Tra il 2014 e il 2015 l’Università della California (UCLA) e in particolare l’attività ospedaliera (Health) è stata vittima di un attacco informatico che ha portato alla sottrazione di dati sensibili riguardanti 4,5 milioni di pazienti. L’attacco degli hacker era arrivato alla fine di una lunga campagna contro l’assicuratore sanitario statunitense Anthem. A quel tempo, l’UCLA era stata criticata per non aver crittografato i dati dei pazienti.
Oggi il caso torna di attualità in seguito alla denuncia presentata presso la corte superiore di Los Angeles dall’Università contro i Lloyd’s di Londra che si sono sempre rifiutati di coprire le perdite subite in seguito all’attacco degli hacker, secondo quanto previsto dalla polizza sottoscritta. Della faccenda si è occupato anche il Wall Street Journal.
A causa dei mancati pagamenti, l’UCLA ha dovuto metter mano a oltre 7,5 milioni di dollari per risarcire le vittime dell’attacco, in seguito a diverse azioni legali collettive.
Secondo la causa intentata presso la Corte Superiore di Los Angeles, “Regents of the University of California v. Certain Underwriters at Lloyd’s, 238TCV14642, California Superior Court (Los Angeles), i 26 Regent che fanno parte del board dell’Università della California, sostengono che gli assicuratori dei Lloyd’s si sono “ripetutamente rifiutati di coprire” le perdite. Secondo quanto denunciato, tale diniego si basa unicamente su una “presunta” condizione, non menzionata in alcuno dei contratti assicurativi, in base alla quale l’Università avrebbe segnalato il sinistro oltre il termine di prescrizione, scaduto nel giugno 2021, ma l’UCLA sostiene che nonostante l’attacco degli hacker abbia avuto luogo nel 2014, l’intera portata della violazione è stata scoperta solamente un anno dopo.
Secondo i “syndicate” dei Lloyd’s, l’Università della California non avrebbe rispettato le disposizioni sulla sicurezza informatica della polizza, accusa rigettata al mittente da UCLA.
Lo scenario delle assicurazioni informatiche ha recentemente subito cambiamenti significativi. Con l’aumento della frequenza e della gravità degli attacchi ransomware, phishing e denial of service, la domanda e le condizioni per la copertura si sono evolute. “Sarà pertanto interessante seguire il caso University of California/Lloyd’s of London, perché potrebbe costituire un precedente per come la legge interpreta la richiesta di limitazione (o Statute of Limitations) della difesa in questo contesto, ma anche le clausole contrattuali in caso di disastro”, ha detto Paul Watts, analista dell’Information Security Forum. “È importante attirare l’attenzione delle aziende su due aree chiave: leggere e comprendere le polizze assicurative informatiche e l’importanza di una comunicazione efficace e proattiva tra le aziende e i loro assicuratori”.