Dolandırıcılık e-postası: Siber sigortanın zararı telafi etmesi gerekmiyor

Aramizda

Aktif Üye
Yüksek banka ücretleri, yabancı bir tedarikçinin finansal kurumu değiştirmesine neden olur. Müşterisine yeni banka bilgilerini e-posta yoluyla bildirir ve ardından yeni hesaba toplam 85.000 Euro tutarında dört transfer başlatır. Ne yazık ki, iddia edilen banka değişikliği, tedarikçinin Exchange sunucusunu kıran ve bunu bilinen bir gönderen adını kullanarak e-posta göndermek için kullanan bir dolandırıcının yaptığı bir hiledir. Bankalar parayı geri alamadığından mahrum kalan mükellef, hem ağ güvenliği ihlalleri hem de dolandırıcılıktan kaynaklanan zararlar için yaptırdığı siber sigortasına yöneliyor. Ama sigorta ödeme yapmıyor.


Reklamcılık



Haklı olarak, Hagen Bölge Mahkemesinin artık bilinen bir kararından da görülebileceği gibi (Az. 9 O 258/23). Çünkü sigortalının uğradığı zarar hiçbir şekilde sigortalı bir olay değildir.

Yalnızca kendi ağınıza yönelik saldırılar kapsam dahilindedir


Bu böyle oluyor: Sigorta hüküm ve koşulları, ağ güvenliği ihlallerini “poliçe sahibinin bilgi teknolojisi sistemlerinin, bileşenlerinin veya süreçlerinin kullanılabilirliğine, bütünlüğüne ve gizliliğine yönelik bozulmalar” olarak tanımlıyor. Ancak failler, sigortalı adına herhangi bir şeyi tehlikeye atmamış, bunun yerine üçüncü bir tarafın, yani tedarikçinin Exchange sunucusunu tehlikeye atmışlardır. Buna ek olarak, sigorta hüküm ve koşulları, sigortalı ağ güvenliği ihlalinin olmadığı durumlara ilişkin örnekler içerir; bunlara etkiler poliçe sahibi üzerinde de meydana gelse bile “üçüncü taraf ağlarındaki bozulmalar” ve ayrıca “sahte başkan saldırıları” dahildir. Simüle edilmiş bir e-posta adresi kullanarak” Poliçe sahibinin ağına herhangi bir müdahale olmadan.

Mahkeme, “Bu standart örneklerden, ortalama ve makul bir poliçe sahibi, yukarıda bahsedilen standart örneklerle benzerlikler taşıyan mevcut davanın sigortalanan risklerden biri olmadığını anlayabilir” diye açıklıyor. “Sigorta kapsamının ön koşulu, poliçe sahibi açısından mevcut olmayan bir ağ güvenliği ihlali olmaya devam ediyor.”

Ancak dolandırıcılıktan kaynaklanan zararların teminatı da geçerli değildir. Sigorta şartlarına göre bu durum, bir çalışanın “suç teşkil eden bilgi güvenliği ihlali nedeniyle” kandırılarak ödeme yapması durumunda geçerlidir. Bilgi güvenliği ihlali terimi, spesifik olayda bulunmayan hususlara ek olarak, poliçe sahibinin ağındaki daha önce bahsedilen ağ güvenliği ihlallerini de içerir. Ancak böyle bir yaralanma sadece sigorta kapsamına girmeyen tedarikçide meydana geldi.

Maddeler şeffaftır


Davacı şirket, Alman Medeni Kanunu'nun (BGB) 307. maddesine atıfta bulunarak sigorta şartlarının geçersiz kılınmasını sağlamaya çalışmıştır. Bunlar haksız ayrımcılık yapan genel şartlar ve koşullardır. Ancak mahkeme, ihtilaflı hükümlerin sigorta kapsamını kısıtlamadığını, daha ziyade ilk etapta neyin kapsandığını tanımladığını açıkladı.

Ek olarak, maddeler şeffaf değildir ve bu nedenle kabul edilebilirdir: “Siber sigorta için tipik bir durumdur ve ortalama bir müşteri tarafından, dolaylı etkiye sahip küresel hacker saldırılarının değil, yalnızca kendi BT sistemlerinin riskinin korunması gerektiği görülebilir. Sigorta koşulları poliçe sahibi çerçevesinde açık ve anlaşılır bir şekilde formüle edilmiştir. Ağ güvenliği ihlali, kişinin kendi ağlarının bozulmasına neden olmalıdır.”



Hagen Bölge Mahkemesi, şirketin e-posta sunucusu yeterince güvenli olmayan yabancı tedarikçiyi zararsız tutup tutamayacağı sorusuyla ilgilenmek zorunda kalmadı. Tedarikçinin sunucu güvenliğini büyük ölçüde ihmal edip etmediği ve Alman şirketi ile yabancı tedarikçisi arasındaki orijinal sözleşmenin hangi yasaya göre imzalandığı bilinmediğinden, bu durum dışarıdan değerlendirilemez. Standart e-posta sahtekarlığı vakalarında, Alman yasalarına göre, sahte hesaplara para aktaran müşteriler zarara uğramaktadır.


(ds)