Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.2.2
III.3.9.2.2 Gradatie 1: systeem niet aangetast
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278852:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Chubb.
Hiscox. Deze versie van de polisvoorwaarden verschilt subtiel van zijn voorganger, waarin enkel was gedekt verlies van geld op rekening als gevolg van malware, door toedoen van een hacker die zich onbevoegd toegang heeft verschaft tot het computersysteem van verzekerde (Cyber en Data Risk by Hiscox 2017).
CNA.
Pestmaster Services Inc. v Travelers Casualty and Surety Company of America, 9th Cir. WL 4056068 2016; Apache Corp v. Great American Insurance Co, 5th Cir. no. 15-20466 WL 6090901 2016. Deze discussies betroffen niet altijd een standalone cyberverzekering, maar ook computer fraud clauses in traditionele verzekeringen. De discussie is echter vergelijkbaar. Zie uitgebreider over deze rechtszaken De Azevedo 2019, p. 171 e.v.
Ibid.
In de polisvoorwaarden van AIG is wel een vergelijkbare passage terug te vinden. AIG vereist echter ‘frauduleuze elektronische instructies’ aan de financiële instelling. Dit impliceert geen tussenkomst van een medewerker van verzekerde zelf.
Fraude of diefstal kan plaatsvinden zonder het systeem aan te tasten, bijvoorbeeld nadat door social engineering voldoende gegevens zijn verkregen om e-mails te versturen die bijna niet van echt te zijn onderscheiden. Deze situatie valt meestal niet onder de dekking.
Een aantal voorbeelden maakt dit duidelijk:
Voorbeeld 1
“Verlies van geld: financieel verlies uitsluitend als gevolg van diefstal van geld van verzekerde of effecten van verzekerde door kwaadaardig gebruik of kwaadaardige toegang of tot een verzekerd computersysteem door een derde, die wordt ontdekt tijdens de verzekeringstermijn.”1 (onderstreping NMB)
Voorbeeld 2
“Van een verzekerd evenement is sprake zodra gedurende de looptijd van de verzekering geld van de rekening van verzekerde(n) verloren gaat als gevolg van malware (kwaadwillende software) door toedoen van en/of veroorzaakt door een hacker en/of zodra geld van verzekerde(n) verloren gaat door toedoen van phishing of wijziging van een betalingsopdracht voortvloeiende uit ongeoorloofde toegang tot het computersysteem van verzekerde(n).”2 (onderstreping NMB)
Voorbeeld 3
“Cyberdiefstal
a. diefstal of wijziging van geld of effecten van verzekerde door phishing of een computervirus op het netwerk van verzekerde; […]”3
In deze voorbeelden komt duidelijk een begrenzing naar voren in de oorzaak van de diefstal. Vereist is dat de diefstal is gepleegd doordat een derde ongeoorloofde toegang heeft gehad tot het computersysteem van verzekerde. Voorbeeld 1 laat in het midden hoe die ongeoorloofde toegang is verkregen. Voorbeelden 2 en 3 concretiseren (en begrenzen) iets meer en vereisen dat het gaat om phishing, malware of een virus. In voorbeeld 2 is overigens de vraag wat er precies onder ‘phishing’ wordt verstaan, nu dit begrip niet separaat is gedefinieerd. Daarnaast is onduidelijk in hoeverre het vereiste van ‘ongeoorloofde toegang tot het computersysteem’ ook betrekking heeft op ‘phishing’. Juist in het geval van phishing, waarin vaak slechts wordt ‘gehengeld’ naar informatie, maar waarbij van een aantasting van het computersysteem van verzekerde niet altijd sprake is, is daarover discussie denkbaar.
Een scenario waarin sprake is van gradatie 1, waarbij van ongeoorloofde toegang tot het computersysteem geen sprake is, valt bij deze polisbepalingen (waarschijnlijk) buiten de dekking. Dit is bij de meerderheid van de onderzochte cyberpolissen het geval. Indien van aantasting van het computersysteem of netwerk van verzekerde geen sprake is, is in feite ook geen sprake van een cyberincident.
Het is niet zo dat de cyberverzekering dekking biedt bij ieder incident waar toevallig een e-mail of een ander vorm van ICT bij betrokken is. In twee Amerikaanse rechtszaken is ook op deze wijze geoordeeld.4 In de ene zaak was een medewerker geautoriseerd tot het verrichten van betalingen, maar stal hij een deel van het geld. In de andere zaak hadden de daders via phishing en social engineering zodanige gegevens verkregen dat zij zich geloofwaardig konden voordoen als een betrouwbare partij die een aanpassing doorgaf in de bankgegevens (factuurfraude). In beide zaken werd de verzekeraar die de dekking ontzegde in het gelijk gesteld. De rechter overwoog:
“To interpret the computer-fraud provision as reaching any fraudulent scheme in which an email communication was part of the process would […] convert the computer-fraud provision to one for general fraud.”5
Zouden verzekeraars ook voor dit soort scenario’s dekking willen verlenen, dan is aan te raden om daarvoor specifiekere clausules op te nemen. Een voorbeeld is dat dekking wordt verleend voor schade die is ontstaan door een frauduleuze betalingsopdracht aan een voor betalingen verantwoordelijke of tot betalingen bevoegde medewerker.
In huidige cyberverzekeringen zijn dit soort passages echter niet terug te zien.6 Een enkele clausule noemt weliswaar ‘frauduleuze elektronische instructies’, maar deze instructies moeten zijn gericht aan de financiële instelling die de transactie uitvoert. Dit impliceert dat er geen tussenkomst is van een medewerker van verzekerde zelf: het gaat niet om frauduleuze instructies aan (een medewerker van) verzekerde.
Dat cyberverzekeraars voor dit soort situaties geen dekking (willen) bieden, is uit te leggen door middel van een vergelijking met de traditionele diefstalverzekering. Voor dekking onder die verzekering is vrijwel altijd vereist dat sprake is van braak. Dit om te voorkomen dat verzekerde zelf, althans de medewerkers, zaken verduisteren en vervolgens de waarde bij de verzekeraar claimen. In een digitale context geldt dit net zo: het vereiste dat het systeem moet zijn aangetast is in feite de digitale versie van het vereiste van braak.