Silent CyberPreguntas frecuentes (FAQ) y respuestas

¿Qué es el “silent cyber”?La denominada cobertura “silenciosa” de Cyber (o cobertura no afirmativa) se refiere a la potencial exposición

a ciberriesgos contenida en las tradicionales pólizas de seguro de Daños Materiales y de Responsabilidad Civil

en la medida en que pueda discutirse la existencia o no de su implícita cobertura y no exista una exclusión explícita

de los mismos. Contrariamente a lo que ocurre en los seguros específicos Cyber, que definen con claridad el

ámbito de su cobertura ante incidentes de seguridad y privacidad, las pólizas de seguros tradicionales no fueron

diseñadas teniendo en cuenta la exposición a los ciberriesgos. En muchos casos, las pólizas de Daños Materiales y de

Responsabilidad Civil no hacen referencia a los riesgos cibernéticos, y es posible que en determinadas circunstancias

se puedan ver activadas, al menos desde un plano teórico, ante un incidente de seguridad o de privacidad.

Esta situación se hace especialmente patente en el caso de las coberturas Todo Riesgo de Daños Materiales que

no excluyan ciberriesgos y también resulta relevante en seguros Marítimos, de Aviación, Transporte, Construcción

o de Responsabilidad Civil, que no contengan un lenguaje afirmativo al respecto.

En este contexto, ¿Qué se entiende por “Ciberriesgo”?Al tratar este concepto, la opinión pública se refiere, de forma generalizada, a las pérdidas causadas por ataques

maliciosos a sistemas informáticos, sin embargo, un ciberriesgo no debe ser entendido necesariamente como

resultado de una actuación dolosa, pues de hecho algunos condicionados del seguro Cyber contemplan otros

desencadenantes que pueden activar las coberturas de la póliza, como el error humano que causa un fallo en los

sistemas de información. Probablemente la definición más comúnmente aceptada para referirse al ciberriesgo,

desde una perspectiva aseguradora, es la que propone el mercado del Lloyd s respaldando la formulada por

la Autoridad de Regulación Prudencial del Reino Unido:

“Por Ciberriesgo se entenderá cualquier riesgo cuyas pérdidas tengan una relación cibernética, y que provengan de un

ataque malicioso (por ejemplo, “malware”) o de un evento accidental (por ejemplo, pérdida de datos), que afecte a activos

tangible o intangibles.”

Fuente: Lloyd's Market Bulletin Y5258, 4th July 2019.

Ante el incremento de incidentes de seguridad y privacidad en empresas y profesionales, hemos elaborado el presente documento para facilitar a nuestros clientes una mayor claridad en torno al concepto del “silent cyber”, los cambios que algunos aseguradores están efectuando para excluir o clarificar su cobertura en pólizas de seguro diferentes a las de ciberriesgos, y nuestras recomendaciones para abordar esta nueva realidad procurando su más adecuada y completa protección ante las pérdidas derivadas de estas adversidades.

Marsh JLT Specialty • 1

¿Cuál es el enfoque Marsh?Como se resumen en el cuadro siguiente, entendemos que:

• el daño físico (sin incluir el daño a los datos) derivado de un incidente de ciberseguridad debe de buscar

cobertura, en la medida de lo posible, bajo los seguros tradicionales de Daños Materiales y Responsabilidad

Civil General; y

• el perjuicio financiero puro (incluyendo el daño a los datos) a raíz de un incidente de ciberseguridad

queda principalmente cubierto por el seguro Cyber, aunque también puede encontrar cobertura en póliza

de Responsabilidad Civil Profesional y especialmente en lo relativo al dinero bajo coberturas de Fraude e

Infidelidad.

Por supuesto, no existe una única respuesta válida para todos los casos y es preciso explorar siempre soluciones

a medida de las especiales necesidades y circunstancias de cada cliente, en la medida en que estén disponibles

en el mercado.

¿Es positivo el “silent cover” de ciberriesgos para los tomadores?La falta de claridad en algunos condicionados estándar de pólizas de seguro de Daños Materiales o de

Responsabilidad Civil ha hecho que muchos clientes asuman que gozan de una cobertura adecuada para protegerles

ante el riesgo derivado de incidentes de ciberseguridad cuando puede que no sea así. Adicionalmente y mientras el

ciberriesgo evoluciona, una redacción no afirmativa en las coberturas tradicionales en éste ámbito puede dar lugar

a diferentes interpretaciones por los aseguradores, lo que conlleva conflictos con los clientes que pueden acabar

en los tribunales.

Ciberincidente

Daño físicoDaños

Materiales

Fraude e Infidelidad

PólizaCyber

Responsabilidad Profesional

Responsabilidad Civil General

Perjuicio Financiero Puro

1st Party 3rd Party

2 • Silent Cyber

¿Por qué están las aseguradoras preocupadas ante la cobertura del “silent cyber”?Compañías de seguros y autoridades regulatorias comparten preocupación ante la significativa exposición a los

ciberriesgos que no está medida y que se puede llegar a acumular, de forma inesperada, en las carteras de negocio

de las aseguradoras dada la naturaleza sistémica de esta clase de riesgos y la existencia de una eventual cobertura

silenciosa o implícita del sector asegurador al riesgo cibernético, suscrita en los portfolios de los aseguradores.

Un asegurador con un condicionado no afirmativo (que pudiera incorporar una cobertura “silent cyber”) podría no

haber tenido en cuenta la exposición a ciberriesgos que de forma inadvertida quede cubierta, no habiendo ajustado

su tasa a ese riesgo oculto ni cobrado prima por la exposición de riesgo adicional que está asumiendo.

¿Qué están haciendo las aseguradoras para eliminar la cobertura de “silent cyber"?Las compañías de seguros están adoptando medidas para gestionar el “silent cyber”, en ocasiones incluso debido

a requerimientos de las autoridades administrativas que regulan su actividad. Algunas aseguradoras han emitido

comunicados para clarificar sus intenciones en relación con la cobertura de las pólizas que tienen emitidas.

Estas comunicaciones no dejan de ser “parches” para ganar tiempo mientras avanzan en la introducción de nuevas

redacciones y políticas de suscripción para abordar con más claridad estas incertidumbres. Otros comunicados

incluso han establecido que, a partir de una determinada fecha, se excluirán o incluirán expresamente los

ciberriesgos en sus pólizas tradicionales de seguro.

¿Qué supone una exclusión cyber?La aclaraciones o exclusiones en relación a la cobertura de ciberriesgos varían según el producto, geografía y

asegurador. El lenguaje típico definiría en primer lugar el ciberriesgo para a continuación excluirlo de la cobertura

de la póliza en particular. Algunos aseguradores, sin embargo, han adoptado un enfoque con más matices al referirse

primero a la cobertura afirmativa de estos riesgos para luego, abordar (o no) restricciones en la misma o sublímites.

Marsh JLT Specialty • 3

¿Pierdo cobertura si mi asegurador añade una exclusión de ciberriesgos en mi póliza?No necesariamente, pues en ocasiones la cobertura pudo nunca estar clara desde un comienzo. En todo caso,

conviene revisar con especial cuidado cualquier exclusión que se pudiera plantear, pues en ocasiones pueden

ser especialmente amplias e inadecuadas para sus necesidades concretas de cobertura. El objetivo de cualquier

exclusión debe de ser excluir de forma específica únicamente aquello que un asegurador no está expresamente

dispuesto a cubrir y valorar, siempre con precisión. Es preciso prestar atención a que la redacción de una exclusión

no va más allá de su intención real, ni restringe la cobertura requerida.

Una exclusión de ciberriesgos no debe tener impacto en el resto de coberturas del seguro. En estos dos escenarios,

por ejemplo, será necesario revisar y evaluar la situación:

• Si un virus provoca un sobrecalentamiento en una pieza de maquinaria que acaba generando un incendio

completo del edificio, ¿desea que el incendio este cubierto en su póliza de Daños Materiales?.

• ¿Debe una exclusión de ciberriesgos en una póliza de D&O privar de cobertura a los asegurados ante una

demanda colectiva de accionistas (“class action”) por errores de gestión a la hora de gestionar e informar

de un incidente de ciberseguridad sufrido por la empresa?.

¿Qué debo hacer si quiero tener una cobertura afirmativa para ciberriesgos en mis pólizas tradicionales?Dependiendo del tipo de producto y del asegurador, se podrá llegar a comprar una cobertura afirmativa para

ciberriesgos en su póliza tradicional de Daños Materiales o de Responsabilidad Civil. En todo caso, debe de prestarse

especial atención a la hora de analizar la forma en que se proporciona esta cobertura y si la solución propuesta es

la más adecuada para sus intereses. En muchos casos, la cobertura para ciberriesgos que pueda obtener a través

de seguros Cyber será mayor (tanto en su ámbito como en su límite) a la que pueda llegar a acceder por medio de

extensiones parciales y afirmativas a introducir en sus seguros tradicionales que no fueron concebidos para atender

esta clase de exposición de riesgo.

4 • Silent Cyber

Si mis aseguradores de ramos tradicionales insisten en imponer amplias exclusiones, ¿hay alguna solución en el mercado asegurador de ciberriesgos?Es muy probable que el mercado asegurador de ciberriesgos pueda ofrecer una solución completa o parcial

para cubrir aquellos vacíos de cobertura, consecuencia de una exclusión para las pérdidas derivadas de incidentes

de ciberseguridad en pólizas de seguro tradicionales de Daños Materiales o de Responsabilidad Civil que se vea

obligado a aceptar. Para ello será necesario proporcionar información técnica de ciberseguridad suficiente a

los suscriptores especializados en este ramo, delimitando de forma clara — con la ayuda de su mediador — los

escenarios de pérdidas a cubrir ante la exclusión propuesta. Al llevar a cabo este ejercicio, a la medida de sus

necesidades, se podrán identificar obstáculos (como por ejemplo una limitación en la capacidad) y será importante

contar con un asesoramiento especializado y un alto nivel de interlocución con los actores principales del mercado

asegurador para lograr obtener una mayor flexibilidad y receptividad para desarrollar una propuesta a su medida.

La travesía del “Silent cyber” no ha hecho sino dar comienzo y en la actualidad nos encontramos en una fase

de transición en la que desde Marsh estamos a su disposición para:

• Revisar su cobertura en vigor para informarle con claridad sobre la misma e identificar los potenciales

vacíos de cobertura o solapamientos con otras coberturas de su programa de seguros corporativos.

• Diseñar para Ud. la cobertura adecuada a la medida de sus necesidades y circunstancias.

• Compartir con Ud. las tendencias y novedades que observamos en el mercado.

Marsh JLT Specialty • 5

La información contenida en este documento es privada y confidencial y tiene únicamente validez a efectos informativos. Está destinada al uso exclusivo del destinatario y solo puede ser utilizada para la finalidad para la que se ha realizado. Todos los derechos de propiedad intelectual, con independencia de que estén o no registrados, de todas y cada una de las informaciones, contenidos, datos y gráficos que se incluyen en el documento pertenecen a Marsh, S.A. Mediadores de Seguros (en adelante Marsh), y el destinatario no obtendrá, ni deberá tratar de obtener, ningún derecho sobre la titularidad de dicha propiedad intelectual. Queda terminantemente prohibido que el documento se reproduzca, distribuya, publique, transforme y/o difunda, total o parcialmente, con terceras personas, físicas o jurídicas, públicas o privadas (incluidos los consultores y asesores del destinatario), sea con fines comerciales o no, a título gratuito u oneroso, sin el previo consentimiento por escrito de Marsh. Este documento se ha realizado ateniendo al propósito que figura en su objeto y está basado en la experiencia y comprensión de Marsh, no siendo válido para cualquier otro fin que no sea el especificado. Se trata de información que no ha podido ser contrastada por Marsh, y por tanto, sin que ésta sea responsable de su integridad, veracidad o exactitud, de modo que no asume responsabilidad alguna por los eventuales errores existentes en ella, ni por las discrepancias que pudieran encontrarse entre distintas versiones de la misma. Ha sido redactado en la fecha de su firma y no refleja hechos o circunstancias que ocurrieron o de los cuales Marsh se enteró con posterioridad. En consecuencia, Marsh no tiene obligación de actualizarlo. El alcance del documento se circunscribe a aspectos relativos a la materia de seguros y en su realización no se ha valorado ningún documento, ni información relacionada con otras materias, citando a título enunciativo y no limitativo las siguientes: medioambientales, financieras o contables, cuestiones actuariales, legales, tecnológicas, de ingeniería o asuntos técnicos. La ausencia de observaciones sobre cualquier asunto (o la ausencia de cualquier asunto en el documento) no debe interpretarse como un comentario u opinión implícita. El documento no pretende ser una explicación exhaustiva o análisis completo de la información proporcionada. El documento pretende ser leído en su totalidad y no en partes. Por ello, Marsh recomienda que dicho documento no sea considerado de manera aislada para la toma de decisiones relativas a la asunción de riesgos. Todas las manifestaciones en materia fiscal, contable o jurídica que pudieran incluirse en el documento, deben entenderse como observaciones generales basadas únicamente en nuestra experiencia en seguros y cobertura de riesgos y no pueden considerarse asesoramiento fiscal, contable o jurídico, el cual no estamos autorizados a prestar. Todas estas materias deben examinarse con asesores adecuadamente cualificados en el correspondiente campo. Por dicho motivo, Marsh no asumirá la responsabilidad que pueda existir, bien por el contenido de dichas observaciones generales que pudieran haberse incluido, bien por la falta de análisis de las implicaciones legales, comerciales o técnicas de los documentos e información puestos a nuestra disposición.

MARSH, S.A. MEDIADORES DE SEGUROS, Correduría de Seguros y Reaseguros (en adelante, MARSH), con domicilio social en Paseo de la Castellana, nº 216, 28046 Madrid y con N.I.F. A-81332322. Se encuentra inscrita en el Registro Mercantil de Madrid en el Tomo 10.248, Libro: 0, Folio: 160, Sección: 8, Hoja: M-163304, Inscripción: 1 y en el Registro de la Dirección General de Seguros y Fondos de Pensiones con la clave nº J-0096 (Correduría de Seguros) y la clave nº RJ-0010 (Correduría de Reaseguros). Tiene concertados los Seguros de Responsabilidad Civil y de Caución, según se establece en la normativa sobre la distribución de seguros aplicable.

Este documento es material de marketing. Copyright © 2020 Marsh - Reservados todos los derechos

Para más información o preguntas acerca del “silent cyber” por favor contacte con nuestro equipo de especialistas:

SARA MUÑOZCyber Practice Leadersara.munozrubio@marsh.com

MACARENA BANDRÉSCyber Specialist (Madrid)macarena.bandres@marsh.com

OMAIRA LABORDACyber Specialist (Barcelona)omaira.labordaurrea@marsh.com