento clave. Las compañías no deben considerar el escenario general como un agravante del riesgo cubierto en el contrato, sino la afectación específica y concreta sobre el objeto del contrato, entendiéndose muy restrictivamente, para evitar poner en peligro el conjunto del normal funcionamiento del tráfico jurídico y del sector asegurador en particular.
La jurisprudencia se ha venido mostrando, de manera general, favorable a una aplicación muy limitada de este tipo de mecanismo, antes de la aparición de la pandemia y es probable que mantenga una posición similar pese a lo disruptor de la situación actual.
No obstante, debo decir que, al menos por el momento, no he percibido en el sector asegurador una posición tendente a la invocación de esta ruptura del valor vinculante, quedando limitado este endurecimiento a las políticas de suscripción de las nuevas pólizas.
9.- Y para terminar, usted es autor de numerosos estudios y ponencias sobre aspectos jurídicos de la seguridad pública y la gestión de servicios de emergencia, y en este sentido corresponde por justicia mencionar que usted fue galardonado hace dos años con la condecoración europea de La Croix d´Honneur du Policier Européen. Al hilo de la entrevista nos gustaría conocer hasta qué punto existe ciberriesgo en la gestión de los servicios de emergencia actualmente y cómo puede afectarla.
Aunque el canal o los medios propios de los riesgos cibernéticos del mundo empresarial puedan tener mucho en común con aquellos a los que se exponen los servicios de emergencia, éste es un ámbito que trasciende completamente los ciberriesgos corporativos, para entrar en terrenos más propios de la seguridad nacional y la protección de infraestructuras críticas.
Un ciberataque puede condicionar e incluso colapsar la capacidad operativa de servicios de emergencia que necesitan una interconexión constante, como los servicios sanitarios, cuerpos policiales y de bomberos.
Durante la pandemia, se han intensificado también este tipo de ataques, incluyendo algunos de gravedad. La naturaleza crítica de estos servicios durante la pandemia, así como la naturaleza extremadamente sensible de los datos que manejan, despierta un especial interés en los ciberdelincuentes.
Desde el inicio de la pandemia, se han producido ciberataques específicamente dirigidos contra los sistemas operativos de hospitales en España y otros países, incluyendo uno de especial gravedad en Alemania, que paralizó el servicio de urgencias de un hospital importante durante semanas.
Más allá de los perjuicios asegurables y cuantificables que pudieran ser objeto de cobertura por un seguro de ciberriesgos, los ataques cibernéticos ponen en peligro la capacidad de estos servicios, lo cual puede traducirse directamente en pérdida de vidas.
Esta amenaza no es ajena a estas entidades, cuyo servicio es esencial, y me consta que se han implementado numerosos protocolos específicos y varias líneas de defensa, con el objetivo de impedir el éxito de los ciberataques en estos ámbitos. Asimismo, existen planes de contingencia para garantizar la operatividad y capacidad de respuesta, en caso de que estos ciberataques afecten de forma relevante al funcionamiento estos servicios críticos.
Dicho todo ello, no se puede bajar la guardia, pues la delincuencia cibernética es cada día más sofisticada y dispone de una capacidad de adaptación que, en muchas ocasiones, se adelanta a las posibilidades de prevención y reacción de las Administraciones Públicas de los diferentes países.