Más Allá de la Multa: Cuándo un Ciberataque se Transforma en un Hecho Esencial para la CMF

El panorama de riesgos tras un ataque informático ha cambiado drásticamente. Anteriormente, el costo se medía principalmente en términos operativos. Hoy, la Ley Marco de Ciberseguridad (N° 21.663) y la Ley de Protección de Datos Personales (N° 21.719) añaden el riesgo de multas administrativas significativas.

Sin embargo, limitar el análisis a estas dos aristas es insuficiente. El riesgo se extiende a otros ámbitos regulatorios críticos:

1. Delitos Económicos: Los efectos de la Ley N° 21.595 si el incidente constituye un delito informático y revela fallas en los modelos de prevención de la empresa.
2. Responsabilidad ante el Mercado de Capitales: Para las sociedades anónimas abiertas y entidades registradas ante la Comisión para el Mercado Financiero (CMF), la obligación de informar al mercado.

La Materialidad del Incidente Cibernético

La obligación de reportar un Hecho Esencial a la CMF no se limita a eventos puramente financieros. Se activa por la "materialidad" del evento; es decir, su capacidad para influir razonablemente en la decisión de un inversionista prudente. Un incidente de ciberseguridad grave o una brecha de datos masiva califican claramente bajo este criterio.

Un incidente tecnológico se transforma en un Hecho Esencial cuando cumple uno o más de los siguientes criterios:

1. Impacto Financiero Significativo: Los costos directos de remediación, las multas regulatorias esperadas, las provisiones por litigios o los pagos por extorsión (ransomware) superan los umbrales de materialidad de la compañía.
2. Interrupción de Operaciones Estratégicas: La paralización de sistemas críticos (ej. producción, facturación, logística) afecta la capacidad de la empresa para generar ingresos, cumplir contratos relevantes o mantener la continuidad del negocio.
3. Daño Reputacional Severo: Una exposición masiva de datos sensibles de clientes o información confidencial estratégica erosiona la confianza pública de manera tal que puede afectar negativamente el valor bursátil de la acción.

Pérdida de Propiedad Intelectual Crítica: El robo de secretos comerciales que comprometa la ventaja competitiva de la empresa.

La responsabilidad del directorio

La decisión de cuándo, cómo y qué informar a la CMF recae directamente en el Directorio. Omitir, falsear o retrasar injustificadamente el reporte de un incidente material no es una simple falta administrativa; constituye un incumplimiento de los deberes fiduciarios (deber de cuidado y lealtad) de los directores.

Esta omisión expone personalmente a los directores a sanciones de la CMF y a eventuales demandas civiles por perjuicios por parte de los accionistas.

La evaluación del riesgo cibernético, por tanto, debe dejar de ser una preocupación secundaria delegada a la gerencia de TI. Debe integrarse formalmente en la agenda de gobernanza del Directorio, con el mismo nivel de seriedad y supervisión que los riesgos financieros o de mercado.