Κ
άθε νέο αυτοκίνητο που κυκλοφορεί σήμερα είναι, ουσιαστικά, ένας συνδεδεμένος υπολογιστής πάνω σε τέσσερις ρόδες. Εκατομμύρια γραμμές κώδικα, δεκάδες ηλεκτρονικές μονάδες ελέγχου, διεπαφές ανοιχτές στο Διαδίκτυο, ενημερώσεις λογισμικού που φτάνουν στο όχημα εξ αποστάσεως όπως ένα απλό e-mail. Και σε κάθε σημείο σύνδεσης κρύβεται μια πύλη που μπορεί να κρύβει κίνδυνο. Κίνδυνος που δεν αφορά πλέον μόνο τους κατασκευαστές, αλλά και κάθε ασφαλιστή και αντασφαλιστή που έχει ασφάλιση αυτοκινήτου στο χαρτοφυλάκιό του και δεν έχει ακόμη αξιολογήσει πού τελειώνει ο παραδοσιακός κίνδυνος και πού αρχίζει ο ψηφιακός κίνδυνος.
Σε αριθμούς οι κυβερνοεπιθέσεις σε οχήματα το 2025 • 494 δημοσίως καταγεγραμμένες κυβερνοεπιθέσεις σε οχήματα και ψηφιακές υπηρεσίες κινητικότητας παγκοσμίως • 44% των περιστατικών αφορούσε κρυπτογράφηση δεδομένων με λύτρα, διπλάσιο ποσοστό σε σχέση με το 2024 • 92% των επιθέσεων πραγματοποιήθηκε εξ αποστάσεως, χωρίς φυσική πρόσβαση στο όχημα
Ο αθόρυβος μετασχηματισμός του κινδύνου Το σύγχρονο όχημα δεν κινδυνεύει μόνο από τροχαία ατυχήματα. Κινδυνεύει από ψηφιακές παρεμβολές, από διαρροές δεδομένων, από κακόβουλο λογισμικό που μπορεί να κλειδώσει τα συστήματα ενός ολόκληρου εμπορικού στόλου και άπειρα χρήματα να χαθούν εν ριπή οφθαλμού. Επιπλέον, κινδυνεύει από ενημερώσεις λογισμικού που παραποιούνται στη «διαδρομή» κατασκευαστή-οχήματος. Σύμφωνα με την πιο πρόσφατη έκθεση της Upstream Security, το 2025 καταγράφηκαν 494 δημοσίως γνωστά περιστατικά κυβερνοεπίθεσης στον κλάδο των οχημάτων και των ψηφιακών υπηρεσιών κινητικότητας παγκοσμίως και αυτός ο αριθμός είναι μόνο η κορυφή του παγόβουνου. Το επικίνδυνο δεν είναι η κλίμακα των επιθέσεων, αλλά η φύση τους: το 92% πραγματοποιήθηκε εξ αποστάσεως, χωρίς η φυσική πρόσβαση στο όχημα να είναι απαραίτητη. Η ψηφιακή επιφάνεια επίθεσης έχει κυριαρχήσει πλήρως έναντι της φυσικής και η ασφαλιστική αγορά
115
REINSURANCE MEETING HYDRA ANNIVERSARY
EDITION
EDITION
114
REINSURANCE MEETING HYDRA ANNIVERSARY TH
TH
Αφιέρωμα
The new risk of cybersecurity in vehicle insurance E
Όσο τα αυτοκίνητα συνδέονται με εφαρμογές, τα δεδομένα τους είναι στο Cloud, οι ενημερώσεις λογισμικού γίνονται εξ αποστάσεως και υπάρχουν ένα σωρό ψηφιακές υπηρεσίες τόσο η ασφάλιση καλείται να αντιμετωπίσει τον κυβερνοκίνδυνο πέρα από τα παραδοσιακά όρια ακόμα τιμολογεί το δεύτερο.
Τα κενά που βλέπει η αντασφαλιστική αγορά Τα περιστατικά της διετίας 20242025 είναι μια σημαντική προειδοποίηση. Τον Δεκέμβριο του 2024, ο Όμιλος Volkswagen εξέθεσε δεδομένα 800.000 ιδιοκτητών ηλεκτρικών οχημάτων, συμπεριλαμβανομένων λεπτομερών δεδομένων εντοπισμού θέσης, που αποκάλυπταν καθημερινές μετακινήσεις ακόμα και αξιωματούχων και στελεχών επιβολής του νόμου. Τον Μάιο του 2025, η Scania επιβεβαίωσε παραβίαση της πλατφόρμας ασφαλιστικών αξιώσεών της μέσω τρίτου παρόχου Πληροφορικής: 34.000 ασφαλιστικά έγγραφα πελατών εκλάπησαν και προσφέρθηκαν προς πώληση σε φόρουμ του σκοτεινού Διαδικτύου. Το κοινό νήμα: Η αλυσίδα ευθύνης είναι αδιαφανής. Όταν μια παραβίαση ξεκινά από έναν τρίτο πάροχο Πληροφορικής, όπως στην περίπτωση της Scania, και καταλήγει σε ζημία ασφαλισμένου, ποιο συμβόλαιο την καλύπτει; Η ασφάλιση αυτοκινήτου; Η ασφάλιση κυβερνοκιν-
very new car on the road today is, in essence, a connected computer on four wheels. Millions of code lines, dozens of electronic control units, interfaces open to the internet, software updates that reach the vehicle remotely like a simple email. And at every connection point, there is a portal that may hide risk. Risk that no longer concerns only manufacturers, but also every insurer and reinsurer who includes car insurance in his portfolio and has not yet assessed where traditional risk ends and digital risk begins.
IN NUMBERS: Cyberattacks on vehicles in 2025
Το νέο ρίσκο της κυβερνοασφάλειας στην ασφάλιση οχημάτων By GEORGE MOUZOS
δύνου; Η αστική ευθύνη του κατασκευαστή; Η απάντηση, στις περισσότερες περιπτώσεις, είναι: κανένα. Για την αντασφαλιστική αγορά, το πιο ανησυχητικό δεν είναι το μεμονωμένο περιστατικό, αλλά η πιθανότητα συστημικού γεγονότος. Φανταστείτε έναν κακόβουλο παράγοντα που εκμεταλλεύεται ευπάθεια σε ένα ευρέως χρησιμοποιούμενο σύστημα εξ αποστάσεως ενημερώσεων, επηρεάζοντας ταυτόχρονα εκα-
τοντάδες χιλιάδες οχήματα του ίδιου κατασκευαστή. Το γεγονός δεν θα είχε γεωγραφικά όρια, αλλά θα έπληττε ταυτόχρονα χαρτοφυλάκια σε δεκάδες χώρες.
Ο κλάδος απαντά, αλλά με καθυστέρηση Η παγκόσμια αγορά ασφάλισης κυβερνοκινδύνου διαμορφώθηκε στα 15 δισεκατομμύρια δολάρια το 2024, εκτιμάται πως άγγιξε τα 16,3
NEXTDEAL #581 20 ΜΑΪΟΥ 2026
δισ. το 2025 και αναμένεται να διπλασιαστεί ως το 2030, σύμφωνα με τη Munich Re. Ωστόσο, η ανάπτυξη αυτή αφορά κυρίως τον εταιρικό κυβερνοκίνδυνο, όχι ειδικά κάλυψη για τα οχήματα. Το ρίσκο στα αυτοκίνητα παραμένει μια υποκατηγορία χωρίς καθιερωμένες αναλογιστικές βάσεις, χωρίς ιστορικά δεδομένα αποζημιώσεων σε επαρκές βάθος και χωρίς σαφές κανονιστικό πλαίσιο σε ευρωπαϊκό επίπεδο. Το 2025, η έκδοση ομολόγων κυβερνοκαταστροφών έφτασε το 1,1 δισεκατομμύριο δολάρια, αύξηση 64% σε σχέση με το 2024, σύμφωνα με το Artemis, το μεγαλύτερο και πλέον εξειδικευμένο μέσο ενημέρωσης στον κόσμο για ομόλογα καταστροφών και αντασφαλιστικές αγορές. Το κεφάλαιο εναλλακτικών επενδύσεων αρχίζει να αγκαλιάζει τον συστημικό κυβερνοκίνδυνο. Αλλά η διάσταση των οχημάτων εξακολουθεί να απουσιάζει από τις παραμέτρους αυτών των μοντέλων.
Το ερώτημα που δεν μπορεί να αναβληθεί Ο κανονισμός UNECE R155 υποχρεώνει τους κατασκευαστές να εφαρμόζουν πιστοποιημένα συστήματα διαχείρισης κυβερνοασφάλειας και από τον Ιούλιο του 2024 η υποχρέωση αυτή ισχύει για κάθε νέο όχημα που παράγεται και πωλείται στην Ε.Ε., χωρίς εξαίρεση. Ο κατασκευαστής, ο πάροχος λογισμικού, ο πάροχος σύνδεσης, όλοι εμπλέκονται πλέον σε μια αλυσίδα ευθύνης που η ασφαλιστική αγορά οφείλει να χαρτογραφήσει τώρα, πριν αρχίσουν να καταλήγουν αξιώσεις στα δικαστήρια. Η ερώτηση δεν είναι πλέον αν ο κυβερνοκίνδυνος θα επηρεάσει τα χαρτοφυλάκια ασφάλισης αυτοκινήτων. Η ερώτηση είναι πόση έκθεση έχουν ήδη χωρίς να το ξέρουν. NEXTDEAL #581 20 ΜΑΪΟΥ 2026
• 494 publicly recorded cyberattacks on vehicles and digital mobility services worldwide. • 44% of incidents involved data encryption with ransomware, which is double the rate compared to 2024. • 92% of attacks were carried out remotely, without physical access to the vehicle.
The silent transformation of the risk
and the insurance market is still pricing the latter.
The gaps seen by the Reinsurance Market The incidents recorded within 2024-2025, are a significant warning. In December 2024, the Volkswagen Group exposed data from 800.000 electric vehicle owners, including detailed location data, revealing the daily movements even of officials and law enforcement officers. In May 2025, Scania confirmed a breach of its insurance claims platform via a third-party IT provider: 34.000 customer insurance documents were stolen and offered for sale on dark web forums. The common thread: the chain of liability is opaque. When a breach starts with a third-party IT provider, as in the case of Scania, and ends with damage to an insured, which policy can cover it? Car insurance? Cyber insurance? Manufacturer's liability insurance? The answer, in most cases, is: none. For the Reinsurance Market, the most worrying thing is not the one and only isolated incident, but the possibility of a systemic event. Imagine a malicious actor exploiting vulnerability in a widely used remote update system, simultaneously affecting hundreds of thousands of vehicles from the same manufacturer. The event would have no geographical boundaries, but would hit portfolios in dozens of countries simultaneously.
The Industry responds, but with a delay The global cyber-risk insurance market was worth 15 billion US Dollars in 2024, is estimated to have reached 16,3 billion US Dollars in 2025 and is expected to double by 2030, according to MunichRe. However, this growth mainly concerns the corporate cyber risk, not specifically in vehicle coverage. Automotive risk remains a subcategory without established actuarial bases, without historical claims data in sufficient depth and without a clear regulatory framework at a European level. In 2025, cyber catastrophe bond issuance reached 1,1 trillion US Dollars, increased by 64% compared to 2024, according to Artemis, the world’s largest and most specialized news media concerning catastrophe bonds and reinsurance markets. Alternative investment capital is starting to embrace systemic cyber risk. But the vehicle dimension is still missing from the parameters of these models.
The more cars are connected to apps, their data is in the cloud, software updates are done remotely, and there are a host of digital services, the more insurance is called upon to address cyber risk beyond traditional boundaries
A modern vehicle is not only at risk from traffic accidents. It is at risk from digital interference, from data leaks, from malware that can lock the systems of an entire commercial fleet and a lot of money can be lost in the blink of an eye. It is also at risk from software updates that are tampered during the manufacturer-vehicle “route”. According to the latest report released by Upstream Security, in 2025 there were 494 publicly known cyberattack incidents in the vehicle and digital mobility services industry worldwide, and this number is only the tip of the iceberg. What is dangerous is not the scale of the attacks, but their nature: 92% were carried out remotely, without physical access to the vehicle being necessary. The digital attack surface has completely dominated over the physical one,
A question that cannot be postponed The UNECER 155 Regulation requires manufacturers to implement certified cybersecurity management systems and from July 2024 this obligation applies to every new vehicle produced and sold in the EU, without exception. The manufacturer, the software provider, the connectivity provider, are all now involved in a chain of responsibility that the insurance market must map out now, before claims start to end up in court. The question is no longer whether cyber risk will have an impact on car insurance portfolios. The question is how much exposure they already have without knowing it.