El ciberriesgo silencioso describe un riesgo cibernético «silencioso» o llamado no afirmativo. Esto significa que la cobertura por daños sufridos como resultado de un ciberataque no está explícitamente incluida ni excluida en las pólizas de seguro. Así que quedará en silencio al respecto. Esto puede ser problemático en caso de daño.

En los últimos años, ha habido un aumento del interés por el seguro cibernético. Según la GDV, las pequeñas y medianas empresas se están protegiendo cada vez más frente a las amenazas de Internet. En 2020, el 35 por ciento de las pequeñas empresas (entre 2 y 10 millones de euros en ventas) y el 43 por ciento de las medianas empresas (entre 10 y 50 millones de euros en ventas) dijeron que ya tenían seguro cibernético o que planeaban contratarlo.

Por el contrario, esto significa que la mayoría de las compañías aún no han reconocido los beneficios del seguro cibernético. Los ciberataques representan ahora el mayor riesgo empresarial global (según el Allianz Risk Barometer).

Actualmente, muchas compañías dependen de pólizas convencionales de propiedad y responsabilidad civil, que a veces también cubren daños cibernéticos. Sin embargo, si estos daños no se incluyen expresamente o excluyen, existe el riesgo de «ciberseguridad silenciosa».

En un estudio de la agencia de calificación Assekurata, el 74 por ciento de los proveedores de seguros cibernéticos encuestados afirmaron que las coberturas convencionales de propiedad y responsabilidad civil implican un riesgo significativo de «ciberseguridad silenciosa» (estudio: «¡La gran ola cibernética sigue llegando!», 2019).

Riesgos concretos del «Cyber Silencioso»

¿Cuáles son las consecuencias si los riesgos cibernéticos no se tienen en cuenta o solo no se tienen suficientemente en cuenta en una política, es decir, son riesgos «silenciosos»? En este caso, en caso de daños derivados de un ciberataque, no está claro hasta qué punto se cubre este daño. O si están cubiertas en absoluto.

El riesgo de «ciberseguridad silenciosa» afecta tanto a las compañías de seguros como a las personas aseguradas. Por ejemplo, Marsh, una correduría internacional de seguros industriales y consultora de riesgos, explica que las compañías de seguros con formulación no afirmativa de la póliza se exponen a un mayor riesgo. Esto se debe a que la falta de consideración de los posibles riesgos cibernéticos no calcula el aumento del riesgo del asegurado, ni evalúa la posible agregación de riesgos en la propia cartera.

El asegurado también asume un riesgo mayor, ya que muchas pólizas convencionales de propiedad y responsabilidad civil no cubren los daños sufridos como resultado de un ciberataque. Sin embargo, para que el asegurado reconozca este riesgo incrementado, debe formularse explícitamente. De lo contrario, algunos asegurados creen que tienen una cobertura adecuada para riesgos cibernéticos, cuando no la tienen.

Además, las formulaciones no afirmativas pueden interpretarse de forma diferente por las compañías de seguros. En caso de daño, esto puede dar lugar a disputas legales.

¿Cómo se pueden prevenir los malentendidos?

Es recomendable que los asegurados comprueben si las pérdidas cibernéticas están explícitamente consideradas y cubiertas en sus pólizas existentes de propiedad y responsabilidad civil. Si no es así, es recomendable hacerlo más adelante. Por ejemplo, con un seguro cibernético individual adicional que, además de la cobertura de daños económicos, también ofrece servicios adicionales útiles como asistencia de emergencia 24/7 o medidas de educación y formación preventiva. Al fin y al cabo, estas medidas ayudan a contener los ciberataques o, en el mejor de los casos, a evitarlos por completo, y el mayor daño siempre es el daño que no ocurre en primer lugar.

Lo que dice el experto en Perseo

Milan Jarosch, director senior de ventas de canal y principalmente responsable de los corredores de seguros, afirma:

«El tema del ciberseguridad silenciosa es principalmente un asunto de las aseguradoras, ya que existen riesgos potenciales en la cartera que, por un lado, no pueden (todavía) evaluarse ni calcularse válidamente y, por otro, no se reflejan en la prima.

Para los clientes, esto es básicamente positivo al principio, porque en caso de duda disfrutan de cobertura de seguro para algo que normalmente no conocen y por lo que no pagan. Esto solo es negativo si un cliente cree que ha ‘contratado’ un seguro cibernético con su póliza de propiedad o responsabilidad civil. Luego, por supuesto, podría haber un despertar brusco, ya que el contenido de cobertura de las pólizas comunes de seguro cibernético (a menudo con mucho) va mucho más allá de la cobertura en esta área. Sin embargo, en la práctica, esto es más un escenario teórico, ya que en la mayoría de los casos los clientes han sido informados en consecuencia por su corredor supervisor y, por tanto, deberían ser conscientes de la brecha de cobertura en el sector cibernético.»