Por Gorka Arrechea, Líder en Suscripción

de la Vertical Tecnológica de Intact Insurace en Europa

Hace un año y medio me incorporé a RSA, hoy Intact Insurace, con el objetivo de contribuir al desarrollo de la nueva vertical tecnológica en Europa. Siempre me ha atraído el mundo de la tecnología y esta era la oportunidad perfecta para centrarme en él. Se trata de un sector que necesita su propio espacio dentro del seguro, no solo por su dinamismo, sino que también por la naturaleza única y cambiante de sus riesgos.

Por ello, creo firmemente que el suscriptor de empresas tecnológicas difiere del resto de ramos porque debe combinar conocimientos técnicos, regulatorios y de negocio para entender riesgos que evolucionan a la velocidad del software, evaluar arquitecturas de ciberseguridad, anticipar impactos en la cadena de suministro y diseñar pólizas modulares que eliminen huecos entre productos como E&O, Ciber y RC, algo que no ocurre con riesgos más tradicionales o estáticos.

La dependencia crítica de los sistemas, la exposición regulatoria y la interconexión con clientes y proveedores han hecho que un incidente grave pueda parar un negocio, erosionar su valor y dañar su reputación en cuestión de horas. Y cuando hablamos de parar el negocio, no solo hablamos del asegurado, sino de toda la cadena de valor. En España, el pulso es claro: la digitalización avanza más rápido que la protección, y los ataques, con especial protagonismo del ransomware, el fraude por desvío de pagos, y los ataques que afectan a la cadena de suministro, siguen creciendo en frecuencia y severidad. La conclusión es simple: no se trata de si ocurrirá un incidente, sino de cuándo y con qué impacto. Y en el caso de las empresas tecnológicas, debemos recordar que son piezas clave en el ecosistema global empresarial.

¿Qué mira (de verdad) un suscriptor cuando asegura “Tech”?

El proceso de suscripción exige ir más allá del checklist. En mi práctica, evalúo unas cuantas capas que, juntas, conforman el análisis de riesgo.

Primero empezamos con un análisis profundo de la actividad: la industria en la que opera la empresa, qué tipo de clientes tienen, que productos o servicios proporcionan, cuán esenciales son para sus clientes, que sustitutivos, competidores, proveedores, poder de negociación… aquí dependerá de cada caso, pero esta capa se puede hacer interminable. Con este análisis también empezamos a entender qué producto será el que se lleve la mayor parte del riesgo. En Intact Insurace, ofrecemos una solución multiproducto incluyendo cobertura de Responsabilidad Civil Profesional, Riesgos Cibernéticos, Responsabilidad Civil General, Responsabilidad Civil de Directores y Administradores, y Daños, combinando los dos primeros en un producto modulable.

Para seguir, entraremos en el mundo ciber. Aquí es esencial entender la defensa que tiene la empresa contra la entrada de personas no autorizadas y la facilidad con la que estas personas pueden sacar datos de los sistemas del asegurado o provocar una caída del sistema. Analizamos así su resiliencia en todas las capas: desde la identidad, asegurando autenticación MultiFactor y control de privilegios, hasta la red, con sistemas de detección y prevención de intrusiones, firewalls avanzados y WAF. También es clave la protección de endpoints y correo mediante soluciones EDR/XDR, la seguridad en entornos multicloud con políticas de Zero Trust y la capacidad de recuperación con copias inmutables y pruebas periódicas. A esto se suma la gestión proactiva de vulnerabilidades y parches, el cifrado y la visibilidad sobre los datos sensibles, así como la integración de herramientas SIEM/SOAR, inteligencia de amenazas y formación continua para reducir el riesgo humano, que sigue siendo el vector más crítico.

Después, es necesario profundizar en aspectos clave como el riesgo de fraude en las transferencias, las condiciones de los contratos estándar, tanto con clientes como con subcontratistas, los procedimientos internos para garantizar la calidad del servicio, las políticas de verificación de propiedad intelectual, el uso y desarrollo de inteligencia artificial, el historial de siniestralidad y, por supuesto, la posición actual del mercado.

Por el perfil de riesgo de estas cuentas, es primordial no dejar cabo suelto y revisar hasta el último detalle, pero este trabajo solo proporcionará valor al asegurado si el contrato del seguro va acorde con la complejidad de la exposición al riesgo de este sector.

Arquitectura de Póliza, Cómo Diseñar Sin Huecos

En un entorno tecnológico, los riesgos no son compartimentos estancos: los errores profesionales (E&O) y los ciberincidentes están íntimamente conectados. Un fallo en el desarrollo de software puede derivar en una brecha de datos; la pérdida de datos puede considerarse un error profesional; una interrupción por ransomware puede incumplir un SLA contractual. Las pólizas generalistas no están diseñadas para esta interdependencia: suelen tener exclusiones amplias, definiciones vagas y dejan zonas grises entre la RC Profesional y el Ciber. Es importante por lo tanto que para empresas tecnológicas estos riesgos se cubran en una póliza especializada y combinada. Desde Intact Insurace, nuestra solución combinada nace precisamente para eliminar esos huecos, ofreciendo cobertura integral para riesgos interconectados.

Ahondando en el riesgo que se nos transfiere específicamente por el hecho de que hay un dinamismo añadido en empresas tecnológicas, es importante que la definición de la actividad sea amplia. Si cogemos a Google como ejemplo, en 20 años ha realizado infinidad de actividades: empezó como un buscador, luego entró en publicidad digital, sistemas operativos, hardware, servicios en la nube, inteligencia artificial, seguridad cibernética y hasta automoción. Este nivel de diversificación es habitual en el sector, por lo que limitar la cobertura a una descripción rígida puede dejar huecos peligrosos. Una póliza bien diseñada debe anticipar esa evolución y ofrecer protección para cualquier actividad, garantizando continuidad incluso cuando el negocio innova o pivota.

Otro punto importante es la inclusión automática de subcontratistas. De la misma manera que en el anterior punto, es importante que la póliza contemple a estos terceros sin necesidad de nombrarlos individualmente, siempre que exista un contrato escrito y trabajen bajo la dirección del asegurado. Esto evita lagunas de cobertura en un sector donde la subcontratación es habitual y crítica para la prestación del servicio, garantizando que un error u omisión de un proveedor no se convierta en un riesgo descubierto.

Hoy en día es esencial no excluir la cobertura por el uso de la Inteligencia Artificial, especialmente cuando aseguramos a compañías que son pioneras en su desarrollo. Limitar esta protección dejaría fuera uno de los riesgos más relevantes y actuales del sector. Es un punto por el que estamos estudiando todas sus repercusiones, pero una póliza combinada debe contemplar los errores, fallos u omisiones derivados del uso o implementación de IA, garantizando que la innovación no se convierta en una brecha de cobertura.

Estos puntos y otros serán los que actualmente debamos de estar vigilando cuando queramos cubrir una empresa tecnológica, pero también debemos mirar a futuro, anticipando cómo evolucionarán los riesgos, qué nuevas tecnologías y regulaciones entrarán en juego y cómo adaptar nuestras coberturas para que sigan siendo relevantes y sin huecos en un entorno que evoluciona a gran velocidad.

Mirando Hacia Adelante: Innovación y Disciplina

El mercado de ciberseguros vive un ciclo blando, con más capacidad y primas competitivas, pero no debemos confundir precio con valor. La sofisticación de los ataques, el auge de la IA y la presión regulatoria (GDPR, NIS2, DORA) exigen soluciones más inteligentes, con coberturas afirmativas y servicios añadidos como análisis de vulnerabilidades o formación en ingeniería social.

Asegurar una empresa tecnológica no es solo cubrir un riesgo, es proteger un ecosistema crítico para la economía global. La combinación de coberturas en una sola póliza especializada es una necesidad para evitar huecos que pueden costar millones. En Intact Insurace, creemos que la innovación debe ir acompañada de protección inteligente, porque la resiliencia no se improvisa, se diseña.