Una investigación ve algo "obsoleto" el derecho de seguros español ante ciberataques perpetrados por Estados
La cobertura de los ciberataques patrocinados por Estados en el derecho de seguros español, es el título del trabajo que ha obtenido el Primer Premio en la categoría de Derecho Civil y Mercantil en el Premio Estudios Financieros 2023. Conocemos más en detalle esta investigación de la mano de su autor, Ignacio Sánchez Gil.
¿Podría resumir su carrera investigadora?
Aunque mi intención es dedicarme a la docencia e investigación, lo cierto es que aún estoy inmerso en mi tesis doctoral, en la que estudio las interacciones entre modificaciones estructurales de las sociedades mercantiles y el procedimiento concursal.
Antes de la tesis y del trabajo que presenté al Premio, había tratado temas relacionados con las nuevas tecnologías, como la responsabilidad de las plataformas online o la tecnología Blockchain. Como se puede ver, no es que me haya tratado de especializar en un campo concreto, pero lo considero algo positivo. Aunque la tesis doctoral me especializará bastante, mi ideal en un futuro es ser capaz de dominar múltiples áreas del conocimiento jurídico, aunque, claro está, todavía me queda mucho trabajo para llegar hasta allí.
¿En qué consiste la investigación y cuál ha sido la conclusión?
En los últimos años se ha vuelto cada vez más común que Estados soberanos, a través de sus fuerzas armadas o servicios de inteligencia, lleven a cabo campañas de ciberataques dirigidas contra otros Estados. Un ejemplo pueden ser los ciberataques rusos a Ucrania en el contexto de la invasión, pero esto no debe hacernos pensar que dichos ataques solo se llevan a cabo en contextos de guerras declaradas. Al contrario, incluso en contextos de paz, múltiples Estados hacen uso de estas campañas de ciberataques (en muchos casos negando su autoría de forma pública) para lograr influir en otros Estados.
En 2017, un 'virus' informático de origen ruso conocido como el NotPetya se expandió por prácticamente todo el planeta a una gran velocidad. Este virus inutilizaba temporalmente los equipos informáticos infectados, lo que provocó que muchas compañías afectadas se viesen obligadas a paralizar sus actividades. Algunas de estas compañías tenían contratadas pólizas de seguros que cubrían los daños producidos por un ciberataque. El problema, sin embargo, era que estas pólizas incluían una cláusula (la conocida como “cláusula de exclusión de guerra” o “war exclusion clause”) que, como su nombre indica, determinaba que los daños derivados de conflictos armados y eventos similares no serían indemnizados por las aseguradoras.
El debate (que en algunos casos como el de la farmacéutica Merck, llegó a juicio) estaba pues en determinar si estos ciberataques llevados a cabo por Estados podían considerarse, o no, como conflictos armados. Y lo cierto es que, particularmente en Estados Unidos, este tema llamó poderosamente la atención de múltiples autores del ámbito académico, llegando en algunos casos a la prensa generalista.
El objetivo de mi trabajo era el de estudiar qué ocurriría en un caso de un ciberataque llevado a cabo por un Estado en el derecho español y, la conclusión es que, como prácticamente todo en derecho, depende. En España también es común que las pólizas de seguros incluyan las cláusulas de exclusión de guerra a las que me refería anteriormente, pero, más allá de eso, la exclusión de daños producidos por conflictos armados está recogida (en principio) en la propia ley. Además, también debemos tener en cuenta el papel que en España juega en Consorcio de Compensación de Seguros, que es una suerte de “aseguradora pública” que en nuestro país indemniza los daños producidos por ciertos eventos extraordinarios, tales como inundaciones, terremotos… y eventos terroristas, entre otros.
Por todo lo anterior, más que dar una respuesta cerrada, la conclusión de mi trabajo es que, dependiendo de las particulares características de cada ciberataque patrocinado, éste podrá considerarse como constitutivo de conflicto armado (aunque, según justifico en mi trabajo, este caso será el menos habitual); como un evento terrorista o, incluso, como un evento “ordinario”, que sí deba ser indemnizado por la aseguradora.
¿De qué modo los resultados de la investigación pueden repercutir en la sociedad?
Las conclusiones del trabajo permiten ilustrar que el derecho español de seguros está relativamente obsoleto en lo que se refiere al problema de los ciberataques patrocinados por Estados. Permítame que me sirva de un ejemplo. Según decía antes, si un ciberataque fuese considerado como un evento terrorista, éste sería indemnizado, en principio, por el Consorcio de Compensación de Seguros, y no por la aseguradora privada. El derecho español determina que, para considerar un evento como terrorista, éste debe perseguir la finalidad de “desestabilizar el sistema político” o de “causar temor e inseguridad”.
El problema está en que, en el contexto de los ciberataques, en no pocas ocasiones resulta imposible averiguar el autor y el lugar de origen de un ciberataque. En algunos casos, la finalidad de un ciberataque será más o menos obvia, pero en otros será absolutamente imposible de determinar.
Por ello, si mi trabajo puede servir como un primer paso para llamar la atención del entorno académico, y motivar debates sobre cómo debería nuestro derecho adaptarse a esta creciente problemática, me sentiría sobradamente satisfecho.
¿Cuál es la situación que atraviesa en materia de investigación y desarrollo el área de conocimiento de la que es experto?
Casi me siento un poco ruborizado catalogándome de “experto” en ningún área. No obstante, si me preguntan por el tema de mi investigación, una de las cosas que más me sorprendió fue la divergencia entre la atención académica que había recibido en otros países (particularmente, Estados Unidos), donde se contaban por decenas los trabajos publicados en revistas especializadas, así como los seminarios dedicados al tema de los ciberataques patrocinados por Estados y su incidencia en los seguros; y en España. Aquí, hasta donde he podido averiguar, mi trabajo es uno de los primeros (si no el primero) en abordar este problema.
Entiendo que esto se justifica, en parte, porque en España no hemos tenido constancia de grandes pleitos que hayan enfrentado a asegurados y aseguradoras a raíz de un ciberataque patrocinado por un Estado, como sí ha pasado en Estados Unidos. Aunque, como decía, ojalá mi trabajo pueda servir como un primer paso en este sentido.
¿Cómo valora el Premio Estudios Financieros y las ayudas que comprende a la investigación?
La importancia del Premio Estudios Financieros en nuestro panorama nacional es indudable. No obstante, para jóvenes investigadores (como es mi caso) su valor es incalculable, ya que nos permite competir, de forma completamente anónima, con profesionales de un gran renombre en nuestros respectivos sectores. Además, la existencia de los premios accésits también lo hacen muy interesante, ya que permiten publicar en una revista como la del CEF.-.
Personalmente, no tengo más que palabras de agradecimiento hacia el CEF.-. En España es muy complejo obtener una beca para realizar la tesis doctoral durante el primer año, ya que se valoran elementos como el número de publicaciones en revistas especializadas, la participación en seminarios, o la experiencia docente; aspectos que pueden ser relativamente complejos de acreditar en los primeros años de carrera académica.
En mi caso particular estoy haciendo el primer año de tesis sin beca. Precisamente por eso valoro tanto el Premio Estudios Financieros, ya que me permite sumar una publicación en una revista como la del CEF.-, y acreditar el mérito de haber ganado el certamen, lo cual suma una gran cantidad de puntos de cara a obtener una beca en el futuro. En relación con la cuantía de las ayudas, tampoco tengo palabras de agradecimiento ya que, probablemente, se van a convertir en mi fuente prácticamente exclusiva de ingresos en este primer año de tesis.