Aunque esta implementación mejora las cifras de productividad y eficiencia en las empresas, es una situación que pone de relieve dos posibles riesgos para dichas empresas. Así, por un lado, se produce un aumento de la vulnerabilidad de las mismas por la posibilidad de sufrir un ciberataque a través de los sistemas de IA; y por otro se hace necesario adoptar medidas tendentes a minimizar y reducir los riesgos derivados de la responsabilidad civil generada por los propios sistemas de inteligencia artificial. Y esto lleva a la siguiente pregunta ¿Son asegurables los riesgos de la inteligencia artificial? La realidad es que las aseguradoras enfrentan varios desafíos al cubrir los riesgos asociados con los sistemas de IA.
La cobertura de los sistemas de IA en los seguros de ciberrriesgos
En las últimas semanas, grandes instituciones y empresas como Telefónica, Banco Santander, Iberdrola, la Dirección General de Tráfico (DGT) y la división española de Decathlon han sufrido ciberataques significativos, resultando en la pérdida masiva de datos. No obstante, aunque los ataques a grandes empresas son más visibles, las pymes son especialmente vulnerables debido a sus limitados recursos para invertir en ciberseguridad. Según un informe de Check Point, los ataques a pymes en España han aumentado un 50% en el último año y, según el estudio comisionado por Hitachi Vatara revela que siete de cada diez empresas han sufrido un ciberataque con secuestro de datos en el último año. [2]
La exposición a sufrir un ciberataque se ve además incrementada ante la implementación de los sistemas de IA, que en general, presentan vulnerabilidad a los ciberataques. Dada la gran cantidad de datos confidenciales que manejan, son objetivos muy atractivos para los ciberdelincuentes. Las violaciones de seguridad pueden dar lugar a la exposición o al acceso no autorizado a información personal, profesional o empresarial.
Ante esta situación cada vez más las empresas deciden contratar un seguro de ciberriesgos que cubra los riesgos adicionales que se producen con la inteligencia artificial. Sin embargo, la búsqueda de un seguro que cubra estos riesgos se convierte en una tarea nada sencilla, pues las Compañías que abarcan estos nuevos riesgos son escasas.
La responsabilidad civil y los sistemas de IA
La otra cara de la moneda es, además, que el uso de sistemas de IA en la empresa puede generar responsabilidad civil. No hablamos sólo de la aparición de los vehículos autónomos y la responsabilidad civil derivada de los accidentes que se producen. Eso es sólo la punta de un iceberg mucho más amplio, que va desde el uso de chatbots a modo de onboarding digital hasta sistemas de robótica autónoma en el ámbito industrial.
La responsabilidad civil es un aspecto crítico para las empresas que utilizan IA. ¿Cómo se maneja el daño y la responsabilidad civil derivada de las acciones u omisiones de la inteligencia artificial y otras tecnologías digitales en relación con terceros? ¿Son aplicables los esquemas tradicionales de responsabilidad civil que conocemos?¿Qué sucede, por ejemplo, en el análisis de datos masivos (big data) si un algoritmo comete un error en su predicción o en su evaluación de probabilidades?
La realidad es que los parámetros para la delimitación de estos riesgos aún no están claros, ya que las pólizas de la IA se encuentra en etapas iniciales de desarrollo, con modelos de cobertura que se están probando y ajustando continuamente. Además del hecho, de que los riesgos son notoriamente diversos, pues, por ejemplo, los vehículos autónomos deben cumplir con normativas sobre tráfico, seguridad vial y responsabilidad civil; mientras que el uso de chatbots puede generar responsabilidad civil de otra índole si fallan en sus predicciones o juicios de probabilidades, especialmente cuando se utilizan datos personales de manera masiva e indiscriminada.
Y nuevamente, el escenario para las empresas, es que aún hoy escasean las Compañías aseguradoras que cubren este tipo de riesgos.
¿Por qué hay pocas aseguradoras que cubran estos riesgos?
En el contexto de los seguros y la inteligencia artificial, la Unión Europea sugiere la necesidad de un análisis individualizado del riesgo, pero, como decimos, la delimitación del riesgo asegurado y la creación de modelos de cobertura aún están en fases muy iniciales.
Para abarcar toda la casuística de los sistemas de IA sería necesario realizar una evaluación del riesgo lo más individualizada posible. Por lo general, los riesgos de la IA que deben valorar las compañías aseguradoras pueden clasificarse en tres categorías principales:
-
Riesgo operativo: Relacionado con la robustez, seguridad y rendimiento de la tecnología.
-
Riesgo ético: Concierne a la justicia, transparencia y explicabilidad de las soluciones y modelos.
-
Riesgo regulatorio: Abarca el cumplimiento de regulaciones y la responsabilidad legal.
Cabría sumar, además, el hecho de que nos encontremos ante un riesgo tendente a variar de forma rápida, ante los avances continuos de la tecnología.
¿Qué pueden hacer las empresas para cubrir los ciberriesgos o su responsabilidad civil derivada de la IA?
En esta “batalla” en la que las empresas tecnológicas demandan cada vez más seguros con coberturas que abarquen los sistemas de IA, y las Compañías que apenas están empezando a valorar la inclusión de estos riesgos (en gran parte por el desconocimiento de cómo ponderarlos) se hace necesario aportar algo de claridad. Las empresas como conocedoras de sus sistemas de IA pueden ayudar a entender la delimitación y/o minimización de dicho riesgo para tratar de negociar estas coberturas.
Por un lado, respecto a la cobertura del ciberriesgo, la obligación básica de las empresas es adoptar una responsabilidad proactiva en la adopción de medidas técnicas y organizativas que abarquen sus sistemas de IA, tanto desde la perspectiva de la ciberseguridad como de la seguridad de los datos propiamente. Y realizar una reevaluación prácticamente continúa de dichos sistemas. Además, contratar una póliza con coberturas flexibles permitirá tener más margen para abarcar los posibles nuevos riesgos que puedan surgir ante la implementación de la IA.
Por otro, respecto a la cobertura de la responsabilidad civil, existe dos criterios clave a considerar. Así, por ejemplo, el desarrollo de un sistema IA con un Knowledge base cerrado minimiza de entrada los riesgos de alucinaciones, respecto a un sistema IA que puede acceder a toda la información abierta online. Y por otro, aunque la cuestión de quién es responsable en caso de daños causados por una IA autónoma puede llegar a ser compleja, por el momento, se puede solventar con la necesidad de que exista una supervisión humana. Este último punto es el que ha permitido a Tesla salir victorioso en diversos procesos judiciales en los que se le reclamó por responsabilidad civil por los accidentes de sus vehículos autónomos. Y es que Tesla indica que no son completamente autónomos y que exigen la supervisión del conductor, trasladando así la responsabilidad última al usuario.