Skip to content

Νομική διαμάχη της AIG αναδεικνύει την πολυπλοκότητα της κυβερνοασφάλισης

Η «ασφάλιση κυβερνοχώρου» (cyber insurance) ακούγεται παντού ως μια πολλά υποσχόμενη ασφάλιση για το μέλλον. Ωστόσο το περιεχόμενο  και οι καλύψεις που προσφέρει χρειάζονται αποσαφήνιση. Αλλιώς θα δούμε να επαναλαμβάνονται περιστατικά όπως αυτό μεταξύ της AIG και της εταιρείας διαχείρισης λογισμικού SS&C Technologies, που βρίσκονται στα δικαστήρια γιατί η πρώτη αρνείται να καταβάλει αποζημίωση που θεωρεί ότι δικαιούται η δεύτερη.

Γράφει: Νίκος Εμμανουήλ

Υπο κανονικές συνθήκες θα ήταν ξεκάθαρο και στις δυο πλευρές (ασφαλιστικές – πελάτες) τι ακριβώς καλύπτει το συμβόλαιο και τι δεν καλύπτει ωστόσο στη συγκεκριμένη περίπτωση η υπόθεση περιπλέχτηκε.

Πιο συγκεκριμένα, το 2016 κινέζοι χάκερ κατάφεραν να εξαπατήσουν την SS & C Technologies και να της αποσπάσουν χρηματικό ποσό που ξεπερνούσε τα 5,9 εκατ. δολάρια. Πώς το πέτυχαν; Με τον «κλασικό» τρόπο που λίγο πολύ είναι μεν γνωστός σε όλους, αλλά παρόλα αυτά εξακολουθεί να ξεγελάει: οι χάκερ προσποιούμενοι έναν συγκεκριμένο πελάτη της SS, την Fund of Commodities Tillage,  έστειλαν email στην εταιρεία, ζητώντας να γίνουν μεταφορές χρημάτων σε φερόμενο δικό της τραπεζικό λογαριασμό στο Χονγκ Κονγκ. «Business e-mail compromise» είναι ο αγγλικός όρος της παραπάνω απάτης και με πρώτη ματιά, η ασφαλιστική της κάλυψη θα πρέπει να θεωρείται δεδομένη.

Ωστόσο, στην προκειμένη περίπτωση, υπάρχει ένα κόλλημα: σύμφωνα με την AIG, ποτέ δεν υπήρξε συμφωνία με την SS & C Technologies για ασφάλιση «ανέντιμης, δόλιας, εγκληματικής ή κακόβουλης πράξης» αλλά ασφάλιση προστασίας από ειδικούς κινδύνους (specialty risk protector policy) η οποία περιλαμβάνει κάλυψη δικαστικών εξόδων έως 10 εκατ. δολάρια., ισχυρισμός που φέρεται να επιβεβαιώνεται από σχετική ρήτρα στο συμβόλαιο των δύο εταιρειών.

Πράγματι, ο ασφαλιστικός κολοσσός τήρησε τον εν λόγω όρο του συμβολαίου, καλύπτοντας τα δικαστικά έξοδα της SS & C Technologies στη δικαστική διαμάχη που έχει ξεσπάσει με την Fund of Commodities Tillage, η οποία διεκδικεί τα σχεδόν 6 εκατ. δολάρια που, αντί να καταλήξουν στο δικό της λογαριασμό ώς έπρεπε, κατέληξαν στους… χάκερς.

Από την άλλη η SS & C Technologies αναγνώρισε οτι τα χρήματα «κλάπηκαν» και δεν «χάθηκαν». Νομικά αυτο πράγματι μετατρέπει το κυβερνο-περιστατικό σε εγκληματική πράξη. Με άλλα λόγια, σύμφωνα με την AIG, οι Κινέζοι χάκερ έκλεψαν τα 5,9 εκατ. δολάρια από λογαριασμό πελάτη, δεν επιτέθηκαν π.χ. κλέβοντας δεδομένα, ως εκ τούτου η απώλεια των χρημάτων δεν καλύπτεται και η SS & C δεν έχει δικαίωμα να απαιτήσει αποζημίωση. Άλλωστε το ενδεχόμενο επιθεσης από κινέζους εγκληματίες δεν αποτέλεσε ποτέ μέρος του συμβολαίου άρα δεν παραβιάστηκαν οι όροι του…

Είναι σαφές δε ότι η SS & C Technologies όφειλε να είναι πολύ πιο προσεκτική στις κινήσεις της αφού το ένα εκ των email που έλαβε από τον «πελάτη» της (στην πραγματικότητα, χάκερ) και ζητούσε μεταφορά 3 εκατ. δολαρίων σε τραπεζικό λογαριασμό, ξεκινούσε με τη φράση «Πώς ήταν το Σαββατοκύριακο;» (!) ενώ αμέσως μετά ακολουθούσαν οι λεπτομέρειες για το που να μεταφερθούν τα χρήματα… Σε άλλο πάλι email το όνομα της εταιρείας – πελάτη ήταν γραμμένο λάθος (Tilllage αντί για Tillage), ενώ την ίδια στιγμή η κακή σύνταξη και τα ορθογραφικά λάθη «έβγαζαν μάτι». Με άλλα λόγια, ήταν ξεκάθαρο ότι κάτι δεν πάει καλά με τα συγκεκριμένα emails.

Το μεγαλύτερο λάθος, όμως, της SS & C Technologies είναι ότι δεν έμεινε πιστή ούτε καν στη δική της εσωτερική πολιτική, σύμφωνα με την οποία, πιθανή μεταφορά χρημάτων πρέπει να εγκριθεί από τουλάχιστον τέσσερα άτομα, κάτι που δε συνέβη στη συγεκριμένη περίπτωση. Αλλιώς θα αυξάνονταν οι πιθανότητες κάποιος υπεύθυνος να παρατηρούσε ότι κάτι πήγαινε στραβά με τα email.

Τι αποφάσισε το Δικαστήριο;

Θα περιμένες κανείς μετά από όλα αυτά οτι το περιφερειακό δικαστήριο της Νέας Υόρκης που εκδίκασε την υπόθεση να απαλλάξει την ασφαλιστική απο τις κατηγορίες της “παραβίασης όρων συμβολαίου” και “κακής πίστης”.  Ωστόσο η AIG έχασε την υπόθεση γιατί η εξαίρεση στην οποία βασίστηκε, ότι δηλαδή δεν καλύπτει απώλειες από εγκληματικές πράξεις, αφορούσε εγληματικές πράξεις απο υπαιτιότητα του συμβαλλόμενου, δηλαδή της SS&T και μόνο, κάτι που φαίνεται ξεκάθαρα στο συμβόλαιο! Στην αμυντική της γραμμή η εταιρεία προσπάθησε να αποδείξει οτι για την κλοπή υπήρχε ευθύνη και εμπλοκή υπαλλήλων της εταιρείας, κάτι που ωστόσο νομικά δεν έγινε αποδεκτό, εξ ‘ου και η απόφαση του δικαστή που ανακοινώθηκε πριν απο μόλις μια εβδομάδα.

Αν και εύκολα μπορεί να δει κανείς συνυπευθυνότητα του ασφαλισμένου στο όλο ζήτημα – αν μη τι άλλο οι ενδείξεις ότι κάτι δεν πάει καλά ήταν αρκετές –  δεν είναι λίγοι εκείνοι που ισχυρίζονται πως υπάρχει μια τάση από την πλευρά των ασφαλιστικών κολοσσών, να πωλούν μεν συμβόλαια σε μεγάλες πολυεθνικές εταιρείες, τα οποία περιλαμβάνουν και ασφάλιση κυβερνοχώρου, όμως στην πράξη αποδεικνύεται ότι η κάλυψη αυτή περιορίζεται σε μικροζημιές εξ αιτίας πιθανής βλάβης στα ηλεκτρονικά συστήματα των εταιρειών. Αντίθετα, εάν συμβαίνει κάτι σοβαρό και διακυβεύονται ζημιές εκατομμυρίων δολαρίων, τότε σίγουρα κάποιοι όροι στο  συμβόλαιο θα αφήνουν ένα ανοικτό παράθυρο, ώστε να μην καταβληθεί η όποια αποζημίωση…

Σοβαρές κατηγορίες, που θα πρέπει σίγουρα να τις προσέξουν οι ασφαλιστικές. Γιατί αν στην πράξη αποδεικνύεται όλο και συχνότερα ότι χάρη σε νομικά παραθυράκια δεν καταβάλονται οι αποζημιώσεις, το μέλλον της κυβερνοασφάλισης απειλείται όπως φυσικά και η εύθραστη φήμη της ασφαλιστικής αγοράς παγκοσμίως.

Από την άλλη οι εταιρείες θα πρέπει να κατανοήσουν ότι δεν είναι δυνατό το ασφαλιστήριο συμβόλαιό τους να καλύψει οποιαδήποτε ζημιά, ό,τι και να συμβεί – αυτό είναι πρακτικώς αδύνατο. Θα πρέπει με τη σειρά τους να λαμβάνουν όλα τα απαραίτητα μέτρα προστασίας απέναντι σε πιθανές κυβερνοεπιθέσεις, να εγκαθιστούν (μεταξύ άλλων) anti-malware λογισμικά στα συστήματά τους και ταυτόχρονα, να εκπαιδεύουν κατάλληλα το προσωπικό τους, κάτι που προφανώς δε συνέβη στην περίπτωση της SS & C Technologies.

Πάντως, θα έχει ενδιαφέρον να δούμε στο μέλλον τι θα συμβεί στην παγκόσμια αγορά της ασφάλισης στον κυβερνοχώρο αφού αναπόφευκτα κάποια στιγμή θα πρέπει να οριστεί σαφώς και ξεκάθαρα τι αποτελεί επίθεση στον κυβερνοχώρο και ταυτόχρονα, να ταξινομηθούν όλα τα πιθανά περιστατικά και να αποσαφηνιστούν οι προϋποθέσεις υπό τις οποίες καλύπτεται ασφαλιστικά μια εταιρεία και πότε όχι. Μία τέτοια ενέργεια θα ωφελήσει πρωτίστως τις ασφαλιστικές αφού δε θα καλούνται να αποδείξουν ότι δεν είναι «ελέφαντες».

Γιατί υποχώρησε η μετοχή της AIG

Την ίδια στιγμή μία ακόμα δυσάρεστη εξέλιξη περίμενε την AIG, η οποία είδε τη μετοχή της να σημειώνει πτώση 1% στο άκουσμα της είδησης ότι η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) πραγματοποιεί έρευνα γύρω από τις τακτικές πώλησης που ακολουθεί η θυγατρική της εταιρεία, Valic, η οποία ειδικεύεται στα συνταξιοδοτικά προγράμματα και έχει εκτεταμένη δραστηριότητα στις ΗΠΑ, με κεφάλαια υπο διαχείριση ύψους 86 δις δολαρίων.

Σκοπός της SEC είναι να διαπιστώσει κατά πόσο η Valic ενημερώνει πλήρως τους υποψήφιους πελάτες (συνταξιοδοτικών προγραμμάτων) σε σχολεία και πανεπιστήμια για το κόστος και το ποσό της αποζημίωσης που συνοδεύει το κάθε πρόγραμμα. Ακόμη, κατά πόσο υπάρχει διαφάνεια στη διαδικασία απόδοσης προμηθειών στα προγράμματα υψηλού κόστους ή εάν η πολιτική της εταιρείας ευνοεί τους συνεργάτες που συνιστούν τα εν λόγω προγράμματα με υψηλότερες προμήθειες.

Το τελευταίο ενδεχόμενο φέρεται να επιβεβαιώνεται από σχετικές δηλώσεις δύο πρώην υπαλλήλων της Valic, ενώ τις τελευταίες εβδομάδες πολλά υψηλόβαθμα στελέχη της Valic βρίσκονται σε διαθεσιμότητα.

Προς το παρόν η AIG δεν έχει προβεί σε κάποιο σχετικό σχόλιο ξεκαθαρίζοντας πως συνεργάζεται πλήρως με τις ρυθμιστικές αρχές προκειμένου να εξασφαλιστεί η τήρηση του Νόμου.

1 Comment

  1. Avatar

    Μπράβο σας και ιδιαίτερα στον συντάκτη κ. Εμμανουήλ αυτό σημαίνει δημοσιογραφία!
    Εξαιρετικά ενημερωτικό, σωστά συνταγμένο και με πλήρη στοιχεία και επίθετα άρθρο!
    Περιμένουμε και άλλα άρθρα για τις κυβερνοασφαλίσεις ειδικά για περιπτώσεις που
    υπάρχουν διενέξεις μεταξύ πελατών και ασφαλιστών γιατί διαβάζοντας τέτοιες περιπτώσεις
    μπορούμε να κατανοήσουμε τι πουλάμε στους πελάτες μας !!!
    Και πάλι συγχαρητήρια στην συντακτική σας ομάδα.


Add a Comment

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *