Segunda victoria de Merck ante el tribunal de Nueva Jersey. Tras una primera ronda judicial, Merck acaba de ganar un recurso contra aseguradoras como Ace American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance y Lloyd's of London. Este último impugnó el derecho a indemnización tras el ataque de NotPetya, un malware destructivo en 2017, alegando que se trataba de un acto de guerra. El monto del reembolso es de 1.400 millones de dólares.

en su decisiónLos jueces de apelación se centraron en esta definición de acto de guerra y la jurisprudencia podría afectar futuros contratos de seguro cibernético. Reconocieron que la definición completa de guerra se aplicaba a diferentes pólizas de seguro. Pero el ciberataque contra un editor de una solución de compatibilidad con Ucrania que no participa en las hostilidades, aunque criminal y basado en evidentes malas intenciones, no fue comparable a un acto de guerra. Como indica la decisión, varias otras empresas asociaron parte de su denuncia a Merck. En un caso separado, pero paralelo, que involucra a la multinacional de alimentos y bebidas Mondelez International y Zurich American Insurance, se llegó a un acuerdo, privando al caso de impacto revelador e impidiendo un ajuste de futuros contratos cibernéticos. seguro.

Índice
  1. Pistas en las regulaciones de Lloyd's
  2. Un caso que probablemente llegue ante la Corte Suprema
  3. Guerra terrestre o guerra en el ciberespacio

Pistas en las regulaciones de Lloyd's

El rechazo de la apelación por parte de las compañías de seguros y las acciones tomadas en marzo de 2023 por Lloyd's de Londres brindan orientación sobre cómo es probable que se trate el ciberseguro en el futuro, incluida una mayor claridad en las exclusiones de ciberseguridad. las memorias de un amigo curiae presentado por Insurance Law Scholars en el caso Lloyd's establece que la decisión del tribunal de primera instancia debe confirmarse porque está "respaldada por el trabajo preparatorio sobre exclusiones en tiempos de guerra" y que las aseguradoras "no utilizaron las disposiciones de cláusulas de seguro contradictorias fácilmente disponibles que habría excluido o limitado la cobertura prevista para eventos relacionados con la ciberseguridad.'

En la página 23 de la decisión de los jueces en el caso Merck, la palabrería es más directa: "La cobertura sólo podría excluirse aquí si extendiéramos el significado de la palabra 'hostil' hasta su límite exterior en un intento de 'aplicarla a un ciberataque'. contra una empresa no conflictiva que proporcionaba actualizaciones de software de contabilidad a varios clientes, todo ello completamente fuera del contexto de un conflicto armado u objetivo militar.' Los jueces señalaron que este enfoque iría en contra de los principios básicos que requieren que los tribunales interpreten de manera estricta la exclusión de una póliza de seguro “El significado específico, claro, distinto y obvio de una palabra o frase en una exclusión, así como su significado e intención. no equivale a su interpretación más amplia posible, sino más bien a su interpretación más amplia posible. Si se tratara de un partido de fútbol, ​​pareciera que el tribunal estaría hablando de un “gol en propia puerta” por parte del asegurador.

Un caso que probablemente llegue ante la Corte Suprema

Se consideró que la exclusión de guerra era inaplicable y el tribunal utilizó las propias palabras de la aseguradora para explicar plenamente su denegación. Prosaicamente, se podría decir que los jueces consideraron que las aseguradoras tenían tiempo suficiente para ajustar la dinámica de su póliza de seguro y que no lo hicieron. Violet Sullivan, vicepresidenta de participación del cliente en Redpoint Cybersecurity y profesora asistente de derecho de ciberseguridad en la Facultad de Derecho de Baylor, cree que lo más probable es que la decisión llegue a la Corte Suprema de Nueva Jersey. Además, señala que la carga de la prueba recayó sobre el asegurador y que el tribunal y los jueces de apelación consideraron que dicha carga no había sido cumplida.

Guerra terrestre o guerra en el ciberespacio

Según la Sra. Sullivan, no es una cuestión de atribución o de a qué gobierno extranjero estaba vinculado el ataque, y cree que toda la decisión inicial de 2022 fue el resultado de una diferenciación arbitraria entre guerra física/cinética o guerra cibernética. . Se centra en la naturaleza del ataque y el significado de la guerra en la política y la jurisprudencia. Dicho esto, cuando los servicios de inteligencia de un país llevan a cabo operaciones encubiertas, como suele ser el caso de Rusia, el objetivo del gobierno en el poder es mantener siempre una negación plausible de cualquier acto ilegal.

¿Podría el ataque de NotPetya haber sido patrocinado por la Federación Rusa? Absolutamente, y de hecho, ante el tribunal, Kroll Cyber ​​​​Security, un consultor cibernético para aseguradoras, admitió “con gran confianza” que el ataque había sido “orquestado por actores que trabajan para, o en nombre de, la Federación de Rusia”. Cabe señalar, sin embargo, que cuando el Departamento de Justicia de Estados Unidos tuvo la oportunidad de implicar a Rusia en estos ataques, se abstuvo. Por lo tanto, si un gobierno nacional no atribuye el patrocinio de un Estado-nación a un ataque, será muy difícil para una compañía de seguros hacerlo con éxito en los tribunales sin tener que dar más detalles sobre las exclusiones relativas. a la ciberseguridad.