Nel 2017 la società farmaceutica fu colpita da un incursione ransomware e subì danni per $ 1,4 miliardi
L’assicuratore Chubb aveva sostenuto che l’attacco, attuato con il malware russo NotPetya, si configurava come atto di guerra, escluso dalle coperture
L’attacco cyber che nel 2017 colpì la società farmaceutica Merck non può essere assimilato ad un atto di guerra e quindi alla società non possono essere negate le coperture previste dalla polizza assicurativa. Lo ha deciso – riferisce BestWire – la Superior Court del New Jersey che ha dato torto alla compagna Chubb la quale dovrà ora pagare i danni subiti dalla cassa farmaceutica secondo quanto previsto dalla polizza.
Il 27 giugno 2017, i sistemi informatici di Merck furono infettati dal malware NotPetya, che colpì i suoi 40mila computer in tutto il mondo, provocando perdite per oltre 1,4 miliardi di dollari.
Merck e il suo assicuratore captive International Indemnity avevano acquistato da Chubb una protezione assicurativa sulla proprietà, con un massimale di $ 1,75 miliardi. E quella polizza all-risk comprendeva tra gli eventi considerati, anche i danni derivanti dalla distruzione o dalla corruzione di dati e software dei computer.
La compagnia aveva affermato che la polizza conteneva un’esclusione applicabile ai casi di guerra e questa fattispecie ricorreva nel caso in questione in quanto la fonte del malware “era uno strumento della Federazione Russa nell’ambito delle sue ostilità in corso contro la nazione ucraina”. La sentenza del giudice Thomas J. Walsh della Superior Court of New Jersey ha invece affermato che l’attacco NotPetya non è stata un’azione statale ma una forma di ransomware (attacchi cyber che includono la richiesta di un riscatto) e, anche se fosse stato istigato dalla Russia, l’esclusione per casi di guerra non sarebbe stata applicabile.
Gli assicuratori – ha scritto ancora il giudice – “non hanno fatto nulla per cambiare il linguaggio dell’esclusione per avvisare l’assicurato che intendevano escludere gli attacchi informatici”. Ed ora devono pagare i danni.
Leggi anche Usa: attacco cyber a studio legale che serve molti grandi emittenti statunitensi
