Atualmente, o ambiente digital permeia todos os aspectos das operações empresariais, os seguros cibernéticos emergem como uma salvaguarda indispensável. Estes seguros, também conhecidos como seguros de responsabilidade cibernética ou seguros de cibersegurança, proporcionam proteção contra perdas financeiras ocasionadas por incidentes cibernéticos. As empresas de hoje, independentemente do tamanho ou setor, enfrentam uma ameaça crescente de ataques cibernéticos e violações de dados. A complexidade e o custo destes incidentes são substanciais, com a violação média custando aproximadamente USD 435 milhões, conforme um relatório da IBM.
Essa realidade torna o seguro cibernético um elemento crítico na estratégia de gerenciamento de riscos das empresas. Não apenas por ser uma resposta aos riscos iminentes, mas também por ser uma exigência crescente em um ambiente de negócios cada vez mais regulamentado e dependente de dados digitais. A demanda por seguro cibernético é impulsionada pela necessidade de proteger não apenas as operações e a reputação da empresa, mas também para cumprir com as regulamentações como a Lei Geral de Proteção de Dados (LGPD) no Brasil.
Os seguros cibernéticos surgiram para preencher lacunas deixadas por apólices de seguro empresarial convencionais, cobrindo desde pagamentos de resgate e remediação de ataques de malware até despesas legais e danos a terceiros. Estes seguros são fundamentais para assegurar a continuidade dos negócios, mitigando impactos financeiros de ataques cibernéticos e oferecendo suporte na rápida recuperação dos sistemas e dados comprometidos.
A análise jurídica e as normativas da SUSEP relacionadas aos seguros cibernéticos no Brasil revelam uma evolução significativa e uma adaptação às particularidades dos riscos cibernéticos. Essa evolução é evidente a partir de algumas observações chave:
Anteriormente, muitas apólices de seguros, como o seguro de responsabilidade de administrador (seguro D&O), eram silenciosas em relação aos riscos cibernéticos. Isso significava que tais riscos, não sendo explicitamente identificados no momento da contratação, estavam tacitamente cobertos, gerando incerteza para as seguradoras. No entanto, desde 2020, houve um movimento no Brasil para tratar especificamente os chamados "silent cyber risks". A Circular Susep nº 637, de 27 de julho de 2021, foi um marco regulatório nesse sentido, definindo expressamente as consequências para sinistros decorrentes de eventos cibernéticos e geralmente excluindo-os da cobertura básica.
A Circular Susep mencionada acima classificou o seguro de responsabilidade civil compreensivo riscos cibernéticos (RC riscos cibernéticos) como um ramo específico dentro do grupo de responsabilidades. Isso favoreceu a segregação desses riscos pelas seguradoras, permitindo que uniformizassem suas carteiras com base em critérios estatísticos mais precisos. Essa medida visa minimizar a incerteza inerente ao "silent cyber risk". Para os segurados, isso implica a necessidade de entender e lidar com as exclusões de riscos cibernéticos, que podem exigir a contratação separada ou combinada de várias apólices para cobrir um risco em todas as suas dimensões.
Os seguros de riscos cibernéticos, assim como outros produtos securitários, enfrentam a dicotomia entre coberturas e exclusões. Esta dicotomia é influenciada pelo grau de aversão ou aceitação do risco pelas seguradoras e resseguradoras. Em termos de seguros cibernéticos, essas entidades se deparam com muitas incertezas, em contraste com os riscos tradicionalmente mensuráveis aos quais estão acostumadas. Isso tende a limitar a aceitação do risco por meio de um vasto leque de exclusões, que no contexto cibernético, assumem um peso ainda maior, incluindo exclusões tradicionais como guerra, terrorismo, propriedade intelectual e exclusões do mercado de capitais.
O seguro cibernético, essencial no cenário atual de riscos digitais, oferece uma gama de coberturas e particularidades que refletem a complexidade e os desafios enfrentados pelas empresas na era digital. Esta modalidade de seguro, que vem ganhando destaque especialmente após a introdução da Lei Geral de Proteção de Dados (LGPD) no Brasil, abrange aspectos cruciais como a defesa em processos judiciais e o restabelecimento da imagem corporativa após um incidente cibernético. Estes seguros desempenham um papel vital na proteção contra as consequências financeiras e reputacionais de ataques cibernéticos e vazamentos de dados.
As apólices de seguro cibernético incluem responsabilidade por dados pessoais e corporativos, abordando a divulgação pública não autorizada de informações confidenciais e a violação de dados. Isso se torna particularmente relevante em um contexto onde a segurança de dados se tornou uma questão de alta prioridade para empresas de todos os portes. Além disso, a cobertura para interrupção de rede oferece um suporte financeiro para perdas de lucro líquido e despesas operacionais decorrentes de falhas de segurança, um aspecto crucial em um mundo onde a dependência de sistemas digitais é cada vez maior.
Um ponto de atenção nas apólices de seguro cibernético é a sua conformidade com a LGPD. Elas são projetadas para abranger não apenas os danos diretos causados por incidentes cibernéticos, mas também as multas e sanções impostas por violações de dados, demonstrando a interseção entre a cibersegurança e o compliance legal.
No entanto, as apólices de seguro cibernético também apresentam exclusões significativas. Por exemplo, muitas seguradoras exigem que as empresas implementem medidas de segurança robustas, como autenticação de múltiplos fatores e criptografia de dados, para se qualificarem para a cobertura. Além disso, incidentes que envolvem vulnerabilidades conhecidas e não corrigidas ou falhas de rede não relacionadas a ataques cibernéticos geralmente são excluídos da cobertura. Esse cenário destaca a importância de uma gestão de riscos cibernéticos eficaz por parte das empresas.
Além disso, o mercado de seguros cibernéticos enfrenta seus próprios desafios. A demanda por esse tipo de seguro tem aumentado consistentemente, mas isso também resultou em um aumento nos custos das apólices, representando um desafio particular para as pequenas empresas. A adoção crescente do trabalho remoto, acelerada pela pandemia de COVID-19, também aumentou a demanda por seguros cibernéticos, dada a maior vulnerabilidade a ataques maliciosos nesse modelo de trabalho.
Assim, é importante destacar que certos setores, como tecnologia da informação e saúde, são mais visados devido à sua alta dependência da tecnologia digital, o que os coloca em maior risco de ataques cibernéticos. Essa realidade reforça a necessidade de seguros cibernéticos sob medida, que possam atender às necessidades específicas de diferentes segmentos de mercado.
A avaliação de riscos e a determinação de prêmios em seguros cibernéticos apresentam um quadro complexo e desafiador, onde as seguradoras se deparam com a escassez de dados históricos sobre os custos associados a ataques cibernéticos. Esta falta de dados dificulta significativamente a criação de modelos de risco precisos e a estabilização dos preços das apólices. Consequentemente, diante de um aumento nos prejuízos, as seguradoras têm respondido com elevações nos prêmios e restrições nas coberturas. Exemplificando esta tendência, a AXA na França suspendeu a cobertura para pagamentos de resgate em casos de ransomware, e a Lloyd's of London excluiu a cobertura de ataques cibernéticos patrocinados por estados, um segmento notoriamente custoso.
Além disso, há uma crescente ênfase na colaboração entre seguradoras e segurados, especialmente em contextos de alto risco. Esta colaboração promove uma sinergia que transcende a visão tradicionalmente securitária, abrangendo desde a subscrição da apólice até a regulação de sinistros. O aprendizado mútuo advindo dessa parceria é essencial para o desenvolvimento de estratégias eficazes de segurança cibernética. O foco se desloca da proteção contra as consequências dos riscos cibernéticos, representada pela apólice de seguro, para um esforço conjunto na identificação e mitigação das causas subjacentes desses riscos.
Este cenário reflete a natureza volátil e imprevisível dos riscos digitais, exigindo modelos de risco mais sofisticados e uma maior cooperação entre segurados e seguradoras. Essa evolução contínua é fundamental para fortalecer a resiliência e adaptabilidade do setor de seguros cibernéticos. Conforme os riscos cibernéticos e as práticas de segurança continuam a evoluir, a abordagem para avaliação de riscos e determinação de prêmios deve acompanhar essas mudanças, buscando maneiras mais eficientes e eficazes de enfrentar as ameaças cibernéticas.
Os seguros cibernéticos, cada vez mais essenciais no cenário empresarial atual, enfrentam uma série de desafios e complexidades, especialmente no que se refere à sua estrutura de coberturas e exclusões, bem como às disputas e litígios que podem surgir.
Primeiramente, é fundamental entender a delicada balança entre as coberturas oferecidas e as exclusões impostas pelas seguradoras e resseguradoras. Essas empresas, ao lidar com os seguros cibernéticos, enfrentam um terreno cheio de incertezas, muito em função da novidade e da complexidade dos riscos cibernéticos. Diferentemente de riscos tradicionais, que são mais previsíveis e mensuráveis, os riscos cibernéticos tendem a ser mais aleatórios e, portanto, mais difíceis de quantificar. Isso leva as seguradoras a adotarem um vasto arsenal de exclusões, algumas das quais são mais críticas neste tipo de seguro, como as relacionadas a guerra, terrorismo, propriedade intelectual e questões do mercado de capitais.
Em situações de violação de segurança, como ataques de ransomware ou vazamentos de dados, as seguradoras desempenham um papel crucial, oferecendo suporte especializado para gerenciar o incidente. Este apoio pode incluir desde a contenção do problema até a avaliação dos danos, abrangendo indenizações que cobrem despesas legais, notificação de vítimas de violação de dados, recuperação de informações e até a interrupção dos negócios.
Um aspecto relevante na gestão dos seguros cibernéticos é a maneira como esses riscos são categorizados e segregados pelas seguradoras. Com a classificação dos riscos cibernéticos como um ramo específico dentro do grupo de responsabilidades, as seguradoras conseguem uniformizar suas carteiras segundo critérios estatísticos mais precisos. Isso ajuda a reduzir a incerteza associada ao silent cyber risk. Contudo, essa segregação impõe aos segurados a necessidade de entender e gerenciar as exclusões de riscos cibernéticos, muitas vezes recorrendo à contratação de múltiplas apólices para assegurar uma cobertura abrangente.
Além disso, as restrições nas apólices são um ponto chave. Por exemplo, a cobertura para pagamentos de resgate em casos de ransomware vem sendo limitada ou mesmo eliminada por alguns provedores devido ao alto custo desses resgates. Outras exclusões comuns envolvem violações indiretas, como aquelas que ocorrem através de fornecedores ou parceiros, resultando em roubo de dados ou interrupção de serviços.
Por fim, a crescente virtualização das atividades empresariais amplifica os riscos, seguindo padrões que ainda não são completamente conhecidos ou mapeados. A oferta de coberturas amplas sem as devidas ressalvas pode levar a um risco sistêmico, colocando em xeque a solvência do sistema securitário como um todo. Essa preocupação é compartilhada globalmente, com entidades como o pool ressegurador londrino Lloyds destacando a importância de uma clara definição sobre a inclusão ou exclusão dos riscos cibernéticos nas apólices.
Esses elementos ressaltam a complexidade inerente ao seguro cibernético, revelando um cenário onde a compreensão detalhada de cada aspecto se torna vital tanto para seguradoras quanto para os segurados.
Os seguros cibernéticos emergem como um elemento vital no tecido das operações empresariais contemporâneas, representando não apenas uma proteção financeira, mas também uma estratégia indispensável de gestão de riscos. Neste cenário dinâmico e em constante evolução, as empresas enfrentam desafios multifacetados que vão além da simples contratação de uma apólice. A dicotomia entre coberturas e exclusões reflete a complexidade e a natureza imprevisível dos riscos cibernéticos, exigindo das seguradoras uma abordagem cautelosa e criteriosa.
O papel das seguradoras estende-se para além da oferta de cobertura financeira, envolvendo também o suporte especializado no gerenciamento de incidentes, algo crucial em situações de violações de segurança como ataques de ransomware e vazamentos de dados. Esta atuação é essencial não apenas para a mitigação de danos imediatos, mas também para a preservação da reputação e continuidade dos negócios das empresas afetadas.
As recentes mudanças regulatórias e a segmentação dos riscos cibernéticos em categorias específicas evidenciam um esforço para trazer mais clareza e previsibilidade a este mercado. Contudo, as constantes alterações nas políticas de cobertura, como a limitação das indenizações por ransomware, demonstram a natureza fluida e reativa do setor frente aos riscos emergentes. Ademais, a necessidade de múltiplas apólices para garantir uma cobertura abrangente evidencia a complexidade da gestão de riscos cibernéticos.
Por fim, a crescente virtualização das atividades empresariais amplia os riscos, desafiando os modelos tradicionais de avaliação e precificação do seguro. Ainda que o mercado de seguros cibernéticos continue a evoluir, uma coisa permanece clara: sua importância e relevância apenas crescerão à medida que navegamos cada vez mais em um mundo digitalizado e interconectado. Portanto, a compreensão aprofundada dos seguros cibernéticos torna-se um imperativo para empresas, seguradoras e reguladores, todos em busca de um equilíbrio entre proteção, viabilidade e inovação.
Walter Calza Neto, DPO do Corinthians.
