Németországban a tübingeni tartományi bíróság 2023. május 26-án fontos, az EU más országaiban működő cégek számára is tanulságos ítéletet hozott a kiberbiztosítási szerződések alapján érvényesített kárigényekkel (ezen belül is a fedezeti kifogásokkal és a kiberbiztosítási szerződéskötést megelőző tájékoztatási kötelezettséggel) kapcsolatban.

Az ügy előzményei:

A biztosítóval szerződő felet 2020-ban kibertámadás érte. A támadók zsarolóvírust helyeztek el a biztosított céges laptopján, bitcoinban váltságdíjat követeltek, és a laptopon talált üzleti titkok közzétételével fenyegetőztek.

A kiberbiztosítási szerződés alapján a biztosító elállhatott a szerződéstől, ha a biztosított megszegte az előzetes tájékoztatási kötelezettségét. Ezen túlmenően, az alkalmazandó német biztosítási törvény alapján, ha a biztosítási eseményt a biztosított súlyos gondatlansággal okozza, a biztosító jogosult arányosan csökkenteni az általa teljesítendő kifizetést.

A kibertámadás utáni kárrendezés során kiderült, hogy a biztosított nem hajtott végre általános IT biztonsági intézkedéseket, nem telepített több éve elérhető biztonsági frissítéseket, valamint pontatlan válaszokat adott a biztosító szerződéskötés előtti kockázatértékelési kérdéseire (megsértve ezzel az előzetes tájékoztatási kötelezettségét). A biztosító a fenti okokra hivatkozva elállt a biztosítási szerződéstől. A biztosított véleménye szerint az elállás nem volt jogszerű, és emiatt pert indított a biztosító ellen.

A bíróság megállapításai:

A bíróság szerint

a biztosító nem mentesülhet a teljesítés alól, a követelés mérséklése pedig kizárt, ugyanis a biztosító nem bizonyította megfelelően a felperes súlyos gondatlanságát.

A bíróság elsőfokú ítéletében ezzel kapcsolatban az alábbi megállapításokat tette:

Előzetes tájékoztatási kötelezettség. A bíróság megállapította, hogy a biztosítási eseményt nem a szerződéskötést megelőző tájékoztatási kötelezettség esetleges megszegése (a kockázatértékelési kérdések téves megválaszolása) okozta, így az nem befolyásolta a biztosítási fedezet meghatározását vagy terjedelmét.

Megtévesztés. A bíróság szerint az előzetes kockázatértékelési kérdésekre való nem egyértelmű válaszadás önmagában nem minősül megtévesztésnek. A bíróság megállapította, hogy a kérdésekre adott válaszokat szubjektív szempontból is vizsgálni kell, vagyis meg kell nézni, hogy a biztosított a megtévesztés szándékával befolyásolni kívánta-e a biztosító döntését.

Kockázatnövekedés. A bíróság azt is vizsgálta, hogy a szerződéskötést követően nőtt-e a biztosításhoz kapcsolódó kockázat, mert a biztosított nem végezte el a további szoftverfrissítéseket, illetve nem cserélte ki az elavult szervereket. A bíróság szerint a biztosító hallgatólagosan elfogadta a fennálló kockázati helyzetet azzal, hogy a szerződéskötést követően nem kért további kockázati információkat a biztosítottól. (A biztosító a német biztosítási törvény 81. § (2) bekezdése alapján nem háríthatta át a biztosítottra a biztosítás kezdetétől fogva fennálló kockázatokat.)

Tanulságok a biztosítók és a biztosítottak számára

Az ítélet megállapításai nem igazán kedvezőek a kiberbiztosítást nyújtó biztosítók számára.

Fontos ezért, hogy a biztosítók felülvizsgálják szerződéses feltételeiket az alábbi szempontok alapján:

  • A kiberbiztosítási szerződés megkötését megelőzően elég szigorúak és pontosak-e a biztosító által végzett kockázatértékelés feltételei, ideértve különösen az ezzel kapcsolatos kérdéseket és a biztosítottól kért nyilatkozatokat?
  • Részletesen tartalmazza-e a kiberbiztosítási szerződés a biztosított IT biztonsági kötelezettségeit, elsősorban a GDPR 32. cikke által is előírt technikai és szervezési intézkedések bevezetését, szinten tartását és adott esetben továbbfejlesztését?
  • Végül, a kiberbiztosítási szerződés megfelelő jogokat határoz-e meg a biztosító számára (adott esetben akár a szerződés rendkívüli felmondását is), ha a biztosított megszegte akár a kockázatértékeléssel, akár az IT biztonsági intézkedésekkel kapcsolatos kötelezettségeit?