En la entrada del pasado jueves, día 28 de octubre sobre las “Finanzas digitales (Fintech): Ciberseguridad y resiliencia operativa digital del sector financiero en la UE” anunciábamos nuestra ponencia a impartir el siguiente día 29 sobre la «Ciberseguridad y la responsabilidad civil.» en el 16º Congreso jurídico de la Abogacía Malagueña organizado por el ICA de Málaga. El día -como es costumbre afortunada (vista la alternativa)- llegó; impartimos nuestra ponencia lo mejor que pudimos y ofrecemos a los lectores de este blog, en esta entrada, una síntesis de su contenido; que estructuramos en tres grandes apartados dedicados a la ciberseguridad financiera, la responsabilidad civil y el seguro.
CIBERSEGURIDAD FINANCIERA
Este primer apartado lo dividimos en tres partes que fueron de lo general a lo particular:
a) La ciberseguridad financiera en general
Expusimos este subapartado en torno al sistema de defensa europeo frente a los ciberataques establecido por disposiciones publicadas en el DOUE de 17.5.2019 que son el Reglamento (UE) 2019/796 del Consejo de 17 de mayo de 2019 relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros y la Decisión (PESC) 2019/797 del Consejo de 17 de mayo de 2019 relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros (el lector interesado puede consultar la entrada de este blog de 3 de junio de 2019 sobre la “Defensa de la Unión Europea frente a los ciberataques: El Reglamento (UE) 2019/796 y la Decisión (PESC) del Consejo 2029/979 de 17 de mayo de 2019”).
b) La ciberresiliencia del sector financiero
Nos referimos, en este punto, a la Resolución del Parlamento Europeo, de 8 de octubre de 2020, sobre las “Finanzas digitales: riesgos emergentes en los criptoactivos — Retos en materia de regulación y supervisión en el ámbito de los servicios, las instituciones y los mercados financieros” (Resolución del Parlamento Europeo, de 8 de octubre de 2020 con recomendaciones destinadas a la Comisión sobre finanzas digitales: riesgos emergentes en los criptoactivos — Retos en materia de regulación y supervisión en el ámbito de los servicios, las instituciones y los mercados financieros (P9 TA(2020)0265, (2020/2034(INL) (2021/C 395/10) (el lector interesado puede ver la entrada de este blog del 28.10.2021 sobre las “Finanzas digitales (Fintech): Ciberseguridad y resiliencia operativa digital del sector financiero en la UE”).
c) La ciberseguridad en el mercado asegurador
Expusimos este subapartado en torno a las Directrices de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (TIC) asumidas por la DGSFP mediante su Resolución de 30 de julio de 2021, de la Dirección General de Seguros y Fondos de Pensiones, por la que se publican las Directrices de la Autoridad Europea de Seguros y Pensiones de Jubilación sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones. (publicada en el BOE núm. 192 del jueves 12 de agosto de 2021, Sec. III. Pág. 100332) (el lector interesado puede consultar la entrada de este blog de 7 de septiembre de este mismo año 2021 sobre los “Tecnoseguros (Insurtech) en Europa. Directrices de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (TIC) aplicables desde el 1 de julio de 2021”).
RESPONSABILIDAD CIVIL
Este segundo apartado lo ordené según los tipos básicos de responsabilidad civil derivada de la digitalización financiera:
a) La responsabilidad civil derivada de ilícitos civiles
Esta responsabilidad civil de los operadores financieros se podrá articular tanto en forma contractual, conforme al artículo 1101 del Código Civil; como en forma extracontractual conforme al artículo 1902 del mismo Código Civil. Con la consiguiente repercusión en los respectivos plazos de prescripción de las acciones: 1 año o 5 años.
Tomé como ejemplo paradigmático la Sentencia de la Audiencia Provincial de Vizcaya de 10 de noviembre de 2016 que trata de la responsabilidad civil bancaria por falta de medidas de seguridad que eviten las consecuencias del “pishing” (el lector interesado puede consultar la entrada de este blog de 17 de abril de 2017 sobre “FINTECH, ciberseguridad, manipulaciones de dominios de internet, “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente”).
Cabe añadir que el “phishing” se ha extendido, en reiteradas ocasiones, al dominio de la CNMV en esta infausta época de la pandemia del COVID 19. Así se deduce de los avisos que viene publicando nuestra CNMV para proteger al inversor de acuerdo con el apartado 2 del art.17 de la LMV y prevenir al público frente a los ciberfurtivos”.El lector interesado puede ver las siguientes entradas de este blog
a.1) La del 23.11.2020, en la que dimos cuenta de la “información al inversor” titulada “La CNMV alerta de nuevas estrategias informáticas de los chiringuitos financieros” que la CNMV publicó el 18 de noviembre de 2020 bajo el título de “Nuevos fraudes informáticos en el mercado financiero al calor del COVID 19. Advertencia de la CNMV”.
a.2) La de 26 de noviembre de 2020, en la que nos referimos al “Comunicado sobre determinadas malas prácticas en la comercialización transfronteriza de servicios de inversión por parte de entidades radicadas en otros países de la Unión Europea” del 24 de noviembre de 2020 bajo el título “Del furtivo cibernético al cazador desaprensivo: “Aviso al navegante” de la CNMV sobre determinadas malas prácticas en la comercialización transfronteriza de servicios de inversión por entidades radicadas en la UE”.
a.3) La de 10.12.2020 sobre “Ciberseguridad institucional: “phishing” del dominio de la CNMV en época de la pandemia del COVID 19” en la que dimos cuenta de la “Información al inversor” que publicó el 1 de diciembre la CNMV de “Alerta sobre intentos de fraude a inversores utilizando la identidad e imagen de la CNMV”.
b) La responsabilidad civil derivada de ilícitos penales.
Dado que los operadores financieros pueden hacer uso de los recursos digitales para cometer delitos (por ejemplo, los operadores empresariales o profesionales de los sistemas de IA serán responsables civiles de sus resultados patrimoniales) y en cuanto interesa a la responsabilidad civil derivada de estos delitos destaqué tres aspectos generales:
a) Primero, el que establece el principio mismo de imputación accesoria al autor del delito o falta, responsable penal de aquella; de esa responsabilidad civil derivada de delito o falta en el artículo 116 del Código Penal .
b) Segundo, el que señala que esta responsabilidad civil derivada de delito se enjuicia por la Jurisdicción criminal, aplicando las reglas generales del Derecho común que establece el Código Civil, como así lo tiene establecido la Sala Segunda de lo Penal del Tribunal Supremo .
c) Tercero, el que establece la responsabilidad civil directa de los aseguradores de la responsabilidad civil ex art.117 del CP.
Tomé como ejemplo paradigmático la Sentencia núm.92/2017, de 16 de febrero de 2017, de la Sección 1ª de la Sala Segunda de lo Penal del Tribunal Supremo (Ponente: Excmo. Sr. Cándido Conde-Pumpido Touron, Recurso de casación 1245/2016, RJ 2017\647, LA LEY 4627/2017) que resuelve un caso de manipulación de un dominio de internet de una empresa pública española para estafar a varias empresas extranjeras.
En concreto, se trataba de un caso en el que, a partir del mes de agosto de 2010, un conjunto de personas, actuando desde varios países (fundamentalmente Nigeria y España) decidieron aprovecharse del prestigio internacional de MAYASA, MINAS DE ALMADÉN Y ARRAYANES SA, empresa española dedicada a la explotación y comercialización de recursos naturales, en especial mercurio, para obtener un beneficio económico injustificado. A tal efecto, crearon el dominio www.mayasaespana.com, alojado en el Reino Unido. Seguidamente desarrollaron una página web a la que se accedía a través de dicho dominio, imitando el estilo, diseño y contenido de la página web www.mayasa.es, perteneciente a la empresa española, eliminando los datos de contacto auténticos y sustituyéndolos por otros. De esta manera, cuando los clientes de MAYASA accedían por error a la página web alojada en el dominio www.mayasaespana.com, se les facilitaban teléfonos de contacto y direcciones de correo electrónico que correspondían a personas que actuaban en concierto con los que habían creado la falsa página web. Así, los clientes de MAYASA, creyendo estar en contacto con empleados o agentes comerciales de dicha entidad, contactaron con personas que nada tenían que ver con la empresa, quienes, actuando en colaboración con los que habían creado la falsa página web, ofrecían partidas de mercurio a precios ventajosos, exigiendo que se remitiera a las cuentas por ellos designadas cantidades en efectivo por adelantado, en concepto de señal o como confirmación de los pedidos. Seguidamente, el grupo de personas abrían las cuentas corrientes donde se producirían los ingresos y remitían posteriormente las cantidades obtenidas fuera del país, bien directamente mediante transferencias a empresas extranjeras, bien mediante sucesivas retiradas de dinero en efectivo, para su posterior reenvío al extranjero. Finalmente, los tres acusados, en ejecución del plan preconcebido, lograron que 4 empresas extranjeras les adelantaran cantidades de dinero ocasionándoles los siguientes daños: a una empresa radicada en la India, 17.283,44 euros; a una empresa radicada en Arabia Saudí, 23.154 euros; a ua empresa radicada en Singapur, 99.799,95 euros; y a una empresa radicada en Turquía, 14.000 euros (el lector interesado puede consultar la entrada de este blog de 17 de abril de 2017 sobre “FINTECH, ciberseguridad, manipulaciones de dominios de internet, “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente”).
c) Referencia especial a las operaciones con criptoactivos y criptomonedas como fuente de responsabilidad civil del operador
Finalice este apartado con una referencia especial a las operaciones con criptoactivos y criptomonedas como fuente de responsabilidad civil del operador. En concreto, expuse los riesgos de los criptoactivos y, en particular, de las criptomonedas en tres secciones dedicadas a los riesgos sistémicos de los criptoactivos en general y de las criptomonedas, en particular, los riesgos detectados antes de la crisis económica derivada de la pandemia del COVID 19 y los riesgos derivados de la crisis económica derivada de la pandemia del COVID 19 (el lector interesado puede consultar nuestro estudio reciente sobre “Ciberdelincuencia con criptoactivos: algunos casos paradigmáticos recientes en España” publicado en la RDBB 163, julio-septiembre 2021, pág,279 y ss.).
Me referí, en concreto, a los casos Algorithms Group (el lector interesado puede consultar la entrada de este blog de 13 de abril de este año 2021 sobre la “Crónica de una muerte anunciada”: primera macroquerella por presunta estafa con criptomonedas”) y Arbistar (el lector interesado puede consultar la entrada de este blog de 28 de abril de este año 2021 sobre “Ciberdelincuencia con criptomonedas. La estafa piramidal de Arbistar es investigada por el Juzgado Central de Instrucción 4 de la Audiencia Nacional”).
SEGURO
Estructuré este último apartado de mi ponencia en torno al caso paradigmático de la responsabilidad civil derivada del uso de la inteligencia artificial y su aseguramiento, Y, para evitar reiteraciones innecesarias, reproduzco a continuación las conclusiones el respecto de sendos estudios publicados en la materia (se trata de los siguientes “La responsabilidad civil derivada del uso de la inteligencia artificial y su aseguramiento”, publicado en España en la Revista de la Asociación Española de Abogados Especializados en Responsabilidad Civil y Seguro n.º 76 (2020), pp. 79 a 104 y “La Responsabilidad Civil derivada del uso de la Inteligencia Artificial y su Aseguramiento” publicado en Colombia en la, Revista Ibero-Latinoamericana de Seguros, Vol. 30, Núm. 54, 2021, pp. 107-146):
Novena El aseguramiento de la responsabilidad civil de los operadores de sistemas de inteligencia artificial se realizará mediante un seguro de responsabilidad civil que presentará tres características esenciales: será un seguro obligatorio para los sistemas de inteligencia artificial de alto riesgo y voluntario para el resto de sistemas de inteligencia artificial; será un seguro de responsabilidad civil empresarial o profesional; y podrá estructurarse como un seguro individual o colectivo.
Décima.. El seguro de responsabilidad civil de los de los operadores de sistemas de inteligencia artificial se regirá por la normativa específica que le resulte aplicable, cuando se trate de un seguro obligatorio de los sistemas de inteligencia artificial de alto riesgo y por la Ley de Contrato de Seguro, que se aplicará con carácter imperativo por regla general o dispositivo si se trata de un seguro por grandes riesgos que cumpla los requisitos del art. 11 de la LOSSEAR. Todo ello sin perjuicio de que el asegurador deba cumplir con las normas de conducta –especialmente en materia de documentación e información-que le imponen la LOSSEAR y el ROSSEAR.
Undécima. Los puntos críticos del seguro de responsabilidad civil de los operadores de sistemas de inteligencia artificial serán: la delimitación material de la cobertura, con las inclusiones y exclusiones pactadas en la póliza; la delimitación temporal de la cobertura, con la precisión de las reclamaciones cubiertas; el régimen de la defensa jurídica del operador demandado y de la acción directa del usuario perjudicado frente a la aseguradora.
Duodécima. El diseño adecuado del seguro de responsabilidad civil de los operadores de sistemas de inteligencia artificial deberá producir un doble y recíproco beneficio: para los operadores, cuyo patrimonio se mantendrá indemne frente a las reclamaciones de los usuarios perjudicados; y para los usuarios, que contarán con la garantía preventiva y adicional prestada por el asegurador.
Por último, el lector interesado puede consultar la entrada de este blog de 11 de octubre de este año 2021 sobre “Por qué los proveedores de servicios de criptoactivos deben estar obligados a suscribir un seguro obligatorio de responsabilidad civil profesional” en la que me refería a la conferencia impartida día 8 de octubre de 2021, en la Jornada de cláusula del III Congreso Internacional de Derecho del Seguro sobre “El seguro de personas y la nteligencia artificial”, dirigido por mi querido amigo y compañero Abel Veiga Copo y organizado por la Cátedra Uría Menéndez-ICADE de regulación de los mercados).