XXX Foro de Gestión de Corredurías de Adecose
La ciberseguridad y el impacto de los eventos catastróficos en el sector han sido dos de los principales temas abordados en el XXX Foro de Gestión de Corredurías de Adecose. Un encuentro en el que se ha incidido en el valor de la prevención y el análisis de los riesgos para evitar unas amenazas cada vez más en boga y con una incidencia creciente en la industria aseguradora. Todo ello sin dejar de hacer hincapié en el valor del uso de la IA en el desarrollo de los negocios de mediación.
ARTÍCULO PUBLICADO EN LA REVISTA PYMESEGUROS Nº 147
La jornada se abrió, precisamente, con un panel en el que se abordaron las novedades del Proyecto de Inteligencia Artificial que Adecose está desarrollando en colaboración con la empresa Advisory Experts. Moderado por David Salinas, tesorero y responsable del Área Tecnológica de la asociación, contó con la participación de Pedro Castaño e Íñigo Imizcoz, Managing Director y Data & Analytics Manager de la tecnológica, respectivamente.
Este proyecto pretende dar a conocer las posibilidades de la inteligencia artificial dentro del sector. Mientras en el foro del año pasado se presentaban solo demos sobre casos hipotéticos, para que los socios viesen en qué consistían, en esta ocasión se ha dado un paso más y los interesados pueden poner en práctica los modelos para ver cómo funcionan con documentación interna real e interactuando con la IA. De esta forma comprueban cómo esta tecnología ayuda en la protección de la cartera, la venta cruzada, la comparación de pólizas en pocos segundos… para que sus informáticos o proveedores puedan implementar estas herramientas. Unos avances que en el caso de la IA generativa también se aplican en ofimática, presentaciones de la empresa, gestión de las comunicaciones, digitalización de documentos… Todo ello “con el objetivo de usar, practicar, seguir divulgando, no de competir”, como reseñó Castaño, ya que esta herramienta no deja de ser un entorno tecnológico para que se use desde Adecose y sirva para que los corredores posteriormente “lo prueben, vean que funciona y lo contraten con alguna tecnológica”, una vez vista su utilidad.
IA, una herramienta de presente
Este entorno tecnológico de Adecose tiene una serie de algoritmos que desarrollan una serie de usos, y se ha empezado por desarrollar cuatro de ellos: comparativa de pólizas, digitalización de documentos, chatbot/agente virtual y cobertura de siniestros, que Imizcoz se encargó de explicar.
Cada apartado cuenta con una casilla de información, otra con un vídeo explicativo y otro para que el socio use directamente la herramienta. Por ejemplo, en comparativa de pólizas se pueden cotejar hasta cinco pólizas de una sola vez, y se le puede pedir una contraste general o específico de algún aspecto que interese al corredor. Mientras que la parte de digitalización de documentos se encarga de coger textos y estructurarlos de manera que luego puedan ser integrados dentro de los sistemas de informática de cada negocio. Otra parte interesante es la inclusión de un agente virtual que puede resolver todo tipo de dudas profesionales de los corredores.
“Lo que tenéis es que probar a jugar para llegar a imaginar qué es lo que con vuestra información y con vuestra documentación, cuando estéis en un entorno productivo, la máquina es capaz de hacer”, inquirió David Salinas a los socios de Adecose, ya que el objetivo es que estos conozcan los beneficios de implantar IA en sus negocios. Además, como recalcó Íñigo Imizcoz, “cuanta más información se suba al área de conocimiento, más preciso va a ser”.
“Esto puede crecer y ser mucho más con lo que nos retroalimentemos entre todos”, redundó Salinas, ya que “cuando cada uno, en su entorno de IA confidencial, la use con miles de pólizas, será mucho más potente y rápido”. No obstante, subrayó que desde Adecose están convencidos de que “esto no es el futuro, es el presente”, de modo que su misión es que los corredores vean en la IA una oportunidad de negocio y de supervivencia a medio y largo plazo de sus empresas.
Ciberataques en evolución
A continuación, tuvo lugar una mesa redonda en la que se trató la problemática de la ciberseguridad en el sector asegurador. En el debate participaron Félix de Andrés, senior manager Technology & Transformation de Deloitte; Juan Delfín, ciberresponsable del sector estratégico financiero y TIC del Instituto Nacional de Ciberseguridad (Incibe); y Francisco Javier Baena, director de la división de Supervisión Tecnológica y de Innovación Digital de la Dirección General de Seguros y Fondos de Pensiones (DGSFP). La mesa estuvo moderada por Carmina Homs, vicepresidenta de Adecose.
De Andrés comenzó el debate explicando que hace varios años se adoptó una política muy reactiva de la ciberseguridad, “desde un enfoque muy defensivo”, porque solo se intentaba que los ciberdelincuentes no entraran en los sistemas propios, pero reconoció que ahora mismo las empresas están muy conectadas con otras entidades diferentes por lo que proteger el perímetro (proveedores, clientes, partners tecnológicos…) resulta mucho más difícil, ya que las vías de entrada son múltiples. Y más en un sector como el de los seguros, que siempre “está en el punto de mira de los ciberatacantes”. Ahora bien, apuntó dos aspectos que están ayudando a mejorar la seguridad de los sistemas: la presión regulatoria, que “sirve de palanca para abordar cambios y que los incidentes pasen cada vez menos”; y la revolución digital y la transformación de las tecnologías, que se va reforzando cada año y cada vez van a más.
En concreto, sobre el reglamento DORA, precisó que al principio había una situación muy heterogénea, con empresas muy protegidas y otras que habían hecho poco para salvaguardarse, por lo que partían desde bastante más atrás, lo ha derivado en dificultades a la hora de implementarla: “Ahora las entidades tienen que tener claro qué es lo que tienen que proteger, identificar los activos. También proteger la cadena de suministros, monitorizar a los terceros”, señaló, destacando que es un proceso que no es de una sola vez, “sino que es un continuo que hay que gestionar y actualizar, porque los atacantes también lo hacen”. “Para poder continuar con el negocio hay que ser resilientes también en la parte tecnológica”, concluyó el senior manager Technology & Transformation de Deloitte.
No obstante, los ciberataques van evolucionando. Actualmente la vía más frecuente para acceder a los sistemas ajenos es la ingeniería social, que las propias personas que trabajan con los mismos den acceso (phishing, smishing…). Y el ataque de mayor impacto es el robo de credenciales, que es un activo muy atractivo para los delincuentes, que incluso pueden llegar a venderlas. Además de las amenazas a la cadena de suministro y a las entidades que operan alrededor del sistema.
En este sentido, considera que la estrategia 0 trust es muy buena “porque no se confía en nada y hay que verificar todo”. Ahora bien, hay que gestionarla de manera eficaz, ya que hay que optar por “analizar cómo alcanzar los objetivos programados de manera eficiente con las tecnologías que se tienen o añadiendo otras”.
Armonizar dora para competir
Delfín dedicó los primeros minutos de su intervención a dar a conocer Incibe, cuya principal función el elevar el nivel de seguridad de ciudadanos, empresas e infraestructuras críticas a través de 3 acciones: prevención, con vigilancia y monitorización; formación, con campañas de seguridad, yendo a empresas y colegios; y respuesta, dando apoyo ante los incidentes que sufren empresas y ciudadanos. No obstante, como recordó, en 2024 se recibieron en torno a 97.000 incidentes a través de la línea de denuncia 017, un aumento del 16% del número de delitos.
Hizo repaso a los ataques más comunes en las pymes, especialmente los casos de fraude BEC (business email compromise), por el que el atacante consigue las credenciales de un empleado de una empresa, o de fraude del CEO, cuando alguien se hace pasar por un directivo de la organización a través de IA, junto con clásicos como ransomware o vulnerabilidades no parcheadas para colocar un malware, “que pueden dejar a las compañías sin trabajar durante semanas o incluso meses”.
Además, hizo hincapié en que desde Incibe se está trabajando mucho en conseguir que las empresas compartan la información de sus ciberataques, para saber cómo operan los hackers y poder compartir esa información para generar avisos de seguridad.
“Estamos en un mundo que está cambiando mucho. Y las pymes y emprendedores tienen muchos retos para ser competitivos”, incidió Baena, para quien es fundamental que las empresas cada vez sean más multidisciplinares, conectando a los profesionales técnicos con los de negocios. En el tema regulatorio incidió en que a las aseguradoras se les exige unos requisitos muy claros con DORA, que antes o después los van a transmitir a los mediadores, pues “el tema de IA afecta tanto a compañías como a corredores”. De hecho, recordó que en septiembre IOPA va a sacar un dictamen con pautas muy claras sobre qué hacer para sistemas de bajo riesgo.
En esta línea, lanzó un mensaje a las asociaciones de corredores, que tienen “un papel fundamental”, ya que conocen mucho mejor que el supervisor las necesidades de los corredores, por lo que propuso hacer foros de trabajo y buscar aliados, no solo las aseguradoras, sino socios tecnológicos, para abordar la ciberseguridad, poniendo en valor, además, el desarrollo del estándar de comunicaciones EIAC, “que es todo un referente”. Señaló, asimismo, que la mediación no está bajo los requisitos de DORA, pero instó a armonizar esa directiva “para no tener diferencias competitivas” entre los operadores que sí tienen obligación de cumplirla.
Invertir en ciberseguridad
Inquiridos por las líneas rojas que habría que tener en toda empresa para evitar ciberataques, Félix de Andrés advierte que “hay que ser desconfiados”: “Si alguien te llama para hacer algo rápido o raro, desconfía”. Y considera que habría que tomar como referencia la regulación, aunque no se aplique a la empresa, para poder estar alineado con el sector.
Para el ciberresponsable del sector estratégico financiero y TIC de Incibe la clave es invertir en ciberseguridad una importante cantidad (entre el 20 y el 30% del presupuesto para aquellas compañías que empleen tecnologías). Pero no solo. También en formación y concienciación entre los empleados, así como en sistemas de doble autentificación y de respaldo, con información segmentada, para en caso de incidente no afecte a toda la compañía. “Hay que estar alerta, monitorizar y supervisar”, concluyó.
“La línea roja es la ignorancia”, destacó Francisco Javier Baena. “Hemos estado tradicionalmente sacando a flote una empresa y te quedas a la expectativa de lo que hace el otro. Hay que ser conscientes en que esa época en la que podías ser ignorante en el tema de los ciberriesgos, ha pasado. Hay que conocer todo el entorno, aunque cueste, para poder tomar decisiones estratégicas”, matizó. Para ello, abogó por establecer medidas compensatorias, un sistema de control interno para comprobar fraudes, acordando soluciones dentro del sector y desarrollando marcos de seguridad y plataformas de doble factor de autentificación. En esta línea, habló de que existen muchas medidas compensatorias para poder protegerse, aunque no se disponga de mucha información, como un backup, “que puede ir de un sistema muy potente de cientos de miles de euros o un sistema de discos duros que no alcancen los 1.000 euros”.
“Todas las organizaciones tienen que hacer un análisis de riesgos y evaluar qué medidas llevar a cabo, sabiendo cómo podría afectar un incidente a tu negocio y el impacto a tus clientes”, ratificó Juan Delfín, a lo que De Andrés añadió que “es fundamental que todo el criterio de proporcionalidad esté bien justificado y documentado para mitigar el riesgo”.
Impacto de los riesgos extraordinarios
El tercer y último panel estuvo dedicado al impacto de los riesgos extraordinarios y el papel en este ámbito del Consorcio de Compensación de Seguros y del Reaseguro. En esta mesa participaron Francisco Espejo, subdirector de Estudios y Relaciones Internacionales del Consorcio; y Artur Reñé, presidente de Asecore, vicepresidente de Adecose y CEO de Guy Carpenter Iberia, con moderación a cargo de Martín Navaz.
Espejo puso el acento en que estamos en un momento de gran incidencia del calentamiento global, con temperaturas cada vez más altas, lo que eleva el riesgo: “Por cada grado que aumenta la temperatura la atmósfera sube un 7% su capacidad para generar vapor de agua y, con ello, hay precipitaciones más intensas, granizos más gordos... Todos los elementos relacionados con los fenómenos meteorológicos se incrementan”, aseguró. Por ello, aludió a la necesidad de mejorar la capacidad de respuesta, maximizando la penetración del seguro y proporcionando sistemas de aseguramiento más capaces y eficaces, así como reduciendo la susceptibilidad.
Precisó que el problema del seguro de catástrofes es que incumple los principios básicos del aseguramiento (no correlación, aleatoriedad, facilidad para estimar el coste…). Para eso hay recursos como el reaseguro, que se usa en agrario o riesgos nucleares, las asociaciones público-privados, seguros paramétricos… Además de la intervención del Consorcio en ciertos peligros extraordinarios, como terremotos o inundaciones en tierra. En este sentido se congratuló de que en España prácticamente todas las pólizas de bienes, pérdida de beneficios y daños personales tienen dos componentes: el sector privado y el público, con sus responsabilidades y sus ventajas. Así, el Consorcio, en los casos de riesgos extraordinarios se encarga de peritar, gestionar e indemnizar, actuando “como una aseguradora directa”. De hecho, en la actualidad, según las últimas cifras disponibles, ya cubre 140 millones de pólizas y 63 millones de bienes.
Cooperación pública-privada en la dana
Y puso el ejemplo de la DANA del año pasado, “resultado de una gran exposición en una zona perfectamente conocida como inundable junto con el aumento de intensidad de precipitaciones, con un Mediterráneo que ya en verano alcanza los 30º, lo que ayudó a dar más intensidad”. Destacó el papel de las aseguradoras con la gestión y tasación de prácticamente la mitad de los daños, en la que “ha sido la prueba más dura del seguro de riesgos extraordinarios”. De hecho, lo que se va a pagar finalmente por este siniestro es más de lo que ha pagado el Consorcio en los diez siniestros más costosos hasta el momento, con entre 4.500 y 5.000 millones de euros. Se tuvieron que tomar medidas novedosas con el aumento del número de peritos (hasta mil, en algunos momentos), la ampliación de la plantilla de la institución, la mejora de las comunicaciones y la web, la firma del Procedimiento Operativo Especial (POE) para cooperar en la tramitación de las indemnizaciones… Una serie de actuaciones para agilizar los trámites con lo que se ha conseguido llegar a más del 95% de los afectados ocho meses después.
Es por eso que puso en valor el papel del Consorcio, sin el que el impacto social habría sido mayor, toda vez que el 85% de las viviendas no tienen seguro de inundación: “Es fundamental la naturaleza obligatoria de la extensión de las coberturas porque así garantizamos la mutualización y que las pólizas sean asequibles para todo el mundo, eliminando la selección adversa”, comentó.
En este punto quiso reseñar que “la mediación tiene un papel fundamental, tanto para informar como para garantizar que la gente esté bien asegurada, y asesorar a los clientes para que adopten medidas de prevención de riesgos”. Y añadió que “es conveniente reducir los daños, porque el Consorcio no está para todos los eventos, y los de esta magnitud pueden reproducirse y no son tan extraños”.
Con todo, inquirido por la situación de las tarifas del recargo, apreció que se cuentan con dos elementos rectores. Por un lado, la salud del mercado asegurador, destacando que desde 1995 el capital asegurado se ha multiplicado por 4, con lo que se habría podido incrementar el recargo del Consorcio por 4, pero se han ejecutado dos bajadas en el siglo XXI: “Se ha mantenido una tarifa donde nos mantenemos cómodos con una entrada de unos 800 millones al año”, manifestó. El otro elemento que influye es la siniestralidad, aunque reconoció que su idea es no modificar recargos y que de manera orgánica el fondo se recupere tras la DANA.
Reaseguro, muy afectado por las catástrofes
Para concluir la jornada, Artur Reñé habló sobre cómo está viviendo el mercado de reaseguro este incremento de la frecuencia de catástrofes naturales en los últimos decenios. Expuso que desde 2017 se ha dado una serie de años seguidos extraordinariamente negativos, “los peores de la historia en pérdidas aseguradas”.
Explicó que el mercado asegurador y reasegurador funciona como una pirámide en cuya base están las familias, las empresas, las instituciones… que transfieren su riesgo a los aseguradores y entidades locales, que están en la segunda base, que cuando tienen excesos transfieren las coberturas a los reaseguradores, que es un grupo regional o global. Como reciben mucha agregación de riesgo, tienen que volver a comprar cobertura y lo hacen con reaseguradores especializados y con mercados de capitales, que no son aseguradores, por lo que si el seguro no paga suficiente retorno al capital que utiliza se queda sin capacidad y no resulta atractiva: “Si hay otras industrias que ofrecen rendimientos mejores, el capital no estará aquí y entonces sufriremos”, matizó, alegando que padecer estos eventos catastróficos tan seguidos les perjudica.
Además de la problemática del aumento de frecuencia e intensidad mencionó otra: los peligros secundarios. La industria reaseguradora cubre todo, peligros primarios, que están bien modelizados y pueden generar de forma no muy frecuente grandes pérdidas, como huracanes, tifones, terremotos y tormentas de invierno en Europa, y siempre que afecten a zonas muy desarrolladas. Y luego están los secundarios, que son más frecuentes, pero no generan daños tan importantes y no están modelizados, pero que recientemente han ido ganando mucha relevancia.
Más capital y mayor capacidad
Además, destacó un par de “cisnes negros” en estos últimos años: el covid, que ha generado 54.000 millones de dólares de pérdidas; y la
