Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.2.3
III.3.9.2.3 Gradatie 2: systeem aangetast, verzekerde verricht zelf betaling(sopdracht)
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278895:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Allianz.
Principle Solutions Group LLC v Ironshore Indemnity Inc, 11th Cir. 12 september 2019, no. 17-11703, 1:15-cv-04130-RWS, eerste aanleg N.D. Ga. 2016, WL4618761 (CEO-fraude); Interactive Communications International Inc v Great American Insurance Company, 11th Cir. 10 mei 2018, no. 17-11712 WL 2149769; Medidata Solutions Inc v Federal Insurance Co, 2nd Cir. 6 juli 2018, 17-cv-2492.
Principle Solutions Group LLC v Ironshore Indemnity Inc, 11th Cir. 12 september 2019, no. 17-11703, 1:15-cv-04130-RWS, eerste aanleg N.D. Ga. 2016, WL4618761 (CEO-fraude).
Zurich en Liberty. Zie ook CNA die schade door als gevolg van telefoon phishing uitsluit.
In gradatie 2 is weliswaar sprake van een aantasting van het systeem, waardoor de indringer daadwerkelijk toegang heeft tot bijvoorbeeld het e-mailaccount van de CEO en vanuit daar betalingsopdrachten aan de financiële afdeling geeft. De indringer heeft deze toegang verkregen door inloggegevens te bemachtigen via phishing of social engineering (vergelijkbaar met insluiping waarbij eerst de sleutel wordt gestolen of door babbeltrucs waarmee de verzekerde wordt verleid om de dader zelf binnen te laten), of door in te breken via malware of hacking (vergelijkbaar met een inbraak). Uiteindelijk is voor de daadwerkelijke betaling echter nog steeds een handeling van een eigen medewerker nodig.
Een ander voorbeeld laat zien dat ook in situaties van gradatie 2 dekking niet altijd een gegeven is:
Voorbeeld 4
“De Verzekeraar vergoedt aan de Verzekerde het verlies dat overeenstemt met het contante bedrag van het giraal geld dat werd overgeschreven of overgedragen van de rekeningen van de Verzekerde naar een rekening van een Derde, als gevolg van een Cyberaanval die werd uitgevoerd door een Derde zonder de medewerking van de Verzekerde en die voor de eerste maal werd Ontdekt tijdens de Verzekeringsperiode.”1 (onderstreping NMB)
Onder ‘cyberaanval’ verstaat deze verzekeraar kort gezegd het binnendringen in het bedrijfscomputersysteem dat leidt tot ongeoorloofde toegang of ongeoorloofd gebruik van dat systeem. Dit sluit scenario’s in gradatie 1 uit van dekking.
Of gradatie 2 met deze bepaling is gedekt, is discutabel. In die gradatie heeft de dader weliswaar toegang tot het systeem, maar is het (een medewerker van) verzekerde zelf die uiteindelijk de betaling verricht of daarvoor de opdracht geeft. Wat is in die gevallen de strekking en reikwijdte van het vereiste dat de schade is ontstaan ‘zonder medewerking van de verzekerde’?
Ook op dit punt is in de Verenigde Staten geprocedeerd, zij het met wisselende resultaten.2 Een belangrijke overweging van de rechtbank in Georgia is evenwel dat indien de enkele betrokkenheid van een werknemer bij het ontstaan van dit soort schade altijd voldoende zou zijn voor dekkingsontzegging, de verzekering voor computerfraude/cyberfraude ‘almost pointless’ zou zijn en de dekking illusoir zou worden.3
Vanuit het perspectief van de verzekerde ligt het voor de hand om deze bepaling zo te begrijpen dat onder ‘medewerking van verzekerde’ daadwerkelijk fraude wordt verstaan. Zoals ook aan de orde is gekomen in het kader van ransomware (zie §3.9.1.2.) zijn deze dekkingselementen fraudegevoelig en proberen cyberverzekeraars mogelijkheden tot fraude ook zoveel mogelijk weg te schrijven in de polisbepalingen. De verzekerde zal verwachten dat cyberdiefstal ook is gedekt indien een medewerker ten prooi valt aan een geraffineerde imitatie van een leidinggevende als gevolg van een hack of phishing.
Vanuit het perspectief van de verzekeraar is die verwachting wellicht minder vanzelfsprekend. De tussenkomst van (een medewerker van) verzekerde zelf kan een risicofactor zijn die de verzekeraar juist niet beoogt te dekken. De in §3.9.2.1 besproken methoden om cyberdiefstal uit te voeren, zijn gebaseerd op menselijke eigenschappen zoals nieuwsgierigheid, behulpzaamheid en angst. Deze eigenschappen zijn lastig te beheersen met bijvoorbeeld technische middelen. In een enkele polis is op dit punt een uitsluiting opgenomen: schade door computercriminaliteit is verzekerd, maar enkel als de schade is ontstaan zonder gebruik van social engineering.4 Zie uitgebreider over deze uitsluiting §5.2.3.
Er schuilt bovendien regelmatig enige mate van verwijtbaarheid in het gedrag van de verzekerde die slachtoffer wordt van cyberdiefstal met gradatie 2. Zeker achteraf bezien zijn er altijd wel zaken aan te wijzen op grond waarvan de verzekerde had kunnen (en wellicht zelfs moeten) weten dat betalingsinstructie frauduleus was. Ook dat vormt een argument voor verzekeraars om te betogen dat dekking voor dit soort gevallen juist niet is beoogd.
Cyberdiefstal op een wijze die ik heb aangeduid als gradatie 2, waarin de verzekerde op de een of andere manier bijdraagt aan de diefstal, komt veel voor. Zeker in polisbepalingen waarin een opmerking wordt gemaakt over medewerking of anderszins tussenkomst van de verzekerde is verduidelijking daarom gewenst.