A la vez que los procesos de digitalización de la economía avanza, también lo hacen las ciberamenazas y su interconexión. Por esta razón, los ciberseguros tienen el potencial de convertirse en una parte cada vez mayor del ramo de No vida al tiempo que lo hace su capacidad para mitigar el riesgo asociado a los ciberataques.

La Asociación Internacional de Supervisores de Seguros (IAIS) ha elaborado un informe que evalúa los desafíos clave que afectan a la suscripción de los ciberriesgos, fundamentalmente la medición de la exposición al riesgo y la claridad de las pólizas.

En cuanto al primero de ellos, modelar el riesgo cibernético como dato a tener en cuenta en la decisión de suscripción sigue estando, en opinión del IAIS “poco desarrollado”. Aunque reconoce que medir el tipo de riesgo es “intrínsecamente desafiante, por una serie de factores”, entre ellos: La naturaleza cambiante del riesgo cibernético debido a la expansión de la digitalización y la interconexión (por ejemplo, gracias al Internet de las cosas); el desarrollo de nuevas estrategias de ataque y defensa; así como la evolución de los marcos legislativos (por ejemplo, los requisitos de notificación de violación de datos). Todo esto hace que los datos históricos sean menos relevantes para proyectar eventos y pérdidas futuras.

Además, remarca el informe: «La experiencia de pérdidas aún es limitada y hay una escasez comparativa de datos fiables sobre ciberriesgos, en parte debido a la divulgación limitada de incidentes y la heterogeneidad de la toma de datos”.

¿Cómo evaluar una vulnerabilidad?

A todo esto se le suma que existen dificultades para evaluar las vulnerabilidades de los asegurados, explica la autoridad. Esto se debe a la complejidad de los sistemas de TI, la seguridad, los riesgos y la alta especialización necesaria para dicha evaluación. Así como cierta resistencia a compartir información y posibles costes desproporcionados de realizar evaluaciones de riesgo cibernético en comparación con las primas de seguros cobradas (especialmente para clientes de pequeñas empresas).

Por otro lado, la IAIS detecta asimismo una capacidad limitada para tener en cuenta el riesgo agravado que surge de la concentración de servicios y software de TI, la interconexión de los asegurados y las superposiciones en la cobertura.

Por último, añaden, la cobertura no afirmativa del ciberriesgo “crea posibles incertidumbres de cobertura y desafíos para las aseguradoras y supervisores a la hora de medir y evaluar adecuadamente las exposiciones al riesgo”. Los desafíos relacionados con la medición de las exposiciones al riesgo “se ven agravados por la posibilidad de una cobertura no afirmativa”.

Claridad de las pólizas

En cuanto a la redacción de los condicionados de las ciberpólizas, los supervisores detectan una serie de problemas cuyas implicaciones pueden resultar “de  gran alcance”, como las coberturas redundantes en entre distintos tipos de seguro que afectarían a coberturas de interrupción del negocio, ransomware, ingeniería social y daños a la propiedad; problemas de cobertura no afirmativa; y el tratamiento de rescates, multas, terrorismo y riesgo de guerra, “que plantea otros problemas de política pública (por ejemplo, relacionados con la capacidad de asegurar las sanciones y las preocupaciones sobre la lucha contra la financiación del terrorismo).

Cinco recomendaciones para una suscripción sostenible

Para hacer frente a esta serie de desafíos, la IAIS reconoce la necesidad de una “atención supervisora ​​proactiva a la suscripción del ciberseguros”. En particular, el grupo de trabajo encargado de esta cuestión ha recomendado al Comité Ejecutivo de la IAIS que adopte un enfoque estratégico centrado que permita abordar, en primer lugar, la exposición cibernética no afirmativa, con el fin de alentar a los supervisores a exigir una mayor claridad de la cobertura de las pólizas en lo que respecta al riesgo cibernético.

Segundo, es necesario abordar la heterogeneidad en la captura de datos (y facilitar iniciativas de intercambio de datos) mediante el desarrollo de una “taxonomía de datos”. Además, la IAIS “debería revisar las iniciativas actuales de intercambio de datos, con miras a identificar prácticas efectivas”.

En tercer lugar, la IAIS debe “revisar más a fondo las prácticas actuales de informes de supervisión y explorar la utilidad de los informes de supervisión ampliados sobre la exposición de la suscripción cibernética. Además, se considerará la recopilación de datos de suscripción cibernética para comprender mejor la exposición total como parte del marco holístico para el riesgo sistémico en el sector de seguros”.

Abordar la medición de riesgos, incluido el desarrollo de escenarios de estrés para estimar la exposición a la suscripción cibernética, es otro de los puntos que el citado grupo de trabajo aconseja cubrir a los supervisores. Así como el análisis de la redacción de las pólizas, en particular, cuestiones relacionadas con “la claridad de los términos, condiciones y exclusiones de las pólizas con miras a fomentar la convergencia en el entendimiento”, aunque el grupo de trabajo coincide con las partes interesadas en que “no se debe perseguir actualmente la estandarización obligada de la redacción de pólizas”.