Riscos Cibernéticos


15/03/2013  

 risco cibernético é hoje uma preocupação para quase todas as empresas no mundo. Estimativas do Fórum Econômico Mundial dão conta de que, em 2012, os crimes cibernéticos custaram perto de US$ 400 bilhões. A cifra é um sinal de alerta para a necessidade de gerenciar tais riscos globalmente.

Segundo Lloyd’s de Londres, é inevitável o aumento na procura por seguro cibernético, não apenas nos países desenvolvidos como nos demais. E a preocupação das empresas com as consequências negativas sobre suas vendas futuras se sobrepõe aos problemas relacionados à perda de privacidade. Com efeito, o crime cibernético pode perturbar gravemente suas atividades cotidianas, trazendo insegurança para os clientes, prejudicando sua imagem comercial e reduzindo vendas e o valor de mercado.

O Departamento de Justiça dos Estados Unidos classifica o crime informático de três maneiras: a) o computador como alvo a atacar (ex. via disseminação de vírus); b) o computador como arma para cometer um crime (roubo virtual, assédio, fraude, terrorismo etc.) e c) o computador como acessório para armazenar informação ilegal ou roubada (espionagem com intuito comercial, diplomático ou militar). Muitos países têm leis especificas contra esse tipo de crime, mas todos esbarram nas dificuldades de aplicação da lei devido a problemas de jurisdição e de identificação dos culpados.

Situações diferentes, produtos idem

A abordagem legal vinculada aos crimes cibernéticos difere de país a país de modo que uma ação definida como criminosa num local pode não ser em outro. Analogamente, a incidiência dos crimes difere de país a país. Segundo estudo das Nações Unidas, enquanto na Europa e na Ásia, os crimes relacionados à interferência ou acesso ilegais a redes de computadores são muito importantes, eles são menos significativos no continente americano e na África. Inversamente, nestes, são mais importantes os crimes de desrespeito a direitos de marcas. Entretanto, um dado comum em todo o mundo é a grande incidência de crimes relacionados a fraudes e falsificações por meio digital.

A diversidade de situações explica a variedade de produtos. As apólices cobrem danos causados a bens e valores do segurado e/ou danos causados a bens e valores de terceiros (responsabilidade civil). Existem coberturas para prejuízos devidos a falhas na segurança de sistemas de informações, para perdas decorrentes de processos judiciais ou administrativos ligados a violações de leis de privacidade ou danos em servidores, para lucros cessantes em função de perdas de dados e para despesas de honorários de consultores para amenizar danos à reputação da companhia. Para contratar o seguro, é normal também requerer das empresas a prova de que estão atentas aos perigos na área de tecnologia de informação e a implantação de proteções básicas nos seus sistemas de segurança interna.

Contudo, a aquisição de seguros contra riscos cibernéticos ainda é baixa em todo o mundo. Segundo a revista Business Insurance, estudo conduzido pela Harvard Business Review com 152 empresas privadas e organizações estatais dos Estados Unidos descobriu que enquanto 76% dos entrevistados se mostraram preocupados com segurança e privacidade dos seus sistemas de informações, apenas 19% contrataram seguro e 16% designaram funcionários para supervisionar tais riscos.

Advertisements

No Brasil

Até recentemente, o risco cibernético – dano, responsabilidade ou despesa causada pela utilização ou operação como meio de causar prejuízo de qualquer computador ou programa, sistema ou vírus de computador, ou ainda, de qualquer outro sistema eletrônico – integrava o elenco de exclusões de cobertura das apólices de seguros compreensivos. Entretanto, o crescimento do uso da Internet e os crimes correlatos fez com que o mercado começasse a oferecer apólices contra riscos de informática.

Um passo importante foi dado pelo órgão regulador. Em 2011, pela Deliberação n° 147, a Superintendência de Seguros Privados (Susep) lançou a Política de Segurança da Informação e Comunicações (Posic) que objetiva “instituir diretrizes estratégicas, responsabilidades e competências, visando a assegurar integridade, confidencialidade, disponibilidade e autenticidade dos dados e informações da Susep, sejam eles estáticos ou em trânsito, contra ameaças que possam comprometer seus ativos, inclusive sua imagem institucional”. A norma indicou um projeto de trabalho não só para a Susep como para todo o mercado de seguros com repercussões em sua clientela.

Assim, algumas seguradoras de maior porte já oferecem coberturas contra certos riscos de informática.  Para desenvolver planos adequados às necessidades dos clientes, as seguradoras precisam conhecer em profundidade os riscos a que estão sujeitos tais clientes, bem como os setores em que atuam. Pois é evidente que uma empresa de informática que gerencia redes de microcomputadores, armazena dados e faz manutenção de estruturas físicas tem necessidades diferentes de seguro que, digamos, uma empresa comercial ou industrial que vende ou produz bens de consumo.

Além disso, o mercado demanda melhora do aparato legal que coíbe os crimes cibernéticos. Uma boa notícia recente foi a aprovação em novembro passado pela Câmara dos Deputados do Projeto de Lei 2703/11 e do substitutivo do Senado ao Projeto de Lei 84/99 que definem crimes praticados por meio eletrônico como “invadir dispositivo informático alheio” para obter vantagem ilícita e difundir programas, como vírus, que permitam violar sistemas. Porém, especialistas entendem ser preciso melhorar ainda mais o arcabouço legal, ampliar penas e reforçar o aparato de investigação policial. “Diante da necessidade de se negociar e atender os diversos segmentos da sociedade, infelizmente, foi preciso abrir mão de diversos pontos para que o projeto pudesse ser aprovado e transformado em lei no Congresso. Hoje temos uma ferramenta para combate à criminalidade cibernética no Brasil, mas num grau muito aquém do que seria a real necessidade”, afirma o delegado e consultor José Mariano de Araújo Filho, em entrevista à revista Cadernos de Seguros.