Uno de los principales riesgos del aumento de la digitalización del seguro es el incremento de ciberataques. De ahí que haya una acción conjunta de lucha contra ese riesgo entre las autoridades de supervisión del seguro de USA y Europa desde 2012 (vid. EU-U.S. Insurance Dialogue Project Insurance Industry Cybersecurity Issues Paper). En este marco, la autoridad europea, EIOPA, publicó en 2019 un informe sobre los desafíos y las oportunidades que presenta el ciberriesgo para las aseguradoras (Cyber risk for insurers. Challenges and opportunities), en el que participaron 41 grandes grupos de seguros y reaseguros de 12 países, en el que se ponía de manifiesto: (i) que los ciber-incidentes más comunes que afectan a las aseguradoras son correos fraudulentos, infecciones por malware, robos de datos y ataques de denegación de servicio y (ii) que las consecuencias fundamentales de estos incidentes son la interrupción del negocio, con la pérdida de ingresos y el daño reputacional que esto comporta, y daños materiales para asegurados y terceros que puedan verse afectados.
Respecto a la respuesta de la industria frente al riesgo de estos ataques, EIOPA decía que en general las aseguradoras estaban alerta y que habían incluido el ciberriesgo en el marco de su gestión de riesgos, pero advertía de que eran necesarias medidas adicionales para fortalecer la resistencia del sector, dada la naturaleza dinámica de los ciberataques.
Ahora bien, la peculiaridad del sector seguros, frente a otros sectores también vulnerables, es que no sólo está expuesto, sino que puede sacar ventaja de este riesgo, creando seguros específicos contra ciberriesgos dirigidos a todo tipo de empresas. Por eso, el ciberriesgo se vio a la vez como una amenaza y como una nueva oportunidad de mercado. Más allá del interés personal de las aseguradoras que quisieran beneficiarse del aseguramiento de este tipo de riesgos, EIOPA, en ese mismo informe, consideraba que “un mercado de ciberseguros bien desarrollado puede jugar un papel fundamental en la transformación a la economía digital, ayudando a crear conciencia de la necesidad de protegerse frente a ciberriesgos, compartiendo conocimiento sobre buenas prácticas en gestión de ciberriesgos y facilitando la respuesta a ciberataques y a la eliminación de sus efectos”.
Tres años después, en el último informe de EIOPA sobre las tendencias de consumo en materia de seguro y pensiones, el Consumer Trends Report 2022, publicado el 18 de enero de 2023, se ha apuntado un dato concreto que no es inesperado: 13 de 14 autoridades nacionales de control del sector seguro y pensiones que respondieron a la encuesta reconocieron que en los últimos 3 años se había producido un incremento de los ciberataques en número, frecuencia y escala, con la consiguiente exposición de datos de todo tipo de los afectados, particulares y empresarios. La propia pandemia ha sido impulsora del uso cada vez mayor de la tecnología, con el consiguiente aumento de riesgos de estos ataques, cada vez más frecuentes y sofisticados. Pese a ello, según datos manejados en el informe, el 69% de las Pymes no cuentan con cobertura de ciberriesgo y el 15% de ellas ni siquiera sabe si la tiene o no.
En cuanto a la posición actual de las aseguradoras, aunque muchas de ellas ofrecen cobertura de estos riesgos, el aumento de ataques con efectos a gran escala, que han afectado al funcionamiento de todo tipo de empresas e instituciones públicas y privadas, como hospitales (por ejemplo, el 7 de octubre de 2022, un solo ataque dejó sin servicio informático tres hospitales catalanes), oleoductos (como el sufrido por Colonial Pipeline, la mayor red de oleoductos de Estados Unidos, en mayo de 2021), Administraciones Públicas (como el Ministerio de Hacienda, el CGPJ, los ayuntamientos de Sevilla, Requena y Durango, etc.), o instituciones como el CSIC, entre otras, las ha llevado a extremar precauciones, por la vía del aumento de primas y de la inclusión en las pólizas de exclusiones de cobertura. Pero, con todo y con eso, hay compañías, caso de Zurich, que ya han avanzado (en declaraciones recogidas por el Financial Times a finales de diciembre de 2022 y de las que se hace eco Expansión) que van a dejar de cubrir ciberriesgos. Estiman que las aseguradoras privadas no pueden por sí solas con el peso de este riesgo, por las dimensiones que está alcanzando, y que se impone una solución público-privada. Esta preocupante realidad ya ha sido reconocida por el propio Banco Central Europeo: en enero pasado dijo que los ataques a la banca se habían triplicado y que las entidades privadas no iban a ser capaces de afrontar estos riesgos en solitario. La solución excede también de la capacidad de los gobiernos nacionales. Los efectos cada vez son mayores y no conocen fronteras. La Agencia Nacional de Ciberseguridad italiana (ACN) informó el 5 de febrero último de un ciberataque masivo que había afectado a miles de servidores informáticos de decenas de países, incluidos Estados Unidos, Finlandia, Francia o Canadá. La solución sólo puede ser tan global como los propios ataques.