Salta al contingut principal

Ciberassegurança per a petites empreses el 2026: Requisits d'MFA, cobertura de ransomware i referents de primes

· 15 minuts de lectura
Mike Thrift
Mike Thrift
Marketing Manager

El quaranta-un per cent de les sol·licituds d'assegurança ciber per a petites empreses es deneguen en la primera tramesa. El setanta-tres per cent de les petites empreses no superen les seves avaluacions. I entre les que sí que tenen una pòlissa i presenten una reclamació, més del 40 per cent acaben sense cap indemnització —sovint perquè la cobertura no coincidia amb el tipus de pèrdua.

Si aquestes xifres semblen desfasades respecte al món de fa tres anys, és perquè ho estan. El mercat de les assegurances ciber ha viscut una evolució frenètica: augments dràstics de les primes el 2021-2022, dos anys de moderació de preus mentre les asseguradores perfeccionaven la seva subscripció de riscos, i ara un gir brusc cap amunt. S&P Global Ratings preveu un augment de les primes del 15 al 20 per cent a tot el mercat el 2026, impulsat per un salt del 126 per cent en els incidents de ransomware el primer trimestre de 2025 i un augment del 800 per cent en el robatori de credencials.

2026-05-09-cyber-insurance-small-business-2026-mfa-requirements-ransomware-coverage-premium-benchmarks

Per a una petita empresa, la pregunta pràctica no és si ha de comprar una assegurança ciber —a hores d'ara, la majoria de prestadors, proveïdors i clients la donen per feta. Les preguntes difícils són: Quins controls cal tenir implementats per ser elegible? Quant s'ha de pagar realment? I què és el que la pòlissa no cobrirà quan passi el pitjor? Aquesta guia repassa el que ha canviat per al 2026 i com preparar una sol·licitud creïble.

Què cobreix realment l'assegurança ciber

Les pòlisses ciber es divideixen en dues categories àmplies, i la majoria de les petites empreses necessiten totes dues.

Cobertura de danys propis (First-Party Coverage)

La cobertura de danys propis paga els danys a la teva pròpia empresa quan es produeix un incident. Els components principals són:

  • Resposta a incidents i anàlisi forense: els investigadors determinen com han entrat els atacants, què han tocat i quines dades han sortit de l'edifici. Només això sol costar entre 50.000 i 150.000 dòlars per un incident de mida mitjana.
  • Ransomware i extorsió ciber: pagaments de rescats (on estigui legalment permès), serveis de negociació i suport per al desxifratge.
  • Interrupció de l'activitat empresarial: pèrdua d'ingressos i costos operatius addicionals mentre els sistemes estan inactius. Un esdeveniment de ransomware mitjà manté una petita empresa fora de línia entre 11 i 22 dies.
  • Restauració de dades: reconstrucció de fitxers, bases de dades i configuracions danyades.
  • Notificació de violació de dades: correus, centres de trucades, monitoratge de crèdit per als clients afectats —normalment requerit per la llei estatal.
  • Gestió de crisis i PR: treballs de comunicació per limitar el dany a la reputació.

Les reclamacions de danys propis representen ara aproximadament el 62 per cent de totes les reclamacions ciber gestionades activament en les carteres de les principals reasseguradores, cosa que reflecteix com una gran part de la pèrdua ciber moderna és la interrupció operativa més que la responsabilitat davant de tercers.

Cobertura de responsabilitat civil (Third-Party Coverage)

La cobertura a tercers paga quan algú et demanda a causa d'un incident —un client les dades del qual han estat exposades, un proveïdor els sistemes del qual has compromès, o un regulador que imposa multes sota la HIPAA, el GDPR o les lleis de privadesa estatals. Cobreix els costos de defensa, acords, sentències i sancions reguladores on siguin assegurables.

Una petita empresa que gestioni dades de pagament de clients, informació sanitària o qualsevol informació personal regulada necessita ambdues parts de la pòlissa. Ometre la cobertura de tercers és una de les maneres més habituals en què les petites empreses acaben estant infraassegurades per a l'incident real al qual s'enfrontaran tard o d'hora.

Com són realment les primes el 2026

Els preus varien àmpliament segons el sector, els ingressos, el volum de dades i el nivell de seguretat, però aquests són els rangs que veuran la majoria de les petites empreses:

  • Prima anual per a 1 milió de dòlars de cobertura: entre 1.000 i 7.500 dòlars per a petites empreses amb uns ingressos inferiors a uns 5 milions de dòlars.
  • Prima mensual mitjana: de 134 a 145 dòlars al mes, amb un benchmark mitjà nacional al voltant dels 83 dòlars al mes.
  • Sectors d'alt risc (sanitat, serveis jurídics, serveis financers, MSP): sovint entre 2 i 4 vegades la línia de base.
  • Controls de seguretat sòlids: normalment redueixen les primes entre un 15 i un 30 per cent.
  • Avaluacions fallides: poden provocar augments de la prima superiors al 300 per cent o la denegació directa.

L'incident ciber mitjà no assegurat costa ara a una petita empresa més de 79.000 dòlars —sovint un esdeveniment terminal per a empreses amb marges estrets. Aquest càlcul és la raó per la qual la majoria dels propietaris acaben concloent que fins i tot una prima anual de 3.000 dòlars és millor que autofinançar el primer incident.

Però la prima és només la meitat de l'equació. La franquícia (sovint anomenada "retenció" en les pòlisses ciber) sol oscil·lar entre els 2.500 i els 25.000 dòlars per a pòlisses de petites empreses. Els sublímits limiten el que la pòlissa paga per tipus d'incident específics —una pòlissa de 2 milions de dòlars amb un sublímit de ransomware de 250.000 dòlars significa que un esdeveniment de ransomware es liquida com a màxim per 250.000 dòlars independentment del dany total. Llegeix sempre el quadre de sublímits, no només el límit principal de la pòlissa.

La llista de verificació de subscripció per al 2026

Les asseguradores han passat de fer preguntes de seguretat generals a exigir proves documentades de controls específics. El noranta-nou per cent de les sol·licituds d'assegurança ciber inclouen ara preguntes detallades sobre MFA. El vuitanta-vuit per cent de les companyies asseguradores exigeixen eines EDR o MDR en tots els punts finals. Això és el que els subscriptors de riscos esperen veure:

Autenticació de múltiples factors (MFA) a tot arreu

Aquesta és la raó més comuna de denegació. L'MFA s'ha d'imposar —no només estar disponible— a:

  • Correu electrònic (especialment Microsoft 365 i Google Workspace)
  • VPN i accés remot
  • Plataformes al núvol (AWS, Azure, GCP, consoles d'administració SaaS)
  • Tots els comptes administratius i amb privilegis
  • Sistemes comptables i ERP
  • Sistemes d'intercanvi de fitxers i còpies de seguretat

Si l'MFA no s'implementa de manera universal, moltes asseguradores es negaran a subscriure la cobertura. "Majoritàriament imposat" o "hi estem treballant" ja no és suficient.

Detecció i resposta de punts finals (EDR o MDR)

L'antivirus tradicional ja no és suficient. Les asseguradores esperen un producte EDR modern —CrowdStrike, SentinelOne, Microsoft Defender for Endpoint o equivalent— desplegat en cada punt final. Un sol ordinador portàtil no gestionat pot desqualificar una sol·licitud sencera. Cada increment del 25 per cent en el desplegament de l'EDR es correlaciona amb aproximadament una disminució del 10 per cent en la probabilitat de reclamacions per bretxes, i els subscriptors de riscos ho saben.

Còpies de seguretat provades, immutables i externes

Tenir còpies de seguretat no és suficient. Els subscriptors de riscos volen:

  • Emmagatzematge extern o aïllat (air-gapped) perquè el ransomware no pugui xifrar-los
  • Immutabilitat: còpies de seguretat que no es poden alterar ni suprimir una vegada escrites
  • Proves de restauració documentades, idealment trimestrals
  • Objectius de temps i punt de recuperació (RTO i RPO) que coincideixin amb la vostra tolerància a la interrupció del negoci

Moltes empreses fan còpies de seguretat durant anys sense provar mai una restauració. Quan arriba el ransomware, descobreixen que les còpies estan corruptes, incompletes o que triguen tres setmanes a restaurar-se. Les asseguradores han après la lliçó i ara exigeixen proves de restauració.

Pla de resposta a incidents per escrit

Un pla de resposta a incidents actualitzat amb rols definits, rutes d'escalada, plantilles de comunicació i, idealment, notes d'exercicis de simulació. Les asseguradores volen veure que heu reflexionat sobre les primeres 48 hores d'un incident abans que aquest passi.

Formació en conscienciació de seguretat

Formació anual documentada més campanyes de simulació de pesca (phishing). Els registres de finalització de la formació dels darrers 12 mesos han d'estar disponibles a petició. El phishing continua sent el vector d'entrada per a la majoria de les bretxes en petites empreses.

Gestió de pedaços i escaneig de vulnerabilitats

Evidència que apliqueu pedaços a les vulnerabilitats crítiques dins dels terminis definits (normalment de 14 a 30 dies per a problemes de gravetat alta) i que realitzeu escanejos de vulnerabilitats externs regulars.

El paquet de proves

Quan sol·liciteu o renoveu, prepareu un paquet amb:

  • Captures de pantalla de l'aplicació de l'MFA que mostrin els comptes coberts
  • Informes de desplegament de l'EDR que mostrin el percentatge de cobertura
  • Registres de còpia de seguretat amb dates i resultats de les proves de restauració
  • Registres de finalització de la formació i informes de simulació de phishing
  • El vostre pla de resposta a incidents actualitzat
  • Política de gestió de pedaços i resultats dels escanejos recents

Presentar aquest paquet per endavant —en lloc de respondre als qüestionaris de manera reactiva— sol produir pressupostos més ràpids i millors preus.

Ransomware: La cobertura dins de la cobertura

El ransomware representa el 60 per cent del valor de les grans reclamacions de ciberseguretat, amb pagaments mitjans que ara superen els 400.000 dòlars i costos totals de l'esdeveniment (rescat + recuperació + interrupció del negoci + legal) que sovint assoleixen entre 1 i 5 milions de dòlars per a empreses mitjanes. Només la família de ransomware Akira té una mitjana d'1,2 milions de dòlars en demandes inicials.

Les asseguradores han respost amb tres canvis estructurals:

  1. Sublímits que limiten els pagaments per ransomware molt per sota del límit general de la pòlissa.
  2. Coassegurança que requereix que cobriu del 20 al 50 per cent de la pèrdua per ransomware de la vostra butxaca.
  3. Exclusions de cobertura per a incidents que "podrien s'haurien pogut prevenir amb controls bàsics de seguretat", una clàusula que es converteix en una disputa en el moment de la reclamació si el vostre MFA era incomplet o el vostre EDR tenia mancances de cobertura.

Llegiu detingudament la secció de ransomware de qualsevol pressupost. Dues pòlisses amb límits idèntics de 2 milions de dòlars poden tenir condicions econòmiques de ransomware radicalment diferents. I si esteu en un sector on els reguladors desaconsellen el pagament de rescats (o on les sancions de l'OFAC us podrien implicar), assegureu-vos que la vostra pòlissa encara cobreixi els costos de recuperació encara que el rescat en si estigui exclòs.

Exclusions que afecten les empreses més petites

Algunes categories d'exclusió mereixen una atenció específica:

Guerra i atacs patrocinats per l'estat

Arran del mandat de Lloyd's de London del 2023, la majoria de les pòlisses ara exclouen les pèrdues derivades d'operacions cibernètiques amb el suport d'estats. La redacció és enormement important. El risc per a una petita empresa típica no és ser l'objectiu individual d'un estat-nació, sinó veure's arrossegada en un esdeveniment d'explotació massiva (penseu en NotPetya, MOVEit o la propera onada de la cadena de subministrament) on l'atribució a un actor estatal activa l'exclusió per a milers d'afectats innocents. Pregunteu al vostre corredor com tracta la pòlissa les pèrdues indirectes basades en l'atribució, no només els atacs directes.

Enginyeria social i frau de transferència de fons

Moltes ciberpòlisses cobreixen la part de la bretxa de dades d'un atac de phishing però no la transferència bancària fraudulenta que produeix. Si un atacant enganya el vostre comptable per transferir 80.000 dòlars a un proveïdor fals, la pèrdua pot quedar fora de la cobertura cibernètica i requerir un annex separat per a delictes o enginyeria social. Confirmeu-ho explícitament.

Dispositius sense xifrar

Algunes pòlisses exclouen els incompliments que involucren ordinadors portàtils o dispositius mòbils sense xifrar. El xifrat de disc complet en cada dispositiu final és alhora econòmic i una mesura defensiva que tanca aquesta exclusió.

Porta el teu propi dispositiu (BYOD)

Si el personal utilitza dispositius personals per a la feina, pregunta si els incidents originats en dispositius personals estan coberts. Moltes pòlisses requereixen dispositius gestionats per l'empresa.

Actes previs i vulnerabilitats conegudes

Si es va revelar una vulnerabilitat abans de contractar la cobertura i no la vas corregir amb un pedaç, les reclamacions vinculades a aquesta vulnerabilitat poden ser excloses. Mantén una gestió de pedaços documentada per rebatre aquest argument.

Motius comuns pels quals es deneguen les reclamacions

Quan s'analitza la taxa de denegació de reclamacions, superior al 40 per cent, les causes recurrents són:

  • Declaració falsa a la sol·licitud: afirmar que l'MFA era universal quan no ho era, exagerar el desplegament de l'EDR o falsejar les pràctiques de còpia de seguretat.
  • Incompliment de les disposicions de notificació de la pòlissa: la majoria de les pòlisses requereixen una notificació en un termini de 60 a 72 hores després del descobriment, de vegades abans.
  • Tipus de pèrdua exclosa: l'incident va ser un frau per transferència bancària, no una filtració de dades, i la pòlissa no incloïa el frau en la transferència de fons.
  • Manca de controls: un control obligatori (MFA en un sistema específic, còpies de seguretat xifrades, etc.) no estava realment implementat en el moment de la pèrdua.
  • Esgotament del sublímit: la pèrdua estava coberta, però es va assolir el sublímit i la resta va anar a càrrec de l'empresa.

La defensa contra la majoria d'aquests casos és la mateixa: respon a la sol·licitud amb precisió, documenta els controls que dius tenir i llegeix les seccions de notificació i exclusió de la pòlissa abans de contractar-la.

Quin paper hi juga la comptabilitat

L'assegurança ciber no és només una decisió d'IT; és una decisió financera. La teva prima, la teva franquícia, els teus sublímits i l'exposició a pèrdues més enllà dels límits de la teva pòlissa haurien d'aparèixer al pressupost operatiu i al registre de riscos. Després d'un incident, necessitaràs un rastre net i auditable de:

  • Factures de proveïdors forenses
  • Costos de notificació i seguiment del crèdit
  • Càlculs de pèrdua d'ingressos durant el temps d'inactivitat (que les asseguradores qüestionaran)
  • Honoraris legals, pagaments d'acords i sancions reguladores
  • Millores de capital realitzades en els controls de seguretat (sovint compensades parcialment per millores en les primes futures)

Les asseguradores i els seus comptables forenses examinen de prop les reclamacions per interrupció de l'activitat comercial. Com més neta sigui la teva comptabilitat diària —amb les despeses relacionades amb la ciberseguretat registrades en els seus propis comptes i els patrons d'ingressos documentats al llarg del temps—, més fluida serà la reclamació. Les empreses que presenten una reclamació amb una comptabilitat de "caixa de sabates" recuperen menys i més lentament que aquelles que fan tancaments mensuals coherents.

Aquí també és on importa poder reproduir els teus llibres en qualsevol moment. Si un atac de ransomware corromp la teva base de dades comptable, restaurar des d'una còpia de seguretat dels teus llibres és fonamental fins i tot per calcular la reclamació.

Passos pràctics a seguir

Si estàs buscant una assegurança ciber per primera vegada, o si la teva renovació és en els propers 90 dies:

  1. Audita els teus controls segons la llista de verificació de subscripció anterior. Sigues honest sobre les mancances: sortiran a la llum ara o en el moment de la reclamació.
  2. Tanca primer les mancances barates i d'alt impacte. MFA al correu electrònic, VPN i comptes d'administrador. EDR a cada dispositiu final. Còpies de seguretat externes provades.
  3. Prepara el paquet de proves abans de parlar amb els corredors. Els pressupostos arribaran més ràpid i seran més ajustats.
  4. Obtén tres pressupostos d'asseguradores amb perfils diferents. Una asseguradora especialitzada en ciberseguretat, el producte ciber d'una gran asseguradora comercial i un paquet de ciberseguretat gestionada poden oferir condicions sorprenentment diferents.
  5. Llegeix els sublímits, les exclusions i les disposicions de notificació abans de contractar, no després d'un incident.
  6. Preveu un augment de la prima del 15 al 20 per cent en la renovació, fins i tot si la teva seguretat ha millorat; és un canvi general del mercat, no un reflex del teu risc específic.
  7. Programa un simulacre de taula (tabletop exercise) en els 90 dies posteriors a la contractació perquè el teu pla de resposta a incidents no sigui només una carpeta que ningú ha obert.

Mantén els teus registres financers a punt per a una auditoria

Quan es produeix un incident ciber, els comptables forenses que revisin la teva reclamació per interrupció de l'activitat demanaran els P&G mensuals, detalls de les transaccions i patrons d'ingressos històrics de fa anys; i com més neta sigui la teva comptabilitat, més gran serà la reclamació recuperable. Beancount.io ofereix comptabilitat en text pla que és transparent, amb control de versions i fàcil de copiar juntament amb la resta de les teves dades crítiques; sense bases de dades propietàries que es puguin corrompre ni dependència d'un proveïdor que retardi la teva recuperació. Comença gratuïtament i mantén la teva comptabilitat en un format que encara sigui llegible quan més la necessitis.

Share on TwitterFollow @beancount_io

Comença amb Beancount.io

Pren el control de les teves finances amb el nostre sistema de comptabilitat per partida doble de codi obert. Comença el teu llibre comptable avui mateix.

Comença gratisVeure preus

Primers passos

Funcions

Comunitat

Legal

Beancount.io© 2019 - 2026 Beancount.io
Descarrega a l'App StoreDisponible a Google Play
Creat amb transparència • Controlat per versions • Impulsat per IA