Rynki finansowe i ubezpieczeniowe, podobnie jak my wszyscy, z coraz większą uwagą przyglądają się rozwojowi AI. Wielu komentatorów w tym rozwoju upatruje zagrożenia dla miejsc pracy. Zdaniem ekspertów nie ma już odwrotu przed tym technologicznym krokiem, a jego postęp i dominacja w pewnych dziedzinach jest nieunikniona.
Jaki wpływ będzie miała sztuczna inteligencja na regulacje dotyczące branży ubezpieczeniowej?
Szkody cybernetyczne nie są niczym nowym. Już od wielu lat świadomi zagrożenia cyberatakami przedsiębiorcy inwestują w infrastrukturę i bezpieczeństwo w IT, poszukując najwyższej klasy narzędzi ochrony oprogramowania, przechowywanych danych, a także ochrony przed złośliwym oprogramowaniem.
AI również może służyć ochronie, choć z drugiej strony może stać się groźnym narzędziem w rękach cyberprzestępców. Mogą oni wykorzystywać technologię AI do tworzenia zaawansowanych oszustw, tworzyć fałszywe profile, generować autentycznie wyglądające e-maile lub rozmowy w celu wprowadzenia przedsiębiorców w błąd i wyłudzenia danych lub pieniędzy.
Sztuczna inteligencja to tylko narzędzie
AI, jak każde narzędzie, może być wykorzystana, aby pomagać ludziom, ale niewłaściwie użyta może szkodzić. Obecny rozwój już teraz pozwala na jej wykorzystywanie np. dla imitowania ludzkiego głosu. Na skutek zaawansowania tej technologii stwarza się kolejne ryzyko wycieku wrażliwych danych klientów przedsiębiorców, ale także danych bankowych samych spółek. W praktyce spotkałam się już ze sprawami, w wyniku których przedsiębiorcy stracili środki finansowe lub sami przekazali dane hakerom.
Wiele ostatnio napisano o tzw. phishingu i świadomi uczestnicy obrotu prawnego coraz ostrożniej podchodzą do wiadomości otrzymywanych drogą e-mailową czy telefoniczną, nowym zagrożeniem jest właśnie wykorzystanie AI w tego rodzaju procederach. Dosyć powszechne stało się bowiem wykorzystywanie jej do prowadzenia rozmów gospodarczych, przedstawiania ofert, badań ankietowych, np. badania satysfakcji z usług bankowych, weryfikowania haseł i innego rodzaju działalności „sprawdzająco-kontrolnej”.
Wystarczy jednak, że przedsiębiorca nie rozpozna, że jego rozmówcą jest właśnie robot, i przekaże mu wrażliwe dane. Czy w przypadku, gdy AI będzie udawała konsultanta banku, firmy księgowej lub pracownika urzędu skarbowego, wystarczającym produktem dla ochrony mienia i danych przedsiębiorców będzie zwykłe ubezpieczenie cyber risk?
Ryzyka w przestrzeni cyfrowej
Technologie cyfrowe obecne są już właściwie w każdym rodzaju biznesu, co oznacza, że wszechobecne stały się także tego typu zagrożenia. Nie wyobrażamy sobie funkcjonowania całkowicie offline, bez komputera, komunikatorów o zaawansowanym poziomie technologicznym, przy użyciu których można zarządzać własnym biznesem zdalnie, praktycznie z dowolnego miejsca na świecie. Im bardziej integrujemy je z naszą pracą i prywatnymi aktywnościami, tym bardziej wzrasta ryzyko, że nasze dane zostaną zaatakowane i niewłaściwie wykorzystane.
I właśnie dlatego ciekawe jest przyjrzenie się reakcjom rynku ubezpieczeniowego na szkody ubezpieczeniowe spowodowane przez AI, aby przeanalizować, czy obecne na rynku produkty ubezpieczeniowe są wystarczające w obliczu galopującego rozwoju technologicznego.
Czy polisy cyber risk pokryją wszelkie zagrożenia?
Z punktu widzenia klienta TU logiczne wydaje się, że nabycie ubezpieczenia typu cyber risk powinno zabezpieczać przed każdego rodzaju ryzykiem cybernetycznym. Takie jest potoczne rozumienie wielu rodzajów ubezpieczeń, pomimo istnienia w nich klauzul wyłączających odpowiedzialność ubezpieczyciela.
Co do zasady ubezpieczenie cyber risk faktycznie służy pokryciu strat i kosztów wywołanych atakami hakerów. Jednak coraz częściej widzimy w praktyce, że w rozwiniętych gospodarkach zdarzają się zmasowane ataki na konta bankowe firm, dane wrażliwe, wywołane przez AI.
Analogicznie do dyskusji, która toczy się wokół prawa autorskiego, co do możliwości objęcia twórczości AI tymi prawami, tak i w dziedzinie ubezpieczeń należy niezwłocznie rozważyć, czy skutki ataków typu hakerskiego dokonane przez AI będą chronione polisami cyber risk. A może mogą one zostać zakwalifikowane jako akty terroru i podlegać wyłączeniom zawartym w OWU?
I choć w Polsce rewolucja cybernetyczna przebiega nieco wolniej niż w USA, doskonałym tłem dla tych pytań jest sprawa, która toczyła się przed Sądem Stanu Illinois z powództwa spółki Mondelez p-ko Zurich Insurance. Sprawa ta ma wiele wątków, jednak porusza właśnie zagadnienie potraktowania ataków hakerskich na agencje rządowe i wywołanych nimi strat dla sektora prywatnego jako aktów terroru, wyłączających odpowiedzialność ubezpieczyciela.
Najbliższe lata przyniosą w tym zakresie wiele dyskusji, jednak już w najbliższym czasie rynek ubezpieczeniowy powinien zająć się wyzwaniami, jakie stawia rozwój technologii, w tym rozwój AI. Z praktyki prawniczej wynika bowiem, iż coraz częściej przedsiębiorcy mają kontakt z botami, a stąd już tylko krok do kradzieży danych i niepowetowanych szkód. Być może bowiem w niedługim czasie AI zastąpi hakerów, a phishing stanie się zjawiskiem masowym, jeszcze bardziej zaawansowanym.
Wobec wyzwań, jakie stawia przed rynkiem ubezpieczeniowym to zagadnienie, w kolejnych artykułach dokonam analiz praktycznych rozwiązań w zakresie produktów ubezpieczeniowych cyber risk obowiązujących już w poszczególnych krajach Europy i USA, aby możliwie najpełniej oddać obraz doganiającej nas sytuacji współistnienia rzeczywistości z AI w przestrzeni gospodarczej. I to nie tyle aspektami, które służą przedsiębiorcom, lecz zwłaszcza tymi, które stworzone zostały wbrew ich interesom, ale podlegać będą samorozwojowi, być może poza jakąkolwiek kontrolą.
mec. Marta Olczak-Klimek
Podsumowanie
- Rozwój AI jest nieunikniony. Stanowi nie tylko ułatwienie, ale też zagrożenie dla przedsiębiorców.
- Zagrożenia cybernetyczne wczoraj, dziś i jutro.
- Czy polisy cyber risk obejmą wszystkie rodzaje ataków? Czy straty spowodowane przez AI powinny być wyłączone z ochrony ubezpieczeniowej?
- Zatarcie granic pomiędzy światem rzeczywistym a wirtualnym, dziełem ludzkich rąk a wytworami AI.
- Kierunki rozwoju branży ubezpieczeniowej determinuje cyberbezpieczeństwo.
