En una entrada reciente les di cuenta de un artículo reciente publicado en el núm. 95 (2021) de la Revista de Derecho Social en el que analizaba si un ciberataque podía ser calificado como un supuesto de fuerza mayor (el título del trabajo es: «Ataque de virus ransomware y fuerza mayor»).
Pues bien, la SAN 14 de marzo 2022 (núm. 37/2022) entiende que, efectivamente, se trata de un supuesto de imposibilidad objetiva justificativo de un ERTE.
Sin duda, es de un caso muy interesante (y, dada la creciente incidencia de estas agresiones, lamentablemente, es probable que sea el primero de otros pronunciamientos al respecto) y me gustaría compartir la argumentación de la AN para alcanzar esta conclusión.
No obstante, con carácter previo quiero aprovechar la oportunidad para agradecer a los compañeros Juan José Jiménez Remedios y Enrique Ceca Gómez-Arevalillo su amable gesto al facilitarme el texto de esta resolución. Muchas gracias!
A. Detalles del caso
El caso se refiere a un ataque informático a través de un virus ransomware y que precipita la solicitud de un ERTE por fuerza mayor afectando a casi 1.200 trabajadores (de diversos centros de trabajo) de una empresa de contact center. En concreto, el ciberataque provoca el secuestro de datos del centro de procesamiento de datos de la empresa, inutilizando servidores, sistemas electrónicos, computadoras (en número
aproximado 1.200) e impresoras.
La pretensión de la empresa es desestimada por la DGT (al entender, del mismo modo que la ITSS, que no concurre un supuesto de fuerza mayor) y el recurso de alzada también es desestimado (en este caso, por silencio administrativo).
Los argumentos de la resolución administrativa para denegar la solicitud de constatación de fuerza mayor son (como recoge la AN) los siguientes:
(i) La falta de aportación de informe o documentación que acredite el ciberataque sufrido.
(ii) La previsibilidad del acontecimiento -se entiende el ciberataque dada cuenta de que se trata de una empresa perteneciente al sector de las telecomunicaciones y, constaba como riesgo posible en la política de seguridad de información de la compañía.
(iii) La inexistencia de imposibilidad de desarrollo de servicios laborales, sobre la base de la afirmación de los representantes sindicales de que los trabajadores estaban a disposición de la empresa.
La empresa solicita la revocación de la resolución íntegra, dado que la misma resulta extemporánea, siendo de aplicación el silencio estimatorio o silencio positivo, y/o por motivos de fondo, dado que estima que sí concurre un supuesto de fuerza mayor.
A. Fundamentación
La AN estimará las dos pretensiones de la empresa.
En primer lugar (siguiendo el criterio de la STS 25 de enero 2021, rec. 125/2020), entiende que efectivamente la resolución ha sido extemporánea (superándose con creces, los 5 días del art. 33.1 RD 1483/2012), rechazando explícitamente que el ciberataque que también había afectado al MTES por aquellas fechas y que había motivado una ampliación de los plazos administrativos (ex art. 32 LPAC) justifique la superación del plazo máximo, pues, se constata la existencia de actuaciones que cuestionan la imposibilidad que justificaría dicha ampliación. Por este motivo, declara la nulidad de la resolución denegatoria de la fuerza mayor de la DGT.
En segundo lugar (para el caso de que se entendiera que la resolución no fue extemporánea), la AN también estima que demanda igualmente debe merecer favorable acogida porque no los argumentos para denegar la petición esgrimidos por la DGT no son suficientes. Y, en concreto, estima la concurrencia de fuerza mayor en que se funda el ERTE por fuerza mayor planteado por la empresa.
En concreto, la AN, tras repasar la definición de fuerza mayor dada por la Sala IV, III y I del Tribunal Supremo entiende que el análisis de estos elementos configuradores permite concluir que el ataque informático a través de un virus ransomware que se traduce en el “secuestro” de la información clave de la empresa, afectando de forma determinante a su operatividad, puede ser calificado como un supuesto de fuerza mayor.
En concreto (analizando cada uno de estos elementos: naturaleza del hecho obstativo, concurrencia del mismo, relación de causalidad e inimputabilidad, imprevisibilidad o inevitabilidad) afirma:
«En efecto, concurren todos los elementos configuradores que permiten concluir la existencia de causa de fuerza mayor: imposibilidad, existencia de una relación causal entre el incumplimiento de la obligación contractual y el hecho obstativo, inimputabilidad y (al menos) inevitabilidad. Elementos aplicados a la situación concreta descrita en la solicitud de constatación de fuerza mayor, formulada por la empresa.
(i) Sobre la naturaleza del hecho obstativo: tal y como se describe en los hechos declarados probados, se produjo en fecha 4 de junio de 2021 un ataque informático deliberado (en este caso, en forma de ransomware) por parte de terceros ajenos a la Empresa.
Tal circunstancia, resulta subsumible en el concepto de fuerza mayor, el origen “humano” (e, incluso, “intencionado”) del hecho obstativo, no es una circunstancia suficiente para descartar una posible concurrencia de una fuerza mayor.
(ii) Sobre la concurrencia de un hecho obstativo, resulta acreditado, y así se colige del contenido de los informes periciales, que el secuestro de datos que el cifrado provoca tiene una afectación claramente obstativa en el cumplimiento de las prestaciones contractuales acordadas. Especialmente porque imposibilita la oportunidad empresarial de ofrecer la prestación de trabajo a las personas trabajadoras»
Y, llegados a este punto, rechaza (como reiterará en la parte final de la fundamentación) que la manifestación de disponibilidad de los trabajadores (y que se recoge en la resolución de la DGT – como se había recogido en el informe de la CGT) no es equivalente
«a la ocupación efectiva, cuando hay imposibilidad objetiva de prestar servicios laborales. Es decir, las personas trabajadoras pueden manifestar estar disponibles para realizar actividad laboral, pero la disponibilidad se traduce en la manifestación del mero deseo de querer trabajar, pero sin poder hacerlo porque existe una causa, ajena a voluntad de empleados y empresa, que lo impide».
También estima que existe una relación de causalidad entre el hecho obstativo (el ataque y el “secuestro” de datos) y la imposibilidad material de la empresa de dar ocupación de trabajo a las personas trabajadoras. Especialmente porque el ciberincidente
«impactó sobre todos los componentes que dependen de esta infraestructura, y, en consecuencia, se resiente la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales para operar los servicios de contact center y gestión documental en todas las sedes»
Y, en relación a la inimputabilidad y la imprevisibilidad o la inevitabilidad afirma lo siguiente:
«sin duda, estos son los elementos más determinantes de este supuesto. Y, por este motivo, conviene un análisis pormenorizado. Para poder determinar esta cuestión es oportuno, evaluar si el riesgo era imprevisible o, si previsto, inevitable. Especialmente porque, en función de la naturaleza del hecho sobrevenido, podrá delimitarse la diligencia requerida a través del análisis de las medidas preventivas o de seguridad adoptadas (esto es, si se agotaron cuantas medidas de precaución incumben a la Empresa en la evitación de este fenómeno).
En primer lugar, no puede afirmarse que un ataque informático ni la afectación de un virus sean circunstancias totalmente imprevisibles (y el ransomware tampoco), (…). Ahora bien, en este supuesto, concurren los factores suficientes para concluir que el nivel de diligencia empresarial para prevenir este riesgo ha sido adecuado conforme a lo que una “conducta prudente hubiera podido evaluar”. En efecto, atendiendo a la naturaleza de la causa del hecho obstativo (claramente “independiente y extraña a la voluntad del sujeto obligado” y la limitada capacidad de anticipación que este tipo de intrusión permite), la variada y revisión periódica del conjunto de medidas que conforman la Política de seguridad de la información de XXXXX permiten concluir que el nivel de previsión y precaución es adecuado dentro del grado de esfuerzo y coste de un ordenado y diligente comerciante».
El exhaustivo repaso de los medios de seguridad informáticos acreditados por la empresa (a través de dos informes técnico y pericial), la AN entiende que
«Se acredita, por tanto, que la Empresa había cumplido con el nivel de diligencia debido, así se hace constar en el informe aportado en el que se recoge que la actuación y medios de seguridad de la empresa para la evitación del ataque eran los adecuados».
Y, finalmente, también cita la SAP\Valladolid 12 de septiembre 2017 (rec. 197/2017), en la que se declara la nulidad de lo actuado porque la representación procesal no recibió la citación para el acto del juicio remitida a través del sistema Lexnet por padecer el ordenador de la procuradora el día de su envío la invasión de un virus que encriptaba los mensajes que le eran remitidos. Por todo ello, entiende que
«no puede afirmarse como se recoge en la resolución recurrida, que el ataque por ser previsible no puede constituir causa de fuerza mayor y ello por cuanto:
– La fuerza mayor no se reduce a los supuestos de carácter imprevisible, sino también a aquellos que, siendo previsibles, resultan inevitables
– Cuando se trata de supuestos previsibles, la inevitabilidad debe analizarse ponderando, de un lado, las medidas implantadas por la empresa para la evitación del ataque y, de otro, la complejidad de la circunstancia externa que provoca la imposibilidad objetiva. Analizadas las medidas de seguridad, por consultora externa en informe forense, se constata como eran las propias de un comerciante diligente, sin que pueda imputarse comportamiento negligente y, además, si quiera se conocen medidas alternativas que hubiera podido impedir el ataque del virus, lo que revela su carácter inevitable, debiendo, por tanto, subsumirse en el supuesto de fuerza mayor»
Finalmente, por todo lo expuesto concluye:
«El ataque informático a través de un virus ransomeware en una actividad empresarial que gravita sobre una “arquitectura” esencialmente digital como la que lleva a cabo la demandante puede subsumirse en el concepto de fuerza mayor por lo siguiente:
– Primero, el origen humano del hecho obstativo no impide que pueda subsumirse un hecho imposibilitante en el concepto de fuerza mayor
– Segundo, concurre una imposibilidad absoluta y objetiva sobre una de las prestaciones esenciales empresariales del contrato de trabajo (dar ocupación efectiva);
– Tercero, existe una relación causal entre el incumplimiento de la obligación y el hecho obstativo;
– Cuarto, dado el nivel de diligencia preventiva adoptado por la demandante puede afirmarse que concurre la nota de inimputabilidad y (como mínimo) la de inevitabilidad. En este supuesto, pese a tratarse de un riesgo conocido (y, por ende, previsible), se dan suficientes elementos para entender que el nivel de diligencia empresarial para prevenir este riesgo ha sido el suficientemente elevado como para descartar que su conducta empresarial pueda calificarse como negligente (y por ello imputable). Especialmente porque las medidas que conforman la ‘Política de seguridad de la información’ de la compañía constituyen medidas de precaución adecuadas dentro del grado de esfuerzo y coste de un ‘ordenado y diligente comerciante'».
B. Valoración crítica
Comparto íntegramente la fundamentación de la sentencia (y, de hecho, acude a una batería de argumentos «similar» a la descrita en el citado trabajo publicado en la RDS núm. 95).
Ser diligente y poder acreditarlo va ser una cuestión determinante. Como apuntaba en la anterior entrada, la entidad de las organizaciones que están siendo atacadas (tanto instituciones públicas como privadas), el valor económico de los datos secuestrados y la celeridad del contagio es muy ilustrativa de la magnitud de la amenaza y también de su capacidad para aguijonear sistemas de protección complejos y avanzados.
En todo caso, y a la espera de una posible respuesta del TS (para el caso de que se presente recurso de casación), me gustaría compartir una última reflexión:
Los entusiastas de la automatización en el marco de la emergente economía de datos, al loar sus ventajas con respecto al “trabajo humano” apelan, entre otras, a la ausencia de “fatiga” de las máquinas y la posibilidad empresarial de exigir incrementos de productividad sin límite, su “estado de salud” inquebrantable, la falta de reivindicaciones que se traduzcan en conflictos colectivos paralizantes y/o el coste nulo de su “despido”. No obstante, parece que no han reparado que la datificación, la arquitectura de redes y el imperativo extractivo que este nuevo paradigma económico exige colocan a las empresas en un estado de extrema vulnerabilidad. La identidad de estos secuestradores de datos es difícilmente desvelable, estratégicamente pueden rechazar toda negociación y su capacidad de “resistencia” es, sin duda, muy superior a la de los trabajadores. Y, fruto de todo ello, no es descabellado pensar que, a medida que la hiperconectividad se extienda, su capacidad para detener (o entorpecer severamente) amplios sectores de la actividad económica (incluso los más estratégicos y/o críticos) podría materializarse con una celeridad exponencial, durante un periodo de tiempo más prolongado, con un coste o sacrificio, en comparación, irrisorio y con efectos sistémicos y económica y socialmente devastadores.
Quizás, entonces, echaremos de menos a los seres humanos.
Buenos días.
Gracias profesor, que razón tiene y como se nota que no pasaron por la operación Atenea 1995 tanto la AL como la ITSS y seguro que como bien dice ….Quizás, entonces, echaremos de menos a los seres humanos.
Un abrazo y gracias.