Покрывает ли страхование коммерческой ответственности ущерб от кибератак?

Апелляционный суд США недавно по одному из дел постановил, что страхователь имеет право на покрытие иска на сумму 20 миллионов долларов по полису общей коммерческой ответственности (CGL) после кибератаки, захватившей информацию о платежных картах из его компьютерных систем.

Это решение имеет большое значение, поскольку оно подчеркивает, как страховое покрытие киберпретензий может относиться к различным страховым продуктам.

Торговый банк засудил сеть ресторанов на 20 млн долларов

Сеть ресторанов получила иск от своего торгового банка на сумму более 20 миллионов долларов после того, как хакеры похитили информацию о кредитных картах клиентов.

В деле “Landry’s Inc. против страховой компании штата Пенсильвания” Пятый округ отменил решение суда первой инстанции, вынесенное в пользу страховой компании. Landry’s, мультибрендовая ресторанная и гостиничная компания, была засужена своим торговым банком Paymentech на сумму более 20 миллионов долларов после того, как Visa и Mastercard присудили Paymentech возмещение ущерба за мошенничество с платежными картами и расходы на их замену, возникшие в результате кражи хакером данных платежных карт в некоторых заведениях Landry’s.

После того как Visa оценила ответственность Paymentech за утечку данных в 12,7 млн долларов, а Mastercard – в 7,8 млн долларов, торговый банк попытался переложить эту ответственность на Landry’s, которая потребовала покрытия по полису CGL. Страховая компания штата Пенсильвания (ICSOP) отказала Landry’s в страховом покрытии.

“Личный ущерб” и ущерб от кибератаки

Страхователь утверждал, что ему было обещано покрытие CGL по основному иску торгового банка, поскольку Paymentech требовал возмещения ущерба, “вытекающего из материала, нарушающего право человека на неприкосновенность частной жизни”.

Страховая компания оспорила иск по нескольким основаниям, включая вопрос о том, имела ли место “публикация” конфиденциальных данных платежных карт, похищенных хакерами.

Пятый округ пояснил:

“В жалобе Paymentech явно утверждается, что Landry’s опубликовал информацию о кредитных картах своих клиентов – то есть, выставил ее на всеобщее обозрение”.

На самом деле, в жалобе говорится о двух различных видах “публикации”:

Во-первых, Landry’s предоставили данные клиентских кредитных карт хакерам. В частности, когда “данные кредитных карт проходили через затронутые системы”, Landry’s якобы обнародовали эти данные, включая “имя держателя карты, номер карты, срок действия и внутренний проверочный код”.
Во-вторых, хакеры опубликовали данные кредитных карт, используя их для совершения мошеннических покупок.

В обоих случаях данные кредитных карт были обнародованы или представлены для просмотра.

Коллегия VS страховая компания

Коллегия отклонила аргумент страховой компании о том, что покрытие личного ущерба по полису CGL является узким по сфере применения. Она постановила, что публикация информации о кредитных картах возникла в результате нарушения прав человека на частную жизнь.

— Пятый округ постановил:

“Полис распространяется на весь ущерб, возникающий в результате таких нарушений. Неоспоримо, что человек имеет право на неприкосновенность частной жизни в отношении данных своей кредитной карты. Также неоспоримо, что кража хакерами данных кредитных карт и использование этих данных для совершения мошеннических покупок представляют собой “нарушения” прав потребителей на неприкосновенность частной жизни. И еще более неоспоримым является тот факт, что в основной жалобе компании Paymentech утверждается о такой краже и таких мошеннических покупках. Таким образом, простой текст полиса предполагает обязанность ICSOP защищать компанию в суде”.

Страховщик также утверждал, что даже если бы имела место публикация информации о похищенных картах, страховое покрытие все равно было бы недоступно, поскольку возмещение личного ущерба “распространяется” только на убытки от деликта, а не на убытки, возникшие в результате нарушения договора.

Пятый округ отклонил этот аргумент, постановив, что в соответствующих пунктах страхового полиса не было указано то, что утверждала страховая компания:

“ICSOP призывает нас не следовать однозначной формулировке полиса и вместо этого изменить ее”.

По мнению ICSOP, полис покрывает только ущерб от деликта, “возникший в результате нарушения прав человека на частную жизнь”. Таким образом, ICSOP предполагает, что он мог бы защищать Landry’s, если бы на него подали в суд отдельные клиенты, данные кредитных карт которых были взломаны и использованы мошенническим путем. Но ICSOP считает, что он не обязан защищать Landry’s в деле о нарушении договора.

Разумеется, в полисе не содержится ни одного из этих различий.

Комиссия пришла к следующему выводу:

“Не имеет значения, что юридические теории Paymentech основаны на договоре, а не на деликте. Не имеет значения и то, что Paymentech (а не отдельные клиенты) подали в суд на Landry’s. Ущерб, о котором заявляет Paymentech, возник в результате нарушения прав клиентов на конфиденциальность информации об их кредитных картах “.

Пятый округ отменил решение и отправил дело на новое рассмотрение, постановив, что страховая компания “должна защищать Landry’s в основном судебном процессе по делу Paymentech”.

Уроки по управлению рисками

Это дело напоминает страхователям о необходимости иметь страховое покрытие для своих киберпретензий в рамках страховых продуктов, помимо специальных полисов киберстрахования. Кроме того, в последние годы некоторые страхователи исключили покрытие личного ущерба из своих полисов CGL и включили его в договоры страхования кибер-ответственности или в полисы страхования E&O.

Учитывая, что судебная практика по искам, связанным с киберстрахованием, ограничена и пока не дает полного и ясного представления о том, как ориентироваться в претензиях и запутанных условиях полиса, страхователям следует действовать так, чтобы их возможности были открыты, когда дело доходит до выяснения того, какие полисы обеспечивают покрытие каждой категории убытков, возникающих в результате кибератаки.

Больше статей о киберстраховании на нашем ресурсе:

Оставайтесь с нами и будьте в курсе всех событий с рубрикой #Киберстрахование!

NEO-волонтер V1

Calmins.com ©

Источник: propertycasualty360.com