Os seguros contra riscos cibernéticos e sua extensão em tempos de pandemia
8 de maio de 2020Crescente demanda pelo produto durante a pandemia enseja debate sobre o conteúdo e o escopo da cobertura, especialmente quanto ao home office e seus riscos
Por Angelo Prata de Carvalho e Vítor Boaventura
O debate relativo ao seguro contra riscos cibernéticos (ou cyber-seguro), apesar de incipiente no direito brasileiro – seja no que diz respeito à configuração das apólices e da cobertura, seja no tocante à precificação e à especificação dos riscos –, tem sido trazido ao centro das discussões securitárias.
Isto em consequência da transformação repentina do estilo de vida e das relações de trabalho pela pandemia do novo coronavírus (SARS-CoV-2, causador da doença Covid-19).
Em regime de trabalho em casa (home-office) para conter o avanço do vírus, muitas empresas estão buscando nos seguros de riscos cibernéticos a proteção dos seus fluxos de dados sensíveis e trocas de informações entre colaboradores, especialmente diante do agravamento de ataques de hackers durante a quarentena.
Em macabra semelhança com a dinâmica da Covid-19, os criminosos aproveitam-se do aumento da fragilidade dos sistemas de segurança das redes corporativas causado pelo trabalho remoto e as atacam, deixando, muitas vezes, graves consequências para as companhias.
Se os riscos cibernéticos já são consideráveis – inclusive financeiros – em tempos normais, durante a pandemia as próprias seguradoras ao redor do mundo já vêm levantando cautelas e fornecendo orientações de segurança redobrada diante do aumento significativo da sinistralidade das apólices de cyber desde o início da pandemia.
Em tempos como este, de angústia e incerteza, quando a humanidade enfrenta as consequências da materialização de um risco com tamanha intensidade, o papel e a finalidade do seguro na sociedade se elevam.
O seguro, enquanto instituição, é convocado não apenas a pagar as indenizações diretamente relacionadas com a letalidade causada pelo vírus, a colocar em xeque inclusive as conhecidas e não raro abusivas cláusulas de exclusão de riscos, como aquelas que expressamente excluem do rol de cobertura o “risco de pandemia”.
Mas sobretudo a permitir o estabelecimento de um elo entre o momento atual e o próximo, a saber: só conseguiremos superar a pandemia se conseguirmos nos adaptar às orientações das autoridades sanitárias, em curso de ação que não será, como vivemos e sentimos, despido da assunção de novos riscos.
Para as empresas, é exatamente isso o que se passa. A conversão de suas unidades produtivas, quando possível, para o regime de home-office, é medida necessária para a preservação da vida de seus colaboradores e superação coletiva da pandemia.
Contudo, essa decisão, por si só, não apenas materializa uma série de riscos à sua atividade econômica, como agrava riscos já existentes, como o de sofrer um ataque cibernético. Nesse ambiente, os seguradores são chamados duplamente, seja para atuar como bombeiros – mitigando as consequências dos riscos já materializados – e como vigias – prevenindo a materialização dos outros riscos.
No realizar desta função preventiva ou de vigilância, se verifica o acompanhamento da evolução de um determinado risco coberto pelo segurador, o que, muitas vezes, proporciona ao segurado um poderoso instrumento de governança externo.
Isso porque a seguradora, com a expertise que detém na aferição dos riscos, é capaz tanto de alertar quanto a riscos iminentes como de condicionar o pagamento de indenizações à observância, pelo segurado, de determinados padrões de conduta, assim como a adoção de procedimentos que o resguardem contra a materialização de um determinado risco, como a adoção de autenticação em duas etapas, conexões VPN criptografadas, o fornecimento de equipamentos seguros pelos empregadores, dentre outros.
É este o contexto em que se encontram as relações entre segurados e seguradores para a contratação dos seguros de riscos cibernéticos, cuja obtenção deixa de estar condicionada à prevenção de riscos futuros (inclusive oriundos da aplicação da vindoura Lei Geral de Proteção de Dados) e passa a abranger riscos reais, atuais e iminentes.
Basta notar, nesse sentido, a ocorrência de recentes e múltiplos casos de quebras de segurança bastante visíveis, como se verificou em salas de videoconferência abruptamente interrompidas por intrusos (prática que tem sido chamada de zoombombing).
Essa discussão sobre o seguro de riscos cibernéticos, precipitada pela demanda crescente do produto, passa também pelo desafio da sua precificação e da dificuldade de produção de uma tipologia minimamente previsível dos riscos cibernéticos existentes, ficando as empresas, e mesmo as seguradoras, sujeitas à “criatividade” dos perpetradores de malwares, ransomwares, spywares, dentre outras expressões que cada vez mais comumente entram no vocabulário corrente.
Também pesa a aplicação de métodos de avaliação de risco com a amplitude necessária, dado que a evolução dos riscos sujeitos à estimação é exponencial e imune aos métodos tradicionais, baseados na matemática dos grandes números e dados históricos de sinistro. Felizmente, para estes últimos, a aplicação de ferramentas de inteligência artificial e big data apontam o caminho de superação já em curso.
Assim, alguns aspectos particulares, tanto da evolução do seguro de riscos cibernéticos como de sua acelerada expansão com a pandemia, podem vir a causar “curtos-circuitos”, verdadeiros “bugs” a interferir na relação contratual e, assim, prejudicar o atendimento das expectativa dos segurados quanto à cobertura das apólices de cyber, especialmente em momento de pandemia.
Evidentemente, a pandemia não pode servir de pretexto tanto para limitar por completo a responsabilidade da seguradora – já que existem simplesmente riscos cibernéticos, e não “riscos cibernéticos decorrentes de pandemia” – ou mesmo para fabricar argumentos artificiais como o de que seria imprevisível a migração de determinadas atividades para home office.
Em outras palavras, causa espécie dizer que o home office constituiria aprioristicamente um agravamento do risco quando parcela considerável das atividades econômicas passa por celulares e computadores pessoais – que, também obviamente, não podem passar ao largo das cautelas quanto à segurança, cuja implementação pode vir a ser recomendada e supervisionada pelas próprias seguradoras.
Dessa maneira, a reflexão a respeito do que virá a ser agravamento de risco durante a execução contratual dos seguros de riscos cibernéticos não deve levar em consideração apenas a pandemia, mas, principalmente, o contexto de utilização de tecnologias que leva os agentes a contratar esse produto e, em última análise, a causa ou função econômica desses contratos.
Assim, longe de recomendar-se a tomada de medidas normativas em tempos de crise, é necessário que os seguros de riscos cibernéticos sejam interpretados à luz de sua função econômica e da própria função do seguro, devendo as seguradoras adotar postura ativa também no sentido de prevenir a sinistralidade.
Para os contratos a serem celebrados emergencialmente é preciso que ambos os lados da negociação considerem esses elementos com atenção.
A excepcionalidade do momento poderia levar-nos todos ao equívoco do ineditismo. Entretanto, a cena que ora assistimos já foi vista. É verdade, mudaram-se os atores e o cenário, mas a narrativa é perene. Na engenharia da transição para a sociedade industrial moderna, o seguro foi um dos elos entre o passado dos empreendimentos da navegação e a modernidade.
Se o isolamento inaugura mais um dos interlúdios entre um tempo que já se percebe tão distante, e um novo tempo que ainda não chegou, a humanidade não espera menos do seguro do que ser novamente uma das pontes sólidas que nos conduzirão, em segurança, ao outro lado.
O futuro dos profissionais de cibersegurança no Brasil