Por Pedro Ivo Mello*

O número de ataques de hackers aumentou nos últimos meses e acendeu a luz vermelha nas empresas, que agora correm contra o tempo na busca por formas concretas de proteção aos seus sistemas e dados. O Brasil tem sido um dos principais alvos globais. De acordo com levantamento da consultoria alemã Roland Berger, só este ano serão cerca de 9 milhões de ocorrências. Uma das primeiras alternativas para aumentar essa segurança é, sem dúvida, a contratação de um seguro contra riscos cibernéticos — o chamado seguro cyber risk.

Os primeiros ataques cibernéticos aconteceram em 2007, na Estônia, onde sites públicos e noticiários ficaram fora do ar, afetando o governo e, principalmente, prejudicando a população. Já em 2017, um ataque global atingiu computadores de mais de cem países, aumentando a curiosidade de instituições e empresas por seguros que pudessem garantir perdas contra esse tipo de crime. Até então, este era um mercado ainda irrelevante no Brasil.

Inicialmente, as seguradoras enxergaram um produto interessante, ofereceram coberturas amplas, porém não houve demanda. Hoje, o cenário é outro. As empresas procuram por apólices de seguros cibernéticos que possam minimizar os prejuízos decorrentes do vazamento de dados, por exemplo. A LGPD e as sanções nelas previstas, aliadas ao agravamento desses riscos pelo incremento do home office na pandemia, deram o impulso final para que o produto passasse a ser altamente procurado, num curto período.

Assim como as empresas seguradas, as seguradoras estão confusas e buscam um caminho que as impeçam de garantir riscos em demasia.

Os programas de seguro, que hoje contam com apólices referentes a vários riscos (como patrimônio físico, interrupção de operações, responsabilidade civil, vida, transporte, etc.), precisam ser revistos à luz dos desafios cibernéticos. Como todos sabem (menos a Susep…), as seguradoras atuam com contratos padronizados. Por isso, os requisitos de cobertura das apólices de cyber risks precisam ser muito bem definidos, e até sofrer alterações em algumas cláusulas a depender do ramo de atividade do segurado, para minimizar erros e evitar problemas futuros, caso ocorra um sinistro garantido.

O seguro cibernético tem por objetivo garantir, ao mesmo tempo, riscos patrimoniais e responsabilidade civil. Sua cobertura é específica e, por envolver questões tecnológicas, as ameaças são constantemente alteradas, com velocidade que provavelmente não se equipara a nenhum outro tipo de seguro.

A contratação exige que o segurado adote medidas para estar sempre em cumprimento aos rígidos padrões de segurança no tratamento de dados, daí a importância de se contar com profissionais da área de tecnologia, inclusive corretores de seguro especializados no tema.

Dificilmente os executivos conseguirão definir as coberturas que suas empresas precisam, seguindo apenas os dados técnicos solicitados nos questionários das seguradoras. As coberturas são variadas, podendo garantir desde o pagamento para resgate de dados por extorsão de hackers (geralmente feito por criptomoedas, o que torna eventual pagamento ainda mais complexo), passando por despesas para contenção de vazamento de dados, comunicação aos usuários, custos de defesa, condenações cíveis por danos a usuários e até multas administrativas aplicadas pelas autoridades, dentre outras.

O fato é que as seguradoras vêm aumentando as exigências para a contratação desse tipo de apólice, que deve sofrer mudanças nos próximos anos, devido ao incremento de ameaças externas e possível aumento das sanções aplicadas no Brasil pela Autoridade Nacional de Proteção de Dados (ANPD). A complexidade da formação desse produto exigirá um trabalho de parceria entre seguradora, corretores e segurados.

O mais curioso, contudo, é que ninguém está imune a tais riscos, nem mesmo as seguradoras, que começam a deixar de ser apenas garantidoras e passam a ser vítimas. Esta é uma realidade que já ocorre no mercado internacional.

Recentemente, hackers atacaram duas seguradoras relevantes: a CNA, que pagou US$ 40 milhões de resgate para voltar a ter acesso aos dados de seus segurados, e a AXA, uma das maiores do mundo e cada vez mais atuante no Brasil.

Curiosamente, as seguradoras são alvos convidativos para os hackers, pois o acesso aos dados dos clientes que contrataram apólices cyber risks permite uma verdadeira lista de potenciais novas vítimas, com a certeza de que estas terão uma seguradora robusta por trás, garantindo, por exemplo, os custos de resgate.

Por outro lado, tamanha a lista de exigências de segurança no tratamento de dados feitas pelas seguradoras aos segurados para aceitação dos riscos cibernéticos, é bem possível que a invasão aos sistemas dessas empresas seja até mesmo evitada, ante a provável dificuldade de rompimento de seus mecanismos de segurança e treinamento de funcionários no tratamento de dados.

Seja como for, enquanto o produto está se ajustando no Brasil, há questões complexas que deixam a discussão ainda mais cinzenta. O que fica claro é que os ataques podem ocorrer a qualquer empresa, independentemente do porte. É preciso contar com uma equipe multidisciplinar que contemple corretores de seguros especializados em cyber, advogados especialistas em seguros de grandes riscos complexos, profissionais de TI e tratamento de dados, além de relações públicas de crise, agentes de inteligência e até negociadores.

Todo esforço é válido para diminuir os riscos, mas com a certeza de que nunca haverá garantia de que uma invasão ou vazamento poderá ser impedido.

*Pedro Ivo Mello é advogado especialista em seguros e resseguros e sócio do escritório Raphael Miranda Advogados

Siga a Bússola nas redes: Instagram | LinkedIn | Twitter | Facebook | Youtube

Veja também