Các công ty bảo hiểm sẽ phải đối mặt với những điều khoản loại trừ hạn chế hơn đối với trách nhiệm bảo hiểm rủi ro không gian mạng trong các chương trình bảo hiểm phi nhân thọ của họ. Trước tình hình rủi ro trên không gian mạng nói chung ngày càng gia tăng trong những năm gần đây và thị trường bảo hiểm đã chuyển đổi, một số công ty bảo hiểm đang tìm cách hạn chế hoặc thậm chí loại bỏ trách nhiệm bảo hiểm liên quan đến máy tính bên cạnh việc cấp đơn bảo hiểm độc lập cho các rủi ro không gian mạng từ ngày 1/1/2020.

Các công ty bảo hiểm nên sớm làm việc với các công ty môi giới và cố vấn của họ để thương lượng được trách nhiệm bảo hiểm rộng nhất có thể với mức phí thấp nhất.

Rủi ro ngày càng tăng

Với hầu hết các chương trình bảo hiểm thiệt hại tài sản và bảo hiểm gián đoạn kinh doanh được xây dựng trên cơ sở “mọi rủi ro”, tất cả các thiệt hại về tài sản và dẫn đến gián đoạn kinh doanh đều được bảo hiểm trừ khi bị loại trừ rõ ràng. Tuy nhiên, đơn bảo hiểm mọi rủi ro tài sản và gián đoạn kinh doanh có nhiều điều khoản loại trừ hoặc hạn chế, bao gồm cả đối với hệ thống máy tính và dữ liệu điện tử.

Trong lịch sử, các đơn bảo hiểm trách nhiệm có xu hướng im lặng đối với các rủi ro trên “không gian mạng”. Một số công ty bảo hiểm trách nhiệm cho rằng các điều khoản loại trừ cụ thể đối với các rủi ro không gian mạng là không cần thiết, nguyên nhân chủ yếu là do các đơn bảo hiểm trách nhiệm bảo hiểm cho thiệt hại của bên thứ ba đối với tài sản hữu hình và thương tích cá nhân của bên thứ ba, và dữ liệu máy tính không phải là “tài sản vật chất” hữu hình.

Trước khi có sự phát triển của các phương tiện truyền thông mạng xã hội và internet, các công ty bảo hiểm trách nhiệm không tin rằng họ chịu rủi ro đáng kể đối với các yêu cầu bồi thường tổn thương tinh thần (được bao gồm trong ý nghĩa của “thương tích cá nhân”). Tuy nhiên, giờ đây điều này không còn đúng nữa.

Với những bước tiến của công nghệ máy tính trong những năm gần đây, bao gồm sự gia tăng của các thiết bị kỹ thuật số và tần suất chúng được kết nối với các hệ thống thực, các công ty bảo hiểm ngày càng đối mặt với các rủi ro trên không gian mạng nhiều hơn.

Và với sự ra đời của Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (EU General Data Protection Regulation – GDPR) vào năm 2018 với phạm vi trách nhiệm và các điều khoản nghiêm ngặt hơn so với Đạo luật bảo vệ dữ liệu trước đó, bất kỳ pháp nhân thương mại nào cũng có khả năng phải đối mặt với các trách nhiệm dân sự và hình sự phát sinh từ việc mất hoặc sử dụng sai dữ liệu. Ngoài ra, các tòa án ở Anh sẵn sàng để tìm ra các công ty phải chịu trách nhiệm đối với hoạt động trên mạng xã hội của nhân viên của họ.

Động thái của cơ quan quản lý

Cơ quan quản lý An toàn (Prudential Regulatory Authority – PRA), cơ quan chịu trách nhiệm đảm bảo rằng các công ty bảo hiểm được vốn hóa đầy đủ nhằm chi trả các yêu cầu bồi thường, có những lo ngại về cách các công ty bảo hiểm quản lý rủi ro đối với các rủi ro trên không gian mạng. Những lo ngại này liên quan đến:

• Việc các công ty bảo hiểm thiếu chuyên môn về không gian mạng.
• Vấn đề tích tụ trong các đơn bảo hiểm rủi ro không gian mạng.
• Các đơn không bảo hiểm cho rủi ro không gian mạng vô tình bảo hiểm cho rủi ro không gian mạng qua việc “im lặng” về rủi ro này – tức là các công ty bảo hiểm không hạn chế trách nhiệm bảo hiểm đối với rủi ro không gian mạng trong các đơn bảo hiểm của họ.

Tháng 1/2019, tất cả các công ty bảo hiểm đã nhận được một lá thư từ PRA nêu rõ rằng họ “nên có kế hoạch hành động để giảm rủi ro ngoài ý muốn có thể gây ra do việc không khẳng định trách nhiệm bảo hiểm đối với rủi ro không gian mạng”.

Tương tự, Lloyd’s of London đã phát hành một bản tin vào tháng 7/2019, yêu cầu tất cả các thành viên syndicate cung cấp thông tin rõ ràng về các rủi ro không gian mạng trong tất cả các đơn bảo hiểm. Đến ngày 1/1/2020, tất cả các loại hình bảo hiểm đối với thiệt hại tài sản của bên thứ nhất phải khẳng định hoặc loại trừ rõ ràng trách nhiệm bảo hiểm đối với các rủi ro không gian mạng; các đơn bảo hiểm trách nhiệm và các hợp đồng tái bảo hiểm sẽ theo đó với ngày sẽ được xác định trong năm 2020/21.

Phản ứng của các công ty bảo hiểm

Nhiều công ty bảo hiểm đang ứng phó với bối cảnh rủi ro thay đổi này bằng việc tìm cách giới hạn trách nhiệm bảo hiểm liên quan đến máy tính bên cạnh việc cấp đơn bảo hiểm độc lập cho các rủi ro không gian mạng.

Nhằm ủng hộ quan điểm này, Hiệp hội các nhà bảo hiểm Quốc tế (International Underwriters Association – IUA) đã đưa ra hai điều khoản loại trừ rủi ro không gian mạng mới loại bỏ một cách rõ ràng tất cả các trách nhiệm đối với các rủi ro liên quan đến không gian mạng. Trong khi đó, Hiệp hội thị trường của Lloyd’s (Lloyd’s Market Association – LMA) đã đưa ra thêm hai điều khoản loại trừ rủi ro không gian mạng vào tháng 11.

Tất cả những điều khoản này cho thấy sự sụt giảm đáng kể trách nhiệm bảo hiểm đối với số đông các công ty bảo hiểm đa quốc gia.

Những dấu hiệu ban đầu cho thấy các công ty bảo hiểm sẽ ủng hộ điều khoản LMA cụ thể ở đây là điều khoản LMA 5400, do danh tiếng của Hiệp hội LMA và cũng vì các điều khoản LMA được soạn thảo theo văn phong tương tự như các điều khoản loại trừ hiện có mà các công ty bảo hiểm đã quen thuộc.

Về trách nhiệm bảo hiểm, điều khoản này không có lợi cho các công ty bảo hiểm khi đưa ra sự phân biệt có thể gây khó khăn giữa các sự kiện mạng “độc hại” và “không độc hại”. Trong điều khoản LMA 5400, sự cố máy tính không độc hại chỉ được bảo hiểm nếu dẫn đến kết quả cháy/nổ, còn sự cố mạng “độc hại” luôn bị loại trừ. Định nghĩa về “độc hại” rất rộng và bao gồm mọi hành vi sử dụng trái phép máy tính.

Thị trường chuyển đổi

Các điều khoản loại trừ rủi ro không gian mạng khá đa dạng trong các quy tắc bảo hiểm tài sản, với việc tất cả các công ty bảo hiểm lớn đưa điều khoản loại trừ rủi ro không gian mạng riêng của họ vào quy tắc. Các điều khoản loại trừ rủi ro không gian mạng được các công ty bảo hiểm sử dụng phổ biến trong gần hai thập kỷ gồm điều khoản NM2914, NMA2915 và CL380.

Cả hướng dẫn của Cơ quan quản lý PRA và bản tin của Lloyd’s đều không nêu rõ rằng các điều khoản loại trừ này (NMA 2914/2915/CL380) là không đầy đủ. Tuy nhiên, các công ty bảo hiểm đang sử dụng các thông báo của Lloyd’s và PRA, trong bối cảnh thị trường bảo hiểm đã chuyển đổi, để áp dụng trách nhiệm bảo hiểm hạn chế hơn từ ngày 1/1/2020.

Nhiều khả năng các công ty bảo hiểm sẽ nỗ lực sử dụng các điều khoản loại trừ hạn chế mới trong suốt năm 2020 và 2021, đặc biệt là nếu các công ty tái bảo hiểm áp dụng cách tiếp cận hạn chế đối với rủi ro trên không gian mạng với khách hàng là các công ty bảo hiểm của họ. Nếu điều này xảy ra, các công ty bảo hiểm gốc sẽ cần áp đặt những hạn chế này đối với các chủ hợp đồng bảo hiểm trong đơn gốc để đảm bảo sự nhất quán.

Các công ty bảo hiểm nên tiếp tục xem xét mức độ rủi ro ngày càng tăng của họ đối với các rủi ro trên không gian mạng và làm việc với các công ty môi giới bảo hiểm có khả năng cung cấp chuyên môn và thu xếp dịch vụ.

                                                                                                                        (Theo Marsh)