俄亥俄州最高法院裁定：勒索软件攻击不在保险覆盖范围内

关键要点

• 俄亥俄州最高法院裁定，勒索软件攻击造成的损失不应由保险公司承担。
• EMOI服务公司因软件被加密遭受攻击，索赔被拒。
• 法院认为软件没有物理存在，因此不符合保险条款要求的“直接物理损失”。

俄亥俄州最高法院最新裁定，在一起涉及勒索软件攻击的案件中，认定此类攻击并不直接导致物理损害，因此不应由保险公司进行赔偿。这项裁定推翻了底层上诉法院的判决。

该判决于12月27日发布，涉及位于俄亥俄州凯特林的EMOI服务公司，该公司专注于医疗账单和记录管理软件，并在2019年遭遇勒索软件攻击。虽然合同语言的具体性质可能限制了该案例的划时代影响，但此案提供了对保险公司如何处理非物理损失的新法律问题的启示。

攻击者在加密公司的系统后，要求支付三枚比特币作为解密支付，2019年时的价值约为35,000美元。公司最终支付了赎金，并在攻击后的24小时内向保险公司Owners提交了索赔申请，请求赔偿赎金支付和恢复费用。然而，负责此案的索赔代表当天就拒绝了该请求，认为“EMOI的保险政策不覆盖赎金支付及调查和修复攻击的相关费用，也不包括提升安全系统的费用。”

这次拒绝引发了EMOI服务公司与Owners之间的诉讼和反诉，EMOI公司指控保险公司在电子设备条款下“恶意”拒绝索赔，认为软件可以在不影响任何物理设备的情况下受损。

尽管最初的审判中Owners获胜，后来的上诉法院推翻了这一裁决，裁定如果EMOI服务公司能够证明其软件因加密而受到损坏，则电子设备条款可能适用。

然而，俄亥俄州最高法院维持了原判，表示保险条款的特定语言明确要求资产需有直接和物理损失或损害才能获得保障。

法院指出：“计算机软件不能经历‘直接物理损失或物理损害’，因为它并没有物理存在。”七人小组在裁决中写道：“软件本质上只是一系列指令，计算机依其执行特定任务。”

Owners的索赔代表认为，虽然EMOI服务公司的保险政策涵盖了数据损害和电子设备的损坏，但在本案中均不适用，因为攻击中并没有硬件、设备或“介质”受到物理损害，而政策也排除了“任何威胁、敲诈或勒索”，包括赎金支付。

电子设备附加条款将“介质”定义为“信息记录的材料，如胶卷、磁带、纸带、磁盘、鼓和卡片”，并指出“介质”包括“计算机软件和涵盖的介质中数据的复印件”。

由于这些物品在攻击中并未遭受物理损害，Owners因此认为恢复、修复及新软件的费用不应覆盖。

负责此案的代表在致EMOI服务公司的拒绝信中写道：“当声明中显示的电子设备、介质保险限额时，我们将支付您拥有、租赁或受您监管的‘介质’的直接物理损失或损害。在符合声明描述的地点，发生的直接物理损失或损害必须由覆盖的损失原因引起。”

法院也“没有被说服”，认为EMOI服务公司关于软件程序非物理方面的损坏应被政策覆盖的论点。

七人小组在判决中写道：“我们发现电子设备附加条款中的语言清晰明了，要求在适用该条款之前，必须存在对电子设备或媒介的直接物理损失或损害。由于软件是一种无形的物品，无法经历直接的物理损失或损害，因此该条款在本案中不适用。”