En los últimos meses, grandes empresas como Iberdrola, Telefónica o Banco Santander han sido víctimas de ataques informáticos. Lejos de disminuir, la ciberdelincuencia sigue en aumento, poniendo en riesgo la producción y los empleos de miles de trabajadores, tanto en grandes corporaciones como en PYMES. A menudo, estas últimas, son utilizadas como puerta de entrada a grandes compañías en lo que se conoce como ataques a la cadena de suministro.
En los casos más extremos, los ciberataques han obligado a algunas corporaciones a detener por completo su actividad, planteando la cuestión de si estos incidentes pueden considerarse fuerza mayor para tramitar un expediente de regulación temporal de empleo (ERTE). Actualmente, la ley no especifica claramente los supuestos que podrían incluirse en esta categoría; sin embargo, la sentencia 908/2024 del Tribunal Supremo ha respaldado la posibilidad de aplicar un ERTE de fuerza mayor en caso de paralización de la actividad por un ciberataque.
Aunque esta solución puede parecer útil en ciertos aspectos, sería necesario profundizar en el concepto y aclarar qué se entiende exactamente por “caso de fuerza mayor”. ¿Hasta qué punto haber realizado tareas de ciberseguridad o contar con un experto en la plantilla es suficiente para demostrar que el ataque era, efectivamente, inevitable?
Como punto de partida, el Alto Tribunal puntualiza que el concepto de “fuerza mayor” (ex artículo 1105 del Código Civil) se refiere a “aquellos hechos que, aun siendo previsibles, resultan inevitables, insuperables e irresistibles, siempre que su causa sea independiente y ajena a la voluntad del sujeto obligado”. Además, aclara que no es necesario que concurra “imprevisibilidad”, siendo suficiente con que, aun siendo previsible, el hecho sea inevitable. Por otra parte, el Tribunal Supremo destaca que, aunque la fuerza mayor se ha asociado tradicionalmente a sucesos naturales, también puede aplicarse a hechos provocados por el ser humano. La principal diferencia entre ambas causas radica en que la primera es un evento externo, ajeno a la voluntad de la empresa y de carácter extraordinario, mientras que la segunda es una causa introducida, favorecida o exigida por las circunstancias, pero siempre ordinaria y voluntaria. Sin embargo, algunos de estos sucesos humanos pueden superar las previsiones del desarrollo ordinario y, al no poder ser evitados (inevitabilidad), pueden considerarse fuerza mayor.
Un ciberataque puede detener por completo la actividad, lo que plantea la cuestión de si estos incidentes pueden considerarse fuerza mayor para tramitar un ERTE
En definitiva, el SEPE solo ofrecerá prestaciones por desempleo a las empresas si se demuestra que el ataque fue inevitable y que se adoptaron las medidas de diligencia necesarias para prevenirlo. En la práctica, es muy complicado establecer una lista específica de supuestos que puedan considerarse fuerza mayor. Entonces, ¿cómo garantizamos que todas las empresas afectadas por ciberataques se ajusten a los mismos criterios al solicitar la prestación del SEPE? El mero hecho de contratar servicios de ciberseguridad no debe ser suficiente, ya que el incidente puede haber estado acompañado de evidentes negligencias. Por otro lado, ¿quién evalúa si la compañía ha realizado la debida diligencia y ha cumplido con sus obligaciones? ¿No añadiría esto complejidad y retrasos en el proceso?
Como siempre, la mejor forma de evitar esta situación sigue siendo la inversión en ciberseguridad, tanto a nivel público como privado. Las empresas deben adherirse a marcos de trabajo y mejores prácticas de seguridad, así como cumplir con las múltiples normativas aplicables: DORA, NIS2, GDPR, y otras. Cuantas más prácticas de ciberseguridad realicemos, más protegidos estaremos ante un incidente, y más documentación y argumentos podremos usar para demostrar que la compañía ha hecho su trabajo.
En conclusión, la decisión del Tribunal Supremo resalta la importancia de invertir en ciberseguridad. Las empresas deben ser proactivas en la protección de sus sistemas, no sólo para prevenir ataques, sino también para evitar las repercusiones laborales que puedan derivarse de ellos. Este fallo supone un avance en la defensa de los derechos de las empresas ante ciberataques de gran magnitud, aunque no soluciona la complejidad de evaluar qué es un incidente de fuerza mayor. Recomendamos a las empresas estar atentas para ver cómo evoluciona la posibilidad de aplicar ERTEs como medida para mitigar sus consecuencias negativas ante un incidente de ciberseguridad. No obstante, la mejor estrategia sigue siendo la inversión y la prevención. Invertir en medidas de seguridad sólidas y actualizadas es la mejor forma de minimizar el riesgo de ciberataques y garantizar la continuidad del negocio.