El director ejecutivo de una de las compañías de seguros más grandes de Europa advirtió que los ataques cibernéticos, en lugar de las catástrofes naturales, se volverán “no asegurables” a medida que la interrupción de los ataques informáticos continúe creciendo.
Los ejecutivos de seguros han expresado cada vez más en los últimos años los riesgos sistémicos, como las pandemias y el cambio climático, que ponen a prueba la capacidad del sector para brindar cobertura. Por segundo año consecutivo, se espera que las reclamaciones relacionadas con catástrofes naturales superen los 100.000 millones de dólares.
Pero Mario Greco, director ejecutivo de la aseguradora Zurich, le dijo al Financial Times que el ciberriesgo era el riesgo a vigilar.
“Lo que dejará de ser asegurable será lo cibernético”, dijo. “¿Qué pasa si alguien toma el control de partes vitales de nuestra infraestructura, las consecuencias de eso?”
Los recientes ataques que han afectado a hospitales, cerrado tuberías y dirigido a departamentos gubernamentales han alimentado la preocupación sobre este riesgo en expansión entre los ejecutivos de la industria.
Centrarse en el riesgo de privacidad para las personas era perder el panorama general, Greco agregó: “En primer lugar, debe haber una percepción de que no se trata solo de datos. . . esto se trata de la civilización. Estas personas pueden perturbar gravemente nuestras vidas”.
Las pérdidas cibernéticas en espiral en los últimos años han provocado medidas de emergencia por parte de los suscriptores del sector para limitar su exposición. Además de hacer subir los precios, algunas aseguradoras han respondido ajustando las pólizas para que los clientes retengan más pérdidas.
Hay exenciones escritas en las políticas para ciertos tipos de ataques. En 2019, Zurich rechazó inicialmente una reclamación de 100 millones de dólares de la empresa de alimentos Mondelez, derivada del ataque a NotPetya, sobre la base de que la póliza excluía una “acción bélica”. Las dos partes se establecieron más tarde.
En septiembre, Lloyd’s of London defendió un movimiento para limitar el riesgo sistémico de los ataques cibernéticos al solicitar que las pólizas de seguro suscritas en el mercado tuvieran una exención para los ataques respaldados por el estado.
En ese momento, un alto ejecutivo de Lloyd’s dijo que la medida era “responsable” y preferible a esperar hasta “después de que todo haya salido mal”. Pero la dificultad de identificar a los que están detrás de los ataques y sus afiliaciones hace que tales exenciones sean legalmente complicadas, y los expertos cibernéticos han advertido que el aumento de los precios y las excepciones más grandes podrían desanimar a las personas a comprar cualquier protección.
Greco dijo que había un límite de cuánto puede absorber el sector privado, en términos de sufragar todas las pérdidas derivadas de los ataques cibernéticos. Hizo un llamado a los gobiernos para que “establezcan esquemas público-privados para manejar los riesgos cibernéticos sistémicos que no se pueden cuantificar, similares a los que existen en algunas jurisdicciones para terremotos o ataques terroristas”.
En septiembre, el gobierno de los EE. UU. solicitó opiniones sobre si se justificaba una respuesta federal de seguros a la cibernética, que podría ser parte de su actual programa público-privado de seguros para actos de terrorismo o estar fuera de él.
Un informe de la Oficina de Responsabilidad del Gobierno de los EE. UU. en junio destacó el potencial de los incidentes cibernéticos para “desbordarse” a otras empresas vinculadas. Dijo que ejemplos como el pirateo del Oleoducto Colonial, que creó una escasez temporal de gasolina en el sureste de los EE. UU., demostró “la posibilidad de que un solo incidente cibernético pueda afectar la infraestructura crítica con consecuencias catastróficas”.
Greco también elogió las medidas del gobierno de EE. UU. para desalentar los pagos de rescate. “Si frenas el pago de rescates, habrá menos ataques”.