Empresa de hosting, responsable de los perjuicios de un ciberriesgo

Cuarta Sesión de Veredicto Ejemplar

El Magistrado, José Luis Seoane Spiegelberg, estimó parcialmente la demanda contra una empresa de servicios de alojamiento web tras un fallo de seguridad en la misma
Olivier Marcén de la compañía AIG afirmó que “el cibercrimen mueve más dinero que el narcotráfico”
Objetivo: 

Analizar el ataque de un hacker al sitio web de una pyme alojada en un servidor de servicios de alojamiento web, como consecuencia del cual el atacante obtiene datos sensibles (números de tarjeta de crédito) de la cartera de clientes de la pyme. Se trata de un riesgo muy transcendente y rara vez cubierto por el mecanismo del seguro. Además, se introducirá el tema de la responsabilidad del prestador de servicios de alojamiento, que es uno de los temas más transcendentes para aquellas empresas que confían en este tipo de prestadores para alojar y gestionar su comercio electrónico. 

El Salón de Grados de la Facultad de Derecho de la Universidade da Coruña acogió ayer la última sesión del programa formativo sobre Responsabilidad Civil “Veredicto Ejemplar”, organizado por la “Cátedra Fundación Inade-UDC: Gestión del riesgo y el seguro”. El caso se centró en debatir acerca de la responsabilidad civil en el caso del ataque de un hacker al sitio web de una pyme que está alojado en un servidor de servicios de alojamiento web, lo que provoca que el atacante obtenga datos sensibles (números de tarjeta de crédito) de la cartera de clientes de la pyme. 

Se trataba de un caso en el que una empresa contaba con un portal de venta online cuyo alojamiento web estaba en manos de una compañía de hosting. Los clientes fueron los que demandaron a la pyme y a la empresa de hosting por daños materiales y morales tras el robo de sus datos y el uso de los mismos para realizar compras en otro país, pidiendo incluso indemnización por estos últimos. 

Sin embargo, según la sentencia del Magistrado, José Luis Seoane Spiegelberg, respecto a la demanda contra la empresa propietaria de la tienda online “no procedía imputación por falta de observancia de las medidas de seguridad, porque no le correspondían a ésta, sino a la empresa de hosting”, por la que la demanda quedó desestimada. 

Por la contra, la demanda contra la empresa de alojamiento web fue estimada parcialmente, ya que el juez consideró que “no había adoptado las medidas de seguridad adecuadas”. “La seguridad es innegociable”, añadía con firmeza. En lo referido a los daños morales, el Magistrado desestimó esta denuncia, porque consideraba que se trataba de un daño patrimonial, no moral.  Por último, durante su intervención, quiso destacar que “la sentencia es un punto de vista sobre la justicia, mi punto de vista”. 

Este último tribunal del programa de formación estuvo presidido por el Juez José Luis Seoane Spiegelberg, Presidente de la Audiencia Provincial de A Coruña.  Actuó como parte actora (en representación de los clientes cuyos datos fueron sustraídos) José Manuel Busto Lago, Catedrático de Derecho Civil de la Universidade da Coruña. E Ignacio Garrote Fernández Díez, Profesor Titular de Derecho Civil de la Universidad Autónoma de Madrid, intervino como parte demandada, representando a las empresas demandadas. 

Previo a la resolución del caso, la solución que ofrecería ante los riesgos expuestos la industria aseguradora fue aportada por Olivier Marcén, Director del producto CyberEdge de la Zona Sur de EMEA de AIG. Éste quiso hacer hincapié en que “el cibercrimen mueve más dinero que el narcotráfico”. Además, indicó que “tanto si la fuga es directa como si fue de un tercero, las consecuencias nos afectan y una póliza actuaría a nivel de responsabilidad civil, reputación, cubriendo la pérdida de beneficios, etc”.