RC riscos cibernéticos: novo ramo


27/05/2019  

Um novo ramo do grupo de seguros de responsabilidade civil (RC) foi criado pela SUSEP: trata-se do RC riscos cibernéticos, código 0327, com a autarquia já tendo iniciado a publicação das estatísticas básicas do ramo.

Assim, ficamos sabendo que entre janeiro e março de 2019 foram emitidos prêmios no valor de R$ 3,3 milhões vendidos pelas seguradoras AIG e Chubb. É uma cifra ainda baixa, mas se pode prever que tenda a crescer fortemente no futuro próximo.

Veja-se por exemplo o que diz artigo sobre riscos cibernéticos publicado no site de Lloyd’s de Londres:

“Por sua natureza, os sistemas digitais são suscetíveis a ataques cibernéticos por indivíduos ou grupos mal-intencionados com repercussões cada vez mais graves para as empresas em todo o mundo. A natureza da ameaça está evoluindo tão rapidamente que está cada vez mais difícil para as organizações se oporem a elas (…). Muitos líderes empresariais não têm consciência sobre a ameaça cibernética. Uma recente pesquisa do Lloyd’s com mais de 350 altos executivos de toda a Europa revelou que, embora 92% das empresas tenham experimentado alguma forma de violação cibernética nos últimos cinco anos, apenas 42% estavam preocupadas que isso pudesse acontecer novamente” (https://www.lloyds.com/about-lloyds/what-lloyds-insures/cyber/cyber-risk-insight).

E o relatório indicava os principais riscos no momento: ataques cibernéticos propriamente ditos (estima-se que ocorra um a cada 39 segundos nos Estados Unidos); negação de serviço distribuído – isto é, tentativa de tornar um serviço online indisponível sobrecarregando-o com tráfego ilegítimo; violação de dados pessoais; comprometimento de e-mail corporativo – ou seja, mensagens maliciosas que objetivam induzir funcionários a realizar transferências indevidas de fundos da empresa; ransomware – um tipo de software nocivo em que o criminoso cobra resgate para restabelecer o sistema infectado por ele; hackeamento de caixas eletrônicos, etc.

Os seguros a venda no mercado brasileiro respondem a parcela desses riscos que afeta terceiros, daí o seguro de RC. Tipicamente, garantem cobertura contra perdas que resultem de reclamação contra o segurado decorrentes de:

  • Violação de informação pessoal ou corporativa, real ou presumida;
  • Perdas decorrentes de ato, erro ou omissão na segurança de dados;
  • Despesas de defesa do segurado relacionadas a uma reclamação;
  • Despesas com honorários, custos e gastos que o segurado incorra para assessoramento legal e representação relacionados a uma investigação;
  • Despesas de aconselhamento com objetivo de mitigar os danos à reputação da empresa em consequência da reclamação (restituição de imagem);
  • Idem para restituição de imagem pessoal;
  • Despesas com notificação de violação de dados aos usuários e
  • Despesas emergenciais de mitigação de danos;
  • Despesas (se for possível) de restauração, restabelecimento ou recriação dos dados eletrônicos perdidos ou corrompidos.

Os prejuízos à própria atividade do segurado estão parcialmente cobertos pelos dois últimos itens – despesas emergenciais e de restauração de dados perdidos. Já os danos materiais causados a máquinas e equipamentos em geral, que funcionam por meio de sofisticados sistemas de informática, não tem, como esperado, cobertura nessa apólice de RC.

idem para lucros cessantes, isto é, perdas de renda decorrentes da destruição ou interferência em equipamentos essenciais à atividade da empresa. Vale notar que os prejuízos nesse caso costumam ser até superiores aos danos físicos. Um ataque ao sistema de dados (computadores e demais equipamentos) pode cessar totalmente as atividades de uma empresa e levá-la à bancarrota.

As empresas preocupadas com tal risco devem, portanto, conjugar o seguro de RC riscos cibernéticos com um seguro patrimonial que garanta cobertura contra danos materiais e lucros cessantes em razão da materialização do risco cibernético. É preciso, no entanto, atentar para a que a apólice garanta cobertura para softwares e/ou sistemas de dados armazenados ou processados em equipamentos de informática, o que não ocorre em todos os casos.

Internacionalmente, estima-se que o mercado de seguros de risco cibernético tenha gerado prêmios de US$ 4,5 bilhões em 2017, com os Estados Unidos sendo responsáveis por algo entre 80% e 90% desse valor e a Europa, entre 5% e 9% (https://eiopa.europa.eu/Publications/Other%20Documents/181031%20EU-US%20Project%20Cyber%20Insurance%20White%20Paper_publication.pdf) .

O menor desenvolvimento do mercado europeu entende-se ser em razão da maior confiança que há lá na regulação estatal ao invés dos processos judiciais como meio de coibir abusos. Mas, na Europa como no Brasil, espera-se que ganhe força com a vigência das respectivas Leis Gerais de Proteção de Dados (LGPD) que objetivam impelir as empresas a cumprirem padrões de segurança na área e penalizar as recalcitrantes.

É possível prever inclusive que, no futuro, as apólices de riscos cibernéticos cubram as multas milionárias que podem resultar do desrespeito à referida lei de proteção de dados. Na Europa, as empresas que não cumprirem a lei podem ser multadas de 10 a 20 milhões de euros ou de 2% a 4% de seu faturamento. No Brasil, analogamente, a multa pode chegar a 2% do faturamento, limitada a 50 milhões de reais por infração. São valores elevadíssimos que devem fazer com que todos os envolvidos pensem muito em como gerenciar adequadamente tais riscos.