Um relatório da Norton Cyber Security Insights, que elabora uma análise global do crime online, traçou um cenário preocupante, colocando o Brasil na incômoda 2ª posição no ranking de países com casos relacionados a roubo de senhas e rompimento de sistemas. Segundo o estudo, 62 milhões de brasileiros foram vítimas de crimes cibernéticos só no ano passado. É o equivalente a 60% da população online ativa, vítimas de um desfalque de R$ 80 bilhões em 2017”[1].

É com base nestes dados que a responsabilidade por dados tem se tornado uma crescente fonte de preocupação à medida que cada vez mais as empresas estão dependentes da tecnologia para gerenciar seus negócios e informações. Atualmente, todas as empresas trabalham com dados pessoais e corporativos, como número de cartão de crédito, identidade, endereço, registros médicos, passaporte, lista de clientes, orçamento, planos de negócios, planos de marketing etc.

Casos de ataques que afetam tanto pessoas físicas como jurídicas têm sido divulgados na mídia e a população e as empresas têm se atentado e se informado mais a respeito.

O que se vê é que o risco cibernético é uma preocupação para quase todas as empresas do mundo. Existe uma necessidade iminente e real de se gerenciar estes riscos a título global.

Por meio da Deliberação n° 147, a Superintendência de Seguros Privados (Susep) lançou a Política de Segurança da Informação e Comunicações (Posic) que objetiva “instituir diretrizes estratégicas, responsabilidades e competências, visando a assegurar integridade, confidencialidade, disponibilidade e autenticidade dos dados e informações da Susep, sejam eles estáticos ou em trânsito, contra ameaças que possam comprometer seus ativos, inclusive sua imagem institucional”. A norma indicou um projeto de trabalho não só para a Susep, como para todo o mercado de seguros com repercussões em sua clientela.

Encabeçadas por Microsoft e Facebook, 34 companhias de tecnologia assinaram em 2018 o Cybersecurity Tech Accord, um acordo público que visa a proteção de civis de todo o mundo em serviços online, além de ser um comprometimento em manter a estabilidade e segurança do ciberespaço. Carolyn Herzog, Conselheira Geral da Arm, afirma: “O Tech Accord ajudará a proteger a integridade de um trilhão de dispositivos conectados que esperamos ver implementados nos próximos 20 anos. Ele alinha os recursos, a experiência e o pensamento de algumas das empresas de tecnologia mais importantes do mundo para ajudar a construir uma base confiável para os usuários de tecnologia que se beneficiarão imensamente de um mundo conectado com mais segurança”.[2]

Uma onda de ataques, inclusive de ransomware[3] contra empresas europeias causou uma elevada gama de reclamações de seguro cibernético. Recentemente, mais especificamente em 25/05/2018, entrou em vigor na Europa a nova regra da General Data Protection Regulation (GDPR). O regulamento, que deve ser seguido por todas as empresas que trabalham com dados de cidadãos da União Europeia (UE), causará mudança na maneira como se armazena, fornece e analisa os dados na internet.

“O impacto do novo GDPR é gigante. A legislação anterior estava ultrapassada e não era embasada nas redes sociais, por exemplo. Aqui no Brasil, algumas empresas já estão tomando providências para se adequarem às novas regras da UE. Tivemos grandes ataques recentemente. É nítida a preocupação das companhias contra a investida de hackers”, afirma Flávio Sá, Gerente de Linhas Financeiras da AIG Brasil.[4]

O Ransomware foi notícia no ano passado, quando o “WannaCry” e outros vírus infectaram empresas em todo o mundo, causando prejuízos de bilhões de dólares e perda de negócios. Estima-se que menos de 10% das empresas atacadas acabam pagando resgate, contudo, cada vez mais os hackers se recusam a entregar a chave de descriptografia, mesmo quando o resgate é pago.

Os recentes ataques virtuais que dissiparam softwares maliciosos (wannacry) em mais de 150 países, inclusive no Brasil, revelaram que, cada vez mais, companhias privadas multinacionais e empresas públicas precisam adotar medidas de proteções a crimes cibernéticos, e uma delas, é o seguro de cyber risks. Atentas às vulnerabilidades ocasionadas pelo uso de dados e da internet, algumas seguradoras já comercializam no Brasil um seguro que protege as empresas contra ameaças cibernéticas.

Mesmo se tratando de assunto relativamente novo no país, o mercado passou a ter uma melhor cobertura contra riscos cibernéticos há cerca de cinco anos. Diversas modalidades de seguros cyber risks evoluíram e ferramentas e plataformas de armazenamento on-line, são capazes de cobrir diferentes tipos de ataques, inclusive o de ransomware.

No Brasil, a demanda surge de empresas que possuem grande plataforma de dados de pessoas físicas, como por exemplo financeiras e hotéis. Um caso amplamente divulgado na mídia recentemente foi o da empresa Netshoes, que sofreu um ataque cibernético nas operações no Brasil que resultou na divulgação de dados não bancários específicos de alguns clientes, tendo a empresa notificado seu órgão regulador dos mercados nos Estados Unidos acerca do ataque sofrido.[5]

Estes seguros já disponíveis vêm para cobrir a recomposição de dados e de software, danos causados a terceiros (exposição de informações confidenciais que cause constrangimento moral ou material), despesas de contenção, de comunicação, lucros cessantes do segurado, despesa com custos de todo tipo de investigação administrativa e judicial.

A contratação de seguro cyber risks ainda esbarra na falta de informação e na suposição de que este tipo de seguro “é muito caro”. É importante esclarecer que o prêmio pago é proporcional ao tamanho do risco e varia de empresa para empresa. Na hora da contratação, são avaliadas três questões básicas: mercado que a empresa atua; tipo de sistema (base de informações) que a empresa tem; e de que forma esta empresa se protege (ferramenta de proteção ou histórico de riscos e eventos).

A Resolução nº 4.658, de 26 de abril de 2018, do Banco Central, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Contudo, o mercado ainda carece de melhor aparato legal que coíba os crimes cibernéticos. É preciso melhorar ainda mais o arcabouço legal, ampliar penas e reforçar os critérios de investigação.

Em que pese no Brasil ainda não tenhamos uma legislação específica para proteção de dados, os ataques tornam-se cada vez mais recorrentes. A tendência é de que uma lei surja em breve. Todavia, já resta evidenciado que mais do que instigar clientes a investir em tecnologia, a contratação de seguro cyber risks garante a segurança dos clientes.

As seguradoras precisam desenvolver planos adequados às necessidades dos clientes, conhecer em profundidade os riscos a que estão sujeitos, bem como os setores em que atuam. É fundamental que as organizações reconheçam cada vez mais os benefícios de ter uma gestão de riscos cibernéticos ampla e efetiva, sendo o seguro cyber risks, parte fundamental nessa empreitada.

Tifanny Evelize Araujo

Advogada – Trajano Neto & Paciornik Advogados

[1] Silva, Maike, Revista Apólice 2018.

[2] https://canaltech.com.br/seguranca/34-empresas-de-tecnologia-formularam-um-acordo-de-acao-contra-ciberataques-112066/

[3] O ransomware é um tipo de malware que sequestra o computador da vítima e cobra um valor em dinheiro pelo resgate.

[4] http://www.sindsegsp.org.br/site/noticia-texto.aspx?id=30004

[5] https://extra.globo.com/noticias/economia/ataque-hacker-orgao-regulador-dos-mercados-nos-eua-abala-investidores-gera-duvidas-21851954.html