Cap mesura de seguretat es infal.lible. Per moltes proteccions que implementis, sempre existeix un risc residual de patir un ciberatac. Una asseguranca de ciberrisc (ciberasseguranca o ciber-polissa) es la xarxa de seguretat financera que protegeix la teva PIME quan les mesures preventives no han estat suficients.
Segons l’informe de Hiscox 2024, el 53% de les empreses espanyoles van patir almenys un ciberatac durant l’any anterior, i el cost mitja per a les PIMEs va ser de 50.000 EUR. Tanmateix, nomes el 25% de les PIMEs espanyoles compten amb una asseguranca de ciberrisc. El desconeixement del producte i la percepcio que “aixo no em passara a mi” son les principals barreres.
Que cobreix una ciberasseguranca
Una asseguranca de ciberrisc tipica te diverses capes de cobertura:
1. Resposta a incidents (Primera linia)
Quan passa un incident, necessites experts immediatament. La ciberasseguranca cobreix:
- Equip de resposta a incidents (IR): Professionals de ciberseguretat que investiguen l’incident, contenen l’atac i restauren els sistemes.
- Analisi forense: Determinar com va entrar l’atacant, quines dades van ser compromeses i quins sistemes estan afectats.
- Assessoria legal: Advocats especialitzats en proteccio de dades que et guien en les notificacions del RGPD i l’AEPD.
- Gestio de crisi i comunicacio: Professionals de relacions publiques per gestionar la comunicacio amb clients, mitjans i parts afectades.
2. Costos directes de l’incident
- Restauracio de sistemes i dades: Costos de reinstal.lar sistemes, recuperar dades i posar la infraestructura en funcionament.
- Perdua de beneficis: Compensacio per la facturacio perduda durant el temps que els sistemes estan inoperatius.
- Pagament de rescats: Algunes assegurances cobreixen el pagament de rescats de ransomware (tema controvertit que abordarem mes endavant).
- Notificacio a afectats: Costos de notificar individualment als clients les dades dels quals hagin estat compromeses (obligatori pel RGPD).
3. Responsabilitat civil davant tercers
- Reclamacions de clients: Si les dades personals dels teus clients es filtren i aquests presenten reclamacions.
- Sancions regulatories: Cobertura parcial de multes de l’AEPD (fins on la llei ho permet).
- Defensa juridica: Costos d’advocats en cas de litigis derivats de l’incident.
- Danys a tercers: Si l’incident a la teva empresa afecta els sistemes de clients o proveidors.
4. Cobertures addicionals frequents
- Extorsio cibernetica: No nomes ransomware, sino tambe amenaces de publicar dades robades.
- Frau electronic: Perdues per estafes tipus BEC (Business Email Compromise) o transferencies fraudulentes.
- Danys reputacionals: Costos de campanyes de recuperacio d’imatge.
- Responsabilitat multimedia: Reclamacions per contingut publicat a la teva web (difamacio, infraccio de copyright).
Que NO cobreix una ciberasseguranca
Es important entendre les exclusions habituals:
- Incidents coneguts abans de la contractacio: Si ja sabies que hi havia una bretxa quan vas contractar l’asseguranca.
- Actes intencionats de l’assegurat: Si l’incident va ser provocat deliberadament per la direccio.
- Guerra cibernetica: Atacs atribuits a estats-nacio (exclusio de guerra).
- Millores d’infraestructura: L’asseguranca restaura a l’estat anterior, no paga per millores.
- Multes penals: Les multes de caracter penal mai son assegurables.
- Perdua de propietat intel.lectual: Dificil de quantificar i generalment exclosa.
- Incompliment previ de normativa: Si no complies amb el RGPD abans de l’incident, la cobertura pot veure’s afectada.
Quant costa una ciberasseguranca per a una PIME
El preu depen de diversos factors:
| Factor | Impacte en el preu |
|---|---|
| Sector d’activitat | Alt risc (sanitat, finances, legal) = major prima |
| Facturacio anual | Major facturacio = major exposicio = major prima |
| Nombre d’empleats | Mes empleats = major superficie d’atac |
| Volum de dades personals | Mes dades = major risc RGPD |
| Mesures de seguretat existents | Millor seguretat = menor prima (descomptes) |
| Historial d’incidents | Incidents previs = major prima |
| Limit de cobertura | Major limit = major prima |
Preus orientatius a Espanya (2025-2026)
| Perfil d’empresa | Facturacio | Limit cobertura | Prima anual aprox. |
|---|---|---|---|
| Autonom / microempresa (1-5 empleats) | Fins a 500.000 EUR | 100.000 EUR | 300-600 EUR/any |
| PIME petita (5-20 empleats) | 500.000-2M EUR | 250.000 EUR | 600-1.500 EUR/any |
| PIME mitjana (20-50 empleats) | 2-10M EUR | 500.000 EUR | 1.500-4.000 EUR/any |
| PIME gran (50-250 empleats) | 10-50M EUR | 1M EUR | 4.000-15.000 EUR/any |
Aquests preus son orientatius. La prima real dependra de l’avaluacio de risc de l’asseguradora.
Comparativa d’asseguradores a Espanya
| Asseguradora | Producte | Des de | Caracteristiques |
|---|---|---|---|
| Hiscox | CyberClear | ~350 EUR/any | Especialista en ciber, molt completa, servei 24/7 |
| Zurich | Ciber Seguro | ~500 EUR/any | Multinacional, bona cobertura de responsabilitat civil |
| AXA | Cyber Proteccion | ~400 EUR/any | Integracio amb altres assegurances AXA, assistencia tecnica |
| Mapfre | Ciber On | ~300 EUR/any | Amplia xarxa a Espanya, bon preu per a autonoms |
| Chubb | Cyber ERM | ~600 EUR/any | Especialitzacio corporativa, limits alts |
| Beazley | Breach Response | Consultar | Referent internacional, servei IR excel.lent |
Recomanacio: Sol.licita almenys 3 pressupostos i compara no nomes el preu sino les cobertures, exclusions, limits i serveis inclosos (IR, legal, forense).
Quan val la pena contractar-lo
Una ciberasseguranca es especialment recomanable si:
- Tractes dades personals sensibles: Dades de salut, dades financeres, dades de menors.
- El teu negoci depen de sistemes digitals: E-commerce, SaaS, serveis professionals digitals.
- Treballes amb clients grans: Que poden exigir-te una asseguranca de ciberrisc com a requisit contractual.
- El teu sector esta regulat: Sanitat, finances, legal, educacio.
- No podries assumir 50.000 EUR de perdues: Si un incident greu posaria en risc la viabilitat de la teva empresa.
Una ciberasseguranca pot ser menys prioritaria si:
- La teva empresa es molt petita i amb prou feines te presencia digital.
- No tractes dades personals de tercers.
- Ja tens mesures de seguretat molt solides i un pla de resposta provat.
- Tens reserves financeres suficients per assumir un incident.
Debat: les assegurances que cobreixen el pagament de rescats
Algunes polisses cobreixen el pagament de rescats de ransomware. Aquest es un tema controvertit:
Arguments a favor:
- Pot ser l’unica opcio si els backups estan compromesos i el negoci esta paralitzat.
- La decisio de pagar o no ha de ser pragmatica, no moral.
Arguments en contra:
- Pagar rescats financa la industria criminal i perpetua els atacs.
- No hi ha garantia que els atacants retornin les dades despres del pagament.
- Pagar un cop et converteix en objectiu per a futurs atacs.
- Alguns paisos estan considerant prohibir els pagaments de rescats.
La nostra recomanacio: Inverteix en prevencio (backups solids, formacio, seguretat basica) perque mai hagis de plantejar-te pagar un rescat. L’asseguranca ha de ser l’ultima linia de defensa, no la primera.
Com preparar-te per contractar una ciberasseguranca
Les asseguradores avaluaran el teu nivell de seguretat abans d’oferir-te un preu. Tenir aquestes mesures implementades pot reduir significativament la teva prima:
- MFA activat en tots els serveis critics.
- Copies de seguretat automatiques seguint la regla 3-2-1.
- Antivirus actualitzat en tots els equips.
- Formacio anual en ciberseguretat per a empleats.
- Politica de contrasenyes documentada i aplicada.
- Pla de resposta a incidents documentat.
- Programari actualitzat (sense sistemes operatius obsolets).
- Tallafocs configurat correctament.
Moltes asseguradores ofereixen un questionari d’autoavaluacio que has de completar abans de la contractacio. Respon amb honestedat: si declares tenir mesures que en realitat no tens, l’asseguradora podria rebutjar la reclamacio.
Conclusio
Una ciberasseguranca no substitueix la prevencio, pero la complementa. Es la diferencia entre que un ciberatac sigui un contratemps costos o la fi del teu negoci.
Per a una PIME espanyola tipica, una polissa de ciberrisc costa entre 300 i 1.500 EUR a l’any. Comparat amb el cost mitja d’un incident (50.000 EUR) i la probabilitat de patir-ne un (53% segons Hiscox), la relacio cost-benefici es clara.
Sol.licita pressupostos, compara cobertures i assegura’t d’entendre les exclusions. I sobretot: fes servir la contractacio de l’asseguranca com a motivacio per millorar el teu nivell de seguretat, perque les mesures preventives continuen sent la millor proteccio.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat ni assessorament en assegurances. Consulteu un corredor d’assegurances i un especialista en ciberseguretat certificat per a solucions especifiques a la vostra empresa.
