העמוד הזה מתאים לחברות טכנולוגיה, SaaS, FinTech, חברות עם מערכי תשלומים דיגיטליים, וכן למנכ״לים, CFO, יועצים משפטיים ומנהלי תפעול שבוחנים חשיפות סייבר והונאות תשלום. אם אתם מנסים להבין האם פוליסת הסייבר שלכם באמת רלוונטית לגנבת זהות, להוראת תשלום מזויפת או לפריצה לחשבון — כאן תמצאו את ההבחנות המקצועיות שחשוב להכיר, את סוגי הכיסוי שצריך לבדוק, ואת השאלות הנכונות לפני שמסתמכים על פוליסה קיימת.

מהו הנושא?

כאשר שואלים האם “ביטוח סייבר מכסה גנבת זהות ופריצה לחשבון בנק”, בפועל מערבבים בדרך כלל כמה סוגי אירועים שונים:

גנבת זהות יכולה לכלול שימוש בפרטים אישיים או פיננסיים ללא הרשאה, למשל פתיחת חשבונות, שימוש בנתוני אשראי, או ניצול של פרטי זיהוי לצורך התחזות.

פריצה לחשבון בנק יכולה להתייחס לחשבון פרטי או עסקי, ויכולה להתרחש דרך גניבת סיסמה, פישינג, גישה לדוא״ל, עקיפת אימות דו־שלבי, שינוי פרטי ספק, או הונאת תשלום מבוססת התחזות.

מבחינה ביטוחית, לא כל אחד מהאירועים האלה “יושב” על אותו קו ביטוח. לעיתים מדובר ב־Cyber Insurance, לעיתים ב־Crime / Fidelity, לעיתים בהרחבת Social Engineering, ולעיתים בכלל בהליך מול הבנק או ספק התשלומים.

למי הנושא רלוונטי?

הנושא רלוונטי במיוחד לחברות שמנהלות תשלומים, מידע פיננסי, הרשאות גישה ותהליכי אישור פנימיים. זה בולט במיוחד אצל:

  • סטארטאפים וחברות טכנולוגיה עם צוות קטן ונהלי תשלום מהירים
  • חברות SaaS שמנהלות גישה למערכות, מנויים או נתוני לקוחות
  • חברות FinTech ו־Payments שחשופות להונאות תשלום ולרגישות רגולטורית
  • חברות עם לקוחות בארה״ב או לקוחות Enterprise שמטילים דרישות ביטוח ספציפיות
  • חברות בשלב גיוס, M&A או חתימה על חוזה משמעותי
  • CFO, VP Finance, Controllers ו־Ops
  • יועצים משפטיים שבודקים דרישות חוזיות ואישורי ביטוח
  • הנהלות שרוצות להבין אם מבנה הכיסוי שלהן מתאים לחשיפה בפועל

הנושא עשוי להיות רלוונטי גם ליחידים, אבל בעמוד עסקי נכון להתמקד בשאלה המקצועית: איך חברה צריכה להבין את הסיכון, את חלוקת האחריות ואת מבנה הביטוח הנכון כאשר כסף, הרשאות, זהויות ותקשורת דיגיטלית נפגשים.

למה הנושא מורכב יותר ממה שנראה בהתחלה?

המורכבות מתחילה בכך שלא כל מקרה של כסף שנגנב הוא “אירוע סייבר” מבחינת הפוליסה. יש הבדל מהותי בין פריצה טכנית למערכת, בין התחזות שהובילה עובד לאשר תשלום, ובין שימוש לא מורשה בפרטים אישיים שהוביל לפתיחת חשבון או משיכת כסף.

בנוסף, צריך להבחין בין חשבון פרטי לבין חשבון עסקי, בין העברה בלתי מורשית לבין העברה שבוצעה על ידי עובד שהוטעה, ובין נזק ישיר לכסף לבין עלויות חקירה, תגובה, שיקום, ניהול אירוע, תביעות צד שלישי או נזק תפעולי.

ברמה הביטוחית יש גם הבחנות בין first-party לבין third-party coverages, בין פוליסות Claims Made לבין ניסוחי loss discovery או loss sustained בקווי Crime מסוימים, בין גבול אחריות ראשי לבין sub-limits, ובין כיסוי בסיסי לבין הרחבות ייעודיות.

ככל שיש פעילות בארה״ב, לקוחות Enterprise, דרישות חוזיות קשיחות, מידע רגיש, ספקים בינלאומיים או צוות כספים מבוזר — כך עולה החשיבות של ניסוח מדויק, בקרות תשלום, Territorial Limits, Jurisdiction, ויכולת להפיק אישורי ביטוח שתואמים את מבנה החשיפה בפועל.

אילו סוגי ביטוח או כיסויים עשויים להיות רלוונטיים?
Cyber Insurance

רלוונטי כאשר יש אירוע סייבר שכולל חדירה, גישה לא מורשית, דלף מידע, חקירה, שיקום מערכות, תגובה לאירוע, ולעיתים גם רכיבי הונאה מסוימים — אבל רק אם נוסח הכיסוי כולל אותם.

Crime / Fidelity Insurance

רלוונטי כאשר השאלה המרכזית היא אובדן כספי כתוצאה ממעשה מרמה, גניבה, מעילה, זיוף, או אירועי הונאת תשלום שממוקדים בכסף ולאו דווקא בהפרת סודיות או בשיחזור מערכות.

Social Engineering Fraud

הרחבה חשובה במיוחד כאשר עובד, ספק או גורם מוסמך מטעם החברה הוטעה לבצע פעולה שנראית לגיטימית, כמו תשלום לחשבון שגוי בעקבות התחזות. בחלק מהמקרים זו אינה כלולה אוטומטית בכיסוי הבסיסי.

Funds Transfer Fraud

כיסוי שמתמקד בהעברות כספים שהוסתו לגורם לא נכון. חשוב לבדוק האם הוא נרכש, האם הוא standalone, והאם הוא כולל הונאות מבוססות התחזות.

Professional Liability / Tech E&O

לא תמיד רלוונטי ישירות לאובדן הכסף של החברה עצמה, אך עשוי להיות רלוונטי אם לקוח טוען שנגרם לו נזק מפעולה, מחדל או כשל של שירות טכנולוגי או תהליך מקצועי שסיפקתם.

D&O Insurance

בדרך כלל אינו קו הכיסוי הראשון לאירוע כזה, אבל עשוי להיות רלוונטי אם לאחר האירוע עולות טענות ממשל תאגידי, פיקוח או הפרת חובת זהירות ברמת הנהלה.

מה משפיע על המחיר, הכיסוי או דרישות הביטוח?

פרמטר למה הוא חשוב מה לבדוק
תחום פעילות קובע סוג חשיפה, דרישות רגולטוריות ופרופיל הונאה האם החברה FinTech, SaaS, marketplace, agency או enterprise software
סוג לקוחות לקוחות Enterprise ולקוחות פיננסיים מציבים דרישות קשיחות יותר חוזים, COI, language requirements
מדינות פעילות משפיע על רגולציה, שיפוט וחשיפה תביעתית האם יש פעילות בארה״ב, בריטניה או אירופה
נפח תשלומים משפיע ישירות על סיכון להונאות והעברות שגויות מי מאשר, מי משנה פרטי בנק, ומה הסכומים
אמצעי אבטחת מידע משפיעים על חיתום ועל תנאי כיסוי MFA, segregation of duties, approval workflows, endpoint protection
בקרות תשלום קריטיות במיוחד ל־Social Engineering ו־Funds Transfer Fraud callback verification, dual approval, vendor change protocol
היסטוריית אירועים פוגעת או מייקרת כיסוי ועלולה להוביל להחרגות אירועי BEC, phishing, wire fraud, near misses
גבולות אחריות משפיעים על יכולת תגובה לאובדן אמיתי primary limit, sub-limit, aggregate
השתתפות עצמית משנה את העלות האפקטיבית של האירוע retention, deductible, waiting period אם קיים
ניסוח הפעילות תיאור פעילות לא מדויק יוצר בעיית כיסוי האם נוסח ההצעה תואם את הפעילות בפועל

 

איך נכון לבדוק הצעה, פוליסה או דרישת ביטוח בנושא הזה?

הבדיקה הנכונה מתחילה מהשאלה מהו מנגנון האובדן שהחברה רוצה לכסות. אם החשש העיקרי הוא דלף מידע, חדירה או אירוע תגובה – צריך להתחיל ב־Cyber. אם החשש העיקרי הוא הוראת תשלום מזויפת, התחזות לספק, או BEC – צריך לבדוק היטב גם Crime, Social Engineering ו־Funds Transfer Fraud.

בפועל, מומלץ לבדוק במיוחד את הנקודות הבאות:

  • מהו ה־Insuring Agreement המדויק שנועד להגיב לאובדן כספי ישיר
  • האם Social Engineering כלול בפוליסה או נדרש endorsement נפרד
  • האם קיימים sub-limits קטנים מהגבול הראשי
  • מהן ההחרגות שיכולות לפגוע בתביעה
  • האם יש תנאי מוקדם של בקרות תשלום מסוימות
  • האם Territorial Limits ו־Jurisdiction מתאימים לפעילות החברה
  • האם אפשר להפיק אישור ביטוח שעומד בדרישות חוזה
  • האם מבנה הכיסוי תואם את תהליך התשלומים בפועל, ולא רק את הארגון כפי שהוא מתואר בטופס ההצעה

במקרים רבים, השאלה אינה רק מה גובה הפרמיה, אלא האם מבנה הפוליסה מתאים לסוג הפעילות, למדינות הפעילות, לדרישות החוזיות, לגבולות האחריות ולחשיפות המרכזיות של החברה.

טעויות נפוצות

אחת הטעויות הנפוצות ביותר היא להניח שפוליסת Cyber “מכסה הכל” רק משום שהמילה “סייבר” נשמעת רחבה. בפועל, אירועי הונאת תשלום והתחזות הם תחום שבו ניסוח הפוליסה וההרחבות חשובים יותר מהכותרת.

טעויות נפוצות נוספות הן:

  • להשוות בין הצעות רק לפי מחיר
  • לא לבדוק האם Social Engineering נכלל או מוחרג
  • לא לשים לב לסאב־לימיטים על אובדן כספי
  • לא לבדוק האם החברה התחייבה בחוזה לדרישות ביטוח שלא באמת נרכשו
  • לא לבחון את תהליך שינוי פרטי הספק והוראות התשלום
  • לא לדווח בצורה מדויקת על אופי הפעילות, הלקוחות ונפח התשלומים
  • להניח שכל פריצה לחשבון בנק היא בהכרח אירוע שמכוסה בפוליסה
  • לא לבדוק התאמה בין תהליך האישור הפנימי לבין תנאי הפוליסה
  • לא להבין את ההבדל בין נזקי תגובת סייבר לבין אובדן כספי ישיר

צ׳ק־ליסט מקצועי

  • הגדירו מהם תרחישי הסיכון המרכזיים שלכם: דלף מידע, BEC, spoofing, vendor fraud, account takeover
  • בדקו האם קיים לחברה כיסוי Cyber, Crime, או שניהם
  • קראו האם Social Engineering ו־Funds Transfer Fraud מופיעים במפורש
  • בדקו גבול אחריות ראשי מול sub-limit רלוונטי
  • ודאו מהי ההשתתפות העצמית לכל קו כיסוי
  • מיפו את תהליך אישור התשלומים בפועל
  • ודאו שיש dual approval להעברות רגישות
  • קבעו callback verification לשינוי פרטי בנק של ספק
  • ודאו שימוש ב־MFA על דוא״ל, ERP ומערכות תשלום
  • בדקו האם נוסח ההצעה מתאר נכון את פעילות החברה
  • עברו על החרגות רלוונטיות ועל תנאים מוקדמים לכיסוי
  • ודאו התאמה בין דרישות החוזה לבין מבנה הפוליסה
  • בדקו האם הפעילות בארה״ב או מול לקוחות בינלאומיים משנה את הצורך בגבולות ובניסוחים
  • הכינו מראש נוהל תגובה לאירוע שכולל בנק, עו״ד, IT, הנהלה וברוקר

שאלות נפוצות

האם ביטוח סייבר מכסה גנבת זהות?

לפעמים. במקרים מסוימים קיים כיסוי לשירותי שיקום זהות, ליווי והוצאות נלוות, אך זה לא אומר בהכרח שהפוליסה תחזיר את הכסף שנגנב.

האם ביטוח סייבר מכסה פריצה לחשבון בנק?

לא באופן אוטומטי. צריך להבין אם מדובר באירוע בנקאי של העברה לא מורשית, באובדן כספי עסקי, או באירוע שמחייב כיסוי Crime / Social Engineering / Funds Transfer Fraud.

האם הבנק תמיד מחזיר את הכסף?

לא תמיד. זה תלוי בנסיבות, בסוג החשבון, בדרך שבה בוצעה ההעברה, במהירות הדיווח ובמסגרת ההסכמית או הרגולטורית הרלוונטית.

מה ההבדל בין Cyber לבין Crime Insurance?

Cyber מתמקד בדרך כלל באירועי אבטחת מידע, חדירה, תגובה, שיקום ותביעות נלוות. Crime מתמקד יותר באובדן כספי ישיר כתוצאה ממרמה, זיוף, מעילה או הונאות תשלום.

האם פעילות בארה״ב משנה את הדרישות?

לעיתים כן. פעילות בארה״ב, לקוחות אמריקאיים או חוזים עם גופים בינלאומיים עשויים להשפיע על ניסוחי הכיסוי, גבולות האחריות, דרישות ה־COI וסוגי הכיסוי שכדאי לשלב.

מה חשוב לבדוק לפני חתימה על פוליסה?

מה מכוסה בדיוק, מה לא מכוסה, אילו הרחבות נרכשו, מהם הסאב־לימיטים, ואילו בקרות תפעוליות החברה צריכה להפעיל כדי לא לפגוע בכיסוי.