Mais uma vez, voltamos a comentar o Risco Cibernético considerando-se alguns fatores que o atingiram diretamente.
Em primeiro lugar, a enorme expectativa de sinistralidade esperada nesse risco, muito embora a experiência brasileira de eventos passíveis de cobertura é ainda diminuta. Poucas seguradoras regularam ou indenizaram sinistros nesse seguro. Na verdade, desconheço qualquer sinistro coberto e indenizado de responsabilidade civil consequente de ataque cibernético.
Em segundo lugar, embora eventos cibernéticos tenham ocorrido e causado danos consideráveis, ainda assim, as empresas se mantêm, em grande parte, ignorantes do risco que correm, ou julgam que seus sistemas estão devidamente protegidos.
Em terceiro lugar, a maioria das empresas nacionais desconhece realmente o seguro de riscos cibernéticos: o que garante, como atua e se, de fato, tem condições de ser usado para transferir riscos, aparentemente perigosos e até mesmo insuportáveis à sustentabilidade da empresa.
Tudo isso, malgrado o grande esforço de umas sete ou oito seguradoras e um menor número de corretores especializados em apresentar e explicar o risco cibernético e o seguro aplicável.
Em quarto lugar, temos a questão da legislação brasileira que passará a reger as responsabilidades pela guarda de informações e pelos danos que possam vir a causar a terceiros, multas e punições a serem aplicadas e, o fato, de que a legislação europeia que regula essa responsabilidade pode ser aplicada às empresas brasileiras, se estas atuam nesse mercado.
Por esses motivos, quer me parecer que tratar o risco cibernético é uma condição essencial a toda e qualquer empresa – pequena, média ou grande – que dependa em suas atividades da tecnologia da informação. E, mais ainda, essa tratativa passará a ser obrigatória com a evolução da TI e chegada de novas operações, tipo 5G, I.A. e robótica.
Assim, sem qualquer pretensão, procuremos analisar o problema do risco cibernético em seus aspectos mais práticos. A meu ver, estamos em uma situação interessante, em termos mundiais, principalmente nas atividades cibernéticas nos EUA. Existem previsões de sinistralidade mundial para os próximos anos superiores a um trilhão de dólares, algo realmente assustador e que pode impactar fortemente na capacidade do mercado ao responder por esses eventos, caso não venha a adotar critérios sérios, técnicos e profissionais de tratativa desses riscos.
Assim, atrevo-me a comentar certas considerações que impactam nessas tratativas e, sobretudo, no próprio seguro de Riscos Cibernéticos. Não tenho conhecimento de TI, de cibernética e, menos ainda dos meandros do mundo ‘hackers’, porém, conheço razoavelmente bem sobre os risco que afetam empresas em geral, consequentes de sua mera existência. Esse assunto vem sendo estudado há algum tempo e certos aspectos foram surgindo para compor uma conclusão final em relação ao risco e ao seguro que passo a apresentar.
Consideração 1. A essência do seguro de Risco Cibernético é, certamente, a responsabilidade civil por danos causados a terceiros pela divulgação de seus dados e informações confidenciais. Essa violação de privacidade, extremamente séria, é penalizada em países desenvolvidos como Estados Unidos e União Europeia onde a legislação especifica controla, regulariza e determina efetivo dano e prejuízo causado. Legislação semelhante inicia sua vigência no Brasil.
Não existe, ainda, experiência real em eventos cobertos por seguro de que tenham causado danos a terceiros por divulgação de dados confidenciais consequentes de ataques cibernéticos. Com a aprovação da nova lei, são prováveis mudanças na situação com todos tomando maior conhecimento dos diretos sobre seus dados privados e seus prejuízos com a divulgação inconsequente. Evidentemente, até agora, gera pouco interesse por parte de potenciais segurados, exceção feita às empresas multinacionais que enxergam essa perspectiva de perda e prejuízo.
Diante disso, da perspectiva de dano e prejuízo prováveis e possíveis, as seguradoras estão considerando como passível de cobertura de seguro, em uma apólice de Responsabilidade Civil, inúmeros outros ‘riscos’. Na verdade, medidas que permitirão a redução dos custos envolvidos na mitigação da regulação de eventos cobertos, alguns independentes da questão de responsabilidade civil.
Consideração 2. Como consequência do acima exposto, o mercado segurador elencou uma série de coberturas particulares em suas apólices que irão cobrir inúmeros custos e despesas do segurado, reduzindo seu prejuízo real de ataques cibernéticos. Como exemplo, podemos mencionar algumas que variam de seguradora a seguradora operando em Riscos Cibernéticos:
- Custo de defesa.
- Provedor de serviços.
- Informações pessoais e confidenciais, dano moral.
- Processos GDPR, União Europeia, multas.
- Órgãos reguladores, procedimentos regulatórios.
- Responsabilidade na mídia e internet.
- Custos contratação de especialistas: TI Firewall; advogados especialistas, relações públicas, serviços a terceiros, violação de privacidade.
- Lucros Cessantes e Despesa Extra consequente de Violação à segurança de dados ou ataque cibernético de negação de serviços.
- Lucros Cessantes por falha acidental de sistemas ou por erro e/ou omissão do segurado ou provedor de serviços.
- Lucros Cessantes por danos à reputação consequente de riscos cibernéticos
- Despesas de substituição de ativo digital e custos de melhorias em malware, decorrentes de violação à segurança de dados.
- Ameaça cibernética e sequestro de dados: programa de resgates e despesas de aprovação a recompensa.
- Fraude cibernética e engenharia social.
- Terrorismo: evento de segurança ou de privacidade decorrente de ato terrorista.
- Eventos emergenciais.
Consideração 3. Com o apresentado na Consideração 2, é fácil deduzir que o Seguro de Riscos Cibernéticos - embora mantendo a sua condição principal de seguro de Responsabilidade Civil – cobrirá perdas, danos e custos por serviços que, se bem prestados, poderão reduzir significativamente o impacto dos danos causados por ‘hackers’. Não considerando os eventuais processos que possam atingir empresas por parte de ações coibitivas da PGR e demais procuradorias no cumprimento da Lei que irá proteger danos a terceiros por abertura de dados pessoais e sigilosos, não é realmente fácil, no contexto nacional, terceiros comprovarem que sofreram danos e perdas por atividade causada por um ‘hacker’.
Quem, no Brasil e quiçá no mundo, não tem os seus dados particulares e sigilosos espalhados e divulgados a qualquer um que se interesse por eles? A meu ver, serão mais importantes as coberturas de lucros cessantes. Esta cobertura, embora os danos materiais diretos a operações e a equipamentos e máquinas do segurado e suas consequências não estejam cobertas por seguro de dano material, nem tampouco pelo cibernético, vai merecer extrema atenção e cuidado por parte dos segurados e dos corretores profissionais de seguro, na negociação de colocação do seguro, assim como sua influência nos seguros de Responsabilidade Civil Geral e de Dano Material dos segurados preocupados com o risco cibernético.
Como tratar a importância do lucro cessantes do próprio terceiro em relação ao risco cibernético? Mesmo que o dano material direto ao equipamento não esteja coberto pelos seguros por ação de ‘hackers’, a paralização desse equipamento por sua ação, encontra respaldo na cobertura de Lucros Cessantes. Cabe, no entanto, uma cuidados análise que permita uma segura margem de importância segurada para garantia desse evento e aplicação de uma franquia de tempo adequada.
Outro aspecto importante a considerar é que o lucro cessante causado ao terceiro pela paralização das operações de TI de prestadores de serviço, não é objeto de cobertura na responsabilidade civil cibernética. Como esse risco será tratado? Deverá ser ou pelo seguro de Responsabilidade Civil Geral, com inclusão de lucros cessantes; ou o terceiro - se tiver um bom corretor de seguros profissional e mantiver uma cobertura normal de lucro cessantes – deverá analisar e incluir na sua cobertura uma garantia de ‘lucros cessantes contingentes’, com importância segurada adequada, cobrindo as perdas e danos consequentes da paralização de seu sistema de TI por ação de risco cibernético nas operações do seu provedor. Como os lucros cessantes contingentes, geralmente, resultam de um dano direto causado aos bens que determinaram esta cobertura no caso específico de TI, é bom lembrar a exclusão taxativa de dano material direto por risco cibernético. É uma cobertura importante que merece extremo cuidado e análise de risco e de negociação para adequação das condições particulares.
Consideração 4. Em função do que até agora expressamos, é fato que as coberturas concedidas pelo seguro de Risco Cibernético, com exceção de Responsabilidade Civil por danos a terceiros por atos de violação, lucros cessantes e multas são, na verdade, reposição de custos com inúmeros serviços que permitem amenizar as perdas causadas por ataques de ‘hackers’. Outro importante aspecto é que a aceitação e realização do seguro depende da definição que as seguradoras fazem de ‘appraisal’ ou ‘assessment’ prévio do sistema TI a ser garantido. Essas duas palavras têm significados parecidos, porém, são diferentes. ‘Appraisal’ significa avaliação, estimativa, cálculo de valor. Já ‘assessment’ define a importância de valor e avaliação. No Brasil, isso resulta no que chamamos de análise de risco por questionários – uns pouco detalhados, outros extremamente extensos e analíticos, como o questionário do Lloyd’s of London. O que é extremamente importante salientar é que os questionários preenchidos pelos segurados, além de indispensáveis à aceitação do risco, fazem parte integrante da apólice que foi emitida. Como tal, as respostas apresentadas pelos segurados têm efeito direto nas condições dos seguros, tanto gerais como particulares, afetando inclusive a regulação e indenização dos sinistros que venham a ocorrer. Já assisti grandes dificuldades em regulações de sinistros, principalmente em D&O e E&O, por conta de respostas de segurados e corretores pouco atentos onde a realidade da situação não estava descrita corretamente. Junte a isso ao fato que, no exterior, o termo ‘appraisal’ é o mais adotado em relação ao seguro cibernético e, portanto, concluímos que essa cobertura depende grandemente de gerenciamento de risco, condição obrigatória a qualquer programa de seguro sério. Parece-me que, antes de mais nada, a análise do risco cibernético deva ser realizada pelo segurado e por seu corretor em termos de efetivo ‘appraisal’ do sistema TI como identificação das operações do sistema; a avaliação dessas operações em si; os valores envolvidos; os danos máximos possíveis internos, principalmente lucros cessantes; os danos externos, principalmente responsabilidade civil; as medidas adotadas de controle de risco, isto é, de segurança a evitar ou minimizar o efeito dos ataques; análise completa das proteções existentes e ‘backup’ que permitam o reinício das operações; e, por fim, alinhar as tratativas que deverão ser adotadas como consequências desse ‘appraisal’: desde medidas que melhorem as operações de TI, outras adicionais de controle de risco até a eventual mensuração da necessidade de transferir o risco ao seguro e como, de fato, realizá-lo em negociação de condição com seu corretor de seguro profissional junto ao mercado segurador.
Aqui encontramos um possível conflito de interesses: quem deve executar esse gerenciamento de risco? De certo, o segurado. Ou, eventualmente, o corretor de seguros profissional, A análise do segurado, com base em gerenciamento real de risco, não deve nem pode ser confundido com a análise da seguradora mediante respostas a um questionário de risco, mas certamente, essas respostas serão baseadas no gerenciamento de risco adotado pelo segurado. Dessa forma, poderá determinar restrições à aceitação do risco pelas seguradoras, aumento de prêmio, maiores franquias, condições especiais limitativas e por aí afora. Algumas seguradoras estão preferindo prestar serviço de ‘appraisal’ através de empresas supostamente especializadas nesse gerenciamento de risco. Aqui poderíamos caracterizar o ‘conflito de interesses’.
O que prevalece, no entanto, é que a gerência de risco é fundamental na análise dos perigos a que toda a empresa está sujeita. Importante destacar que a análise de risco, isto é, o ‘appraisal’ a ser eventualmente feito, deve ser acompanhado pelo responsável pela segurança do sistema e quem deverá responder diretamente ao presidente ou CEO da empresa e atuar independente do responsável pela operação do sistema. Algumas empresas operam sem um responsável por segurança do TI, colocando a defesa e controle do risco cibernético junto ao responsável pela operação, o que prejudica claramente a qualidade do sistema.
Consideração 5. Conforme apresentado, parece-me que o seguro em questão determina que suas cláusulas sejam objeto de uma negociação técnica ampla e transparente das condições em todos os sentidos. Dificilmente o risco cibernético terá uma padronização de condições, muito menos se boa parte das coberturas se destinar à prestação de serviços, a custos e multas. Infelizmente, no Brasil, grande parte das condições de seguros resulta da tradução direta de condições importadas. São traduções feitas sem conhecimento de seguro com consequentes confusões de entendimento. Algumas, elaboradas por supostos técnicos sem o apoio legal adequado, resultam em termos ambíguos, confusos, conflitantes ou até mesmo excludentes dando margem a inúmeras interpretações. Face ao exposto, consideramos que as condições do seguro de risco cibernético sejam devidamente negociadas com as seguradoras, corretores profissionais e segurados na forma mais transparente e compreensível para conceder credibilidades a esse novo seguro e permitir a regulação correta e tranquila do sinistros.
Feitas essas considerações, desejo concluir com os seguintes comentários, a saber:
1 - O risco cibernético é algo extremamente sério principalmente se considerarmos a evolução rápida da tecnologia em geral e a da Informação em particular. Da mesma forma, a evolução do uso criminoso da tecnologia avança de forma surpreendente com adoção de ações perigosas como injúrias, falsidades, extorsões, atuações políticas negativas envolvendo ‘deepfake’, ‘fake dark’ e, simplesmente, a ‘fake news’.
2 - Embora o seguro cibernético tenda a se tornar prestação de serviços, é extremamente importante que se analise questões relativas a dano direto a equipamentos: evolução robótica e outras consequentes da evolução da Inteligência Artificial.
3 - O risco cibernético tem grande potencial e, na eventualidade de uma transferência ao seguro, exige uma avaliação segura tanto no que respeita ao controle de risco quanto na definição correta de condições e, sobretudo, importâncias seguradas adequadas. Por ser considerado um seguro de Responsabilidade Civil, encontramos valores segurados inadequados a um risco com potencial quase catastrófico.
4 - Com a aragem de liberalismo que sopra na SUSEP, espero que a negociação da cláusula e condições de seguro possam vir a ser livremente negociados entre segurados, corretores profissionais e seguradoras / resseguradoras. É uma condição tecnicamente correta em seguros que não se adequam a processos de padronização e massificação como o é, por excelência, o seguro de risco cibernético.
Finalizando, faço votos a que o mercado e, sobretudo, as instituições que representam segurados em geral, compreendam a importância deste risco na sustentabilidade de seus representados.