En el año 2020 se produjo un cambio en la complejidad y sofisticación de los ciberataques y, por tanto, en la naturaleza de los ciberriesgos. Las consecuencias financieras para las víctimas de estos ataques son enormes.

Según el informe Hiscox Cyber Readiness Report 2020, el coste medio de un ciberataque se multiplicó casi por seis en todo el mundo entre 2019 y 2020. Sin embargo, solo el 26% de las empresas incluidas en la muestra de este informe tiene una póliza de seguro cibernético independiente. La mayoría confía en pólizas de seguro genéricas, o no tiene ningún seguro cibernético.

Por lo tanto, el mercado de los seguros cibernéticos tiene un enorme potencial de crecimiento, pero las aseguradoras carecen de los productos para satisfacer adecuadamente la demanda futura prevista.

Así lo refleja Standard & Poor’s en un análisis en el que advierte al sector del riesgo del llamado ‘ciber silencioso’. Es decir. el riesgo para las aseguradoras de sufrir pérdidas por reclamaciones relacionadas con el ciberespacio en pólizas que no estaban destinadas a cubrir esta amenaza.

Hacia productos de ciberseguro independientes

“Incluso cuando la inclusión de la cobertura cibernética es explícita, la falta de transparencia tanto en la definición de eventos cibernéticos de la póliza como en sus términos y condiciones crea incertidumbre sobre el alcance de la cobertura”, se indica desde la agencia. La importancia de la transparencia y de una redacción clara de las pólizas se puso de manifiesto el año pasado. Algunas aseguradoras sufrieron daños en su reputación tras rechazar las reclamaciones de interrupción de la actividad de los asegurados en medio de la pandemia.

En opinión de S&P Global, el desarrollo de productos de ciberseguro independientes reduciría el problema al aclarar el alcance de la cobertura. Estos productos también se adaptarían mejor a la naturaleza compleja y dinámica del riesgo cibernético. Es más, “serían el desarrollo de una línea de negocio cibernético independiente, gestionado a través de un centro de excelencia cibernético”.

Esto tendría múltiples ventajas para las aseguradoras. La principal sería evitar que los siniestros relacionados con la cibernética se acumularan en muchas líneas de negocio diferentes, así como superar las dificultades para gestionar dichos siniestros. “También permitiría a las aseguradoras mitigar el riesgo cibernético silencioso, así como adoptar un enfoque centralizado y coordinado para la recopilación de datos y la investigación, que es vital para calcular con precisión las primas adecuadas al riesgo”, recomienda la firma.

Integrar la cibercobertura en las pólizas tradicionales, un mal negocio

Las pólizas de seguro existentes suelen incluir el riesgo cibernético de forma no afirmativa, es decir, no incluyen ni excluyen explícitamente el riesgo cibernético. Esto contrasta con las pólizas afirmativas que incluyen explícitamente el ciberriesgo.

Gracias al desarrollo de herramientas analíticas más sofisticadas en los últimos dos años, las aseguradoras se están alejando gradualmente de las pólizas no afirmativas mediante inclusiones o exclusiones claras y transparentes. “Lo que consideramos positivo”, indica S&P Global. También observa una tendencia de las compañías de seguros a desarrollar equipos dedicados a la cibernética y a reclutar talento cibernético externo en la industria de los seguros.

“Aunque consideramos beneficiosa la evolución hacia las pólizas afirmativas, las aseguradoras han tendido a agrupar la cobertura cibernética en las pólizas tradicionales de seguros de propiedad o responsabilidad civil, basando las cláusulas de inclusión o exclusión en la redacción de las pólizas existentes y dificultando su interpretación. En la mayoría de los casos, esta cobertura adicional no cubre una lista completa de riesgos. Esto puede llevar a la confusión sobre el alcance contractual de la cobertura”.

Las aseguradoras están avanzando en el desarrollo de pólizas específicas de ciberseguro con términos y condiciones claros. Están comenzando a crear líneas de negocio independientes de ciberseguro que pueden manejar los desafíos asociados con la suscripción de este tipo de cobertura. Sin embargo, aún les queda camino por recorrer para satisfacer las necesidades de los asegurados. “Como mínimo, su progreso debe seguir el ritmo de la evolución del riesgo cibernético”, se indica.

Riesgos para los ratings

Por otra parte, una expansión agresiva en el mercado de los ciberseguros sin controles de riesgo eficaces también podría ser perjudicial para la evaluación que la agencia hace de los balances de las compañías de seguros. “En nuestro marco de calificación, no sólo evaluamos la situación actual de la aseguradora, sino también el camino que puede recorrer para crear una línea de negocio cibernético sostenible. Si una aseguradora se expande agresivamente en el mercado cibernético sin una gestión adecuada de los riesgos cibernéticos y sin controles de riesgo eficaces, podría cambiar nuestra opinión sobre la exposición al riesgo de la aseguradora, el capital y los beneficios, o las puntuaciones de gobernanza”, advierte.

La cibernética tiene el potencial de impulsar el crecimiento del sector

La agencia detecta “un problema general” para el desarrollo y la adopción de la cobertura independiente para los ciberseguros. Y lo explica: “Los clientes creen que ya tienen alguna cobertura cibernética en sus pólizas de seguro existentes. Esto dificulta que los corredores y agentes vendan una cobertura cibernética independiente. Podría parecer que refuerza las razones para que las aseguradoras incluyan dicha cobertura en las pólizas existentes. Sin embargo, incluso cuando la cobertura cibernética está explícitamente incluida en los términos y condiciones de la póliza, la situación sigue siendo arriesgada”.

En opinión de la agencia, un evento cibernético grave que afecte a varias líneas de negocio a la vez podría suponer una amenaza sistémica para las aseguradoras. 

Así con todo, S&P Global indica: “Una estrategia cibernética global daría a las aseguradoras la oportunidad de reestructurar sus negocios. Podrían ampliar sus actuales definiciones de riesgo cibernético para que las inclusiones y exclusiones sean más evidentes y comprensibles para los asegurados. Los asegurados también deberían encontrar esto útil para aumentar la eficiencia y la transparencia de sus propias decisiones de gestión de riesgos”.

A pesar de los desafíos, concluye: “Creemos que las aseguradoras tienen la flexibilidad necesaria para ampliar con cautela sus seguros cibernéticos, siempre que puedan soportar el crecimiento de la demanda a un coste razonable. Esto beneficiaría a los asegurados y permitiría a las aseguradoras diferenciarse de sus competidores. El ciberseguro tiene el potencial de convertirse en un motor de crecimiento para el sector y de impulsar su reputación al mismo tiempo”.

«Una estrategia cibernética global daría a las aseguradoras la oportunidad de reestructurar sus negocios. Podrían ampliar sus actuales definiciones de riesgo cibernético para que las inclusiones y exclusiones sean más evidentes y comprensibles para los asegurados».