Phishing e polizze cyber: sentenza rivoluzionaria di un tribunale USA

9 agosto 2018 0 Di Yuri Poletto

Con la sentenza del luglio 2017 Medidata Solutions v. Federal Insurance, la Corte Distrettuale degli Stati Uniti per il distretto meridionale di New York è diventata la prima Corte Federale a sancire che le perdite dovute a frodi di phishing fossero coperte da una polizza cyber.

Il caso è stato portato per la prima volta in tribunale dal produttore di utensili e coloranti American Tooling Center, Inc. (ATC) nel tribunale distrettuale degli Stati Uniti per il distretto orientale del Michigan. Nel 2015, un dipendente dell’ATC è stato ingannato dall’e-mail fraudolenta di un criminale informatico, che ha ingannato il dipendente di ATC facendogli versare nel conto corrente del criminale dei fondi destinati a pagare un fornitore.

American Tooling Center Inc. ha presentato una denuncia di sinistro per recuperare dal suo assicuratore cyber Travelers Casualty & Surety Co alcuni dei fondi sottratti fraudolentemente dal criminale informatico. Ma Travelers ha sostenuto che tale perdita non rientrava nella sua polizza contro le frodi informatiche, che copriva solo le perdite “direttamente causate” dall’uso di un computer. In particolare, Traveler sosteneva che l’incidente di ATC era causato da un utente autorizzato ingannato e non dall’uso fraudolento di un computer.

Il tribunale distrettuale del Michigan ha accettato l’interpretazione di Travelers. La corte d’appello, tuttavia, non era d’accordo, rilevando che non esisteva nel wording della polizza Travelers un’esclusione specifica per le situazioni in cui i dipendenti autorizzati venivano ingannati dalle truffe di phishing per trasferire fondi ai criminali informatici.

“Il tentativo di Travelers di limitare la definizione di “frode informatica” all’hacking e comportamenti simili nei quali una parte malevola in qualche modo ottiene accesso e/o controlla il computer dell’assicurato, non è fondato”, ha scritto la corte nel suo parere. “Se Travelers avesse voluto limitare la definizione di frode informatica a tale comportamento criminale, avrebbe potuto farlo”.

Per di più, la corte d’appello ha anche stabilito che le esclusioni della polizza cyber non esentavano Travelers dalla copertura della perdita a causa di come la polizza definiva determinati termini.

Un’esclusione prevedeva che la polizza assicurativa “non si applica a perdite o danni derivanti direttamente o indirettamente dall’input di dati elettronici da una persona fisica che ha l’autorità di entrare nel sistema informatico dell’assicurato”.

Un’altra esclusione prevedeva che la polizza “non si applica alla perdita derivante direttamente o indirettamente da documenti falsi, alterati o fraudolenti o da strumenti scritti utilizzati come documentazione sorgente nella preparazione di dati elettronici”.

Ma poiché la polizza ha definito “dati elettronici” in modo tale da non significare “istruzioni o indicazioni per un sistema informatico”, la corte d’appello ha affermato che le esclusioni di polizza non si applicano alla situazione attuale.

Gli assicuratori quindi farebbero bene ad essere il piu’ precisi possibile nel definire cosa intendono coprire e cosa intendono escludere, in particolare nel caso di rischi nuovi come quelli cyber.

Per un approfondimento su questa sentenza potete leggere questo articolo.


Iscriviti alla nostra newsletter

Condividi il post