Очаква се дискусия за правните мотиви зад връзката между грубата небрежност при причиняване на застрахователно събитие и задълженията за разкриване на преддоговорна информация
В правен прецедент Регионалният съд на Тюбинген постанови първото съдебно решение относно киберзастраховането в Германия. Това решение, постановено на 26 май 2023 г., вече предизвика широка
дискусия в застрахователния сектор.
Решението на съда се отнася до преобладаващите възражения за покритие на зони в искове за киберзастраховки, включително задължения за преддоговорно разкриване, увеличаване на риска и груба
небрежност, водеща до застрахователното събитие. Съдът се произнесе в полза на застрахования, като отхвърли защитата, представена от застрахователя. По-конкретно, съдът отхвърли аргумента на
застрахователя, че застрахованият е причинил загубата поради груба небрежност, като не е приложил общи ИТ мерки за предотвратяване на кибератаки. Съдът твърди, че застрахователят е могъл да провери
тези специфични условия за ИТ сигурност по време на фазата на преддоговорна оценка на риска, информира clydeco.com. През 2020 г. застрахованият (ищец по иска) става жертва на кибератака. ИТ
инфраструктурата на застрахования е сериозно компрометирана, когато рансъмуерът прониква в системата му. Служителят несъзнателно е инициирал атаката с рансъмуер, като е отворил прикачен файл към
имейл, маскиран като фактура, на сервизния му лаптоп. Сервизният лаптоп е бил свързан към мрежата на застрахования чрез VPN тунел, който осигурява път към ИТ системата на застрахования. След
кибератаката нападателите искат откуп в биткойни и заплашват да публикуват чувствителни данни на компанията. Кибератаката довежда до значителни оперативни загуби. По време на обработката на
исковете за инцидента става ясно, че застрахованият не е приложил сравнително общи мерки за ИТ сигурност, не е успял да инсталира необходимите актуализации и е предоставил неточни отговори на
въпросите на застрахователя за преддоговорна оценка на риска.
Застрахователят обявява анулиране на застрахователния договор на основание, че застрахованият е нарушил преддоговорното си задължение за разкриване на информация, като е отговорил неправилно на
няколко въпроса за риска. Застрахователят твърди, че застрахованият не е успял да инсталира актуализации за сигурност, които са били налични за няколко от сървърите на застрахования от години,
въпреки че е бил наясно с този факт. Освен това застрахователят твърди, че неадекватните мерки за сигурност на застрахования срещу кибератака (напр. липса на двуфакторна автентификация и подходящо
наблюдение) са довели до увеличаване на риска и груба небрежност от страна на застрахования, която е причинила застрахователното събитие.
Окръжният съд на Тюбинген определя, че застрахованият успешно е доказал, че всяко потенциално нарушение на преддоговорното задължение за разкриване нито е причинило застрахователното събитие, нито
е повлияло на определянето или обхвата на покритието (обикновено наричано "контрадоказателство за причинно-следствена връзка"). Съдът също така отхвърля възражението на застрахователя за увеличение
на риска, тъй като в договора изрично е посочено, че задължението на застрахователя да предостави покритие ще бъде прекратено само ако увеличението на риска е причинило пряко застрахователното
събитие или е засегнало обхвата на задължението за обезщетение. Според решението на съда, онова, което се отнася до груба небрежност при причиняване на застрахователното събитие, не се прилага в
този случай, поради което претенцията не подлежи на намаление. Според съда разпоредбата не трябва да се прилага, ако съответната рискова ситуация вече е съществувала към момента на сключване на
договора и съответният рисков фактор е бил или е могъл да бъде взет предвид при оценката на риска от застрахователя. С други думи, съдът се интересува дали застрахователят теоретично е могъл да
попита за тези специфични рискови обстоятелства. В настоящия случай, тъй като не е имало промяна в състоянието на сървърите между момента на сключване на полицата и настъпването на
застрахователното събитие, застрахователят – според съда – имплицитно е приел съществуващата рискова ситуация, като не търси допълнителен риск свързана информация.
Въпреки че това решение бележи значителен крайъгълен камък в германската съдебна практика в областта на киберзастраховането, все още предстои да видим дали това решение ще издържи изпитанието на
времето предвид новостта на закона за киберзастраховането. Неговото бъдещо влияние зависи от това дали други съдилища, и по-специално апелативни съдилища, ще утвърдят тази линия на съдебна
практика. Със сигурност обаче може да се очаква правна дискусия в Германия относно правните мотиви зад връзката между грубата небрежност при причиняване на застрахователното събитие и задълженията
за разкриване на преддоговорна информация, понеже този въпрос до момента не е решен.
