Por tanto, habrá jurisprudencia parcial en el caso entre Merck y las aseguradoras sobre el ciberataque relacionado con NotPetya. De hecho, después de varios años de trámites, el laboratorio farmacéutico estadounidense, según nuestros colegas de Bloomberg, ha llegado a un acuerdo con las compañías de seguros. El monto de la transacción no ha sido revelado.

Para que conste, en 2017 fue víctima del ataque NotPetya, un malware que se hacía pasar por ransomware y que afectó a varias grandes empresas. Más de 40.000 máquinas Merck quedaron paralizadas y el coste total del ataque (parada de producción, reparación, pérdida de ventas) fue de 670 millones de dólares.

Un caso que cambió las pólizas de seguro

Tras suscribir contratos de seguro contra riesgos cibernéticos, Merck naturalmente recurrió a sus aseguradores para hacer valer sus derechos de reembolso. La empresa había contratado pólizas con una treintena de compañías de seguros por un importe de 1,750 millones de dólares. Sin embargo, una docena de ellos (entre ellos American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance y Lloyd's of London) no quisieron liquidar la póliza alegando que el ataque a NotPetya se considera un acto de guerra.

Por lo tanto, el laboratorio llevó a cabo un procedimiento en 2019 contra empresas recalcitrantes por un monto de 700 millones de dólares. A principios de 2022, un tribunal de Nueva Jersey dictaminó que la exención de guerra no se aplicaba al caso. una decisión que fue confirmada en apelación el año pasado. Las aseguradoras apelaron nuevamente ante la Corte Suprema del estado, pero se llegó a un acuerdo de “último minuto” antes de que comenzaran los alegatos orales. Por lo tanto, los juristas sólo tendrán jurisprudencia en primera instancia y en apelación para determinar si un ciberataque debe considerarse un acto de guerra. Desde este asunto, las aseguradoras y, en particular, el mercado Lloyds de Londres han descartado los ciberataques patrocinados por el Estado en las pólizas de seguros.