Seguro Cibernético: como funciona a proteção financeira contra incidentes de segurança da informação?

Seguro Cibernético: como funciona a proteção financeira contra incidentes de segurança da informação?

O seguro cibernético no Brasil surgiu em 2012 trazido pela seguradora americana AIG. Até o início de 2017 somente AIG e XL (adquirida pela Axa) ofertavamm o seguro e até então era um mercado incipiente com pouquíssimas apólices. Atualmente o mercado já conta com 9 seguradoras e deve encerrar o ano de 2021 com 10 seguradoras.

Mas, o fato de haver 9 seguradoras não significa que se terá 9 cotações pois cada seguradora possui apetite de risco diferente:

  • Uma das seguradoras só aceita micro e pequenas empresas e o limite máximo da apólice é de R$ 1 milhão
  • Outra só está fazendo o seguro para pessoas físicas e em breve atuará com PME
  • 02 seguradoras só operam apólices com limites acima de R$ 30 milhões
  • 01 outra só com empresas com faturamento superior a R$ 100 milhões.
  • 01 delas tem foco específico em alguns segmentos de mercado
  • Das 03 seguradoras restantes, todas elas possuem produtos por adesão para empresas que faturam até R$ 50 milhões por ano e uma delas pode chegar a R$ 150 milhões de faturamento. Empresas que não se enquadram nos produtos por adesão, seja pelo faturamento ou ramo de atividade, terão que preencher questionários de risco para que sejam feitas análises específicas caso a caso.

Antes de abordarmos as coberturas e exclusões, gostaria de informar que as informações contidas neste artigo são baseadas em especificações técnicas de seguro atuais disponíveis no momento da criação. Todas as fontes estão em constante estado de evolução e desenvolvimento e, como tal, estão sujeitas a alterações.

Vamos começar com o seguro para pessoa física que pode ser contratado individualmente ou para a família. Os 03 principais pilares deste seguro são:

  1. Prevenção, pois são disponibilizados softwares para melhorar as defesas dos sistemas dos segurados; exemplo: Monitoramento antifraude de identidade digital, armazenamento seguro em nuvem, IP, WEB etc.
  2. Assistência 24 horas: através de um 0800 a seguradora disponibiliza serviços de resposta a incidentes e suporte Office 365 e Gsuite, Cópia de Segurança etc.
  3. Seguro com coberturas de Responsabilidade de dados, ou seja, vazamento de dados de terceiros; recuperação de identidade digital, perda de informações digitais, despesas judiciais etc.

O valor deste seguro depende obviamente das coberturas e limites contratados, o mínimo custa em torno de R$ 14,00 por mês e o pacote completo em torno de R$ 150,00 por mês.

Uma das perguntas mais frequentes é se o seguro cobre os prejuízos financeiro causado pela clonagem de WhatsApp. O seguro não cobre pois trata-se de um golpe contra o sistema financeiro, mas cobre a contratação de advogados para processar o banco pois conforme interpretação do Código de Defesa do Consumidor (CDC), Código Civil e de diversas decisões judiciais, o banco terá que ressarcir o cliente.

O CDC dispõe que a responsabilidade do fornecedor de bens ou serviços é objetiva, ou seja, cabe ao consumidor provar o dano. O consumidor não precisa provar que o banco agiu com dolo, negligência, imperícia ou imprudência.

O Superior Tribunal de Justiça (STJ) editou uma Súmula nesse sentido:

Súmula 479 -As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Uma súmula é editada quando há inúmeras decisões judiciais que decidem no mesmo sentido.

O próprio Código Civil trata o tema da mesmamaneira, quando a atividade desenvolvida pelo agente implica em riscos aos direitos de outra pessoa. Significa dizer que há assunção dos riscos pelas empresas em decorrência do tipo de atividade que exercem:

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

As instituições financeiras ao prestarem serviços bancários por meios eletrônicos, obrigam-se a oferecer a máxima segurança aos clientes e, nesse sentido, são as que possuem condições técnicas para avaliarem eventuais ocorrências de fraudes (ou tentativas) em seus sistemas, não cabendo transferir ao consumidor tal responsabilidade. Afinal, tentar transferir ao consumidor a incumbência de provar a fraude é vista pelo Judiciário como onerosidade excessiva, na medida em que este possui vulnerabilidade técnica (ausência de conhecimento específico acerca de produto ou serviço).

Há bancos que não discutem e há outras que preferem discutir na justiça e daí os honorários advocatícios poderão estar cobertos.

Quanto ao seguro para pessoas jurídicas o Seguro Cibernético possui 03 pilares:

  1. Responsabilidade Civil de Dados
  2. Danos ao Próprio Segurado
  3. Gestão de Crise através da Assistência das Seguradoras

Vamos abordar cada um destes 03 pilares:

O primeiro pilar que é de Responsabilidade Civil de Dados cobre as consequências de um incidente de segurança, seja por agentes externos (hackers) seja por agentes internos (funcionários etc.),que cause vazamento de dados pessoais e de informações confidenciais de empresas (a LGPD trata de pessoa física, mas se houver vazamento de PJ a empresa poderá ser responsabilizada através de outras leis). O seguro cobre as indenizações que o segurado vier a ser condenado a pagar, podendo fazer um acordo extrajudicial com o aval da seguradora, indenização por danos morais, despesas com honorário advocatícios, despesas com notificação e até pagamento de multas regulatórias entre outras coberturas relacionasa Responsabilidade Civil.

O segundo pilar cobre os danos ao próprio segurado decorrentes de um incidente de segurança: despesas emergenciais, peritos forenses, despesas com recuperação de dados, gestão de imagem, lucros cessantes e inclusive pagamento deresgate.

Vale ressaltar que nenhuma seguradora possuem todas as coberturas disponíveis, os contratos de seguros não são padronizados, ou seja, cada seguradora tem contratos diferentes. Muitos aspectos do seguro são semelhantes, mas pode haver diferenças significativas de uma seguradora para a outra.

O terceiro pilar trata do “0800” 24 horas por dia o ano todo onde as seguradoras disponibilizam diversos profissionais que darão o suporte ao segurado no momento de um incidente de segurança cibernética: Peritos Forenses, Especialistas em Contenção de Ataque, Especialistas em Reconstituição de Dados, Consultoria Jurídica para Mitigação de Danos, Relações Públicas Especializados em Gestão de Crise, Monitoramento de Crédito dos Titulares de Dados, Contabilidade Forense, Investigação Interna, Serviços de Notificações para Autoridades e Pessoas afetadas, Especialistas em Extorsão entre outros

E para as Micros e PME ainda há um quarto pilar que é a prevenção onde algumas seguradoras ajudam os segurados com softwares de prevenção de incidentes.

Outro ponto importante é que o seguro cibernético não é uma bala de prata que cobre todos os prejuízos de incidentes de segurança. Algumas exclusões podem estar cobertas através de outros seguros, como por exemplo: ações contra a pessoa física dos gestores/administradores da empresa não estão cobertas no seguro de Cyber, mas podem estar cobertas no seguro de D&O (Directors & Officers); multas contratuais, danos estéticos, danos corporais e materiais também são exclusões comuns entre outras. Portanto, sugerimos que se verifique as condições gerais dos demais seguros para verificar se há ou não cobertura de riscos cibernéticos, pois assim a empresas ficará sabendo de antemão eventuais gaps de coberturas que é melhor descobrir antes do que após um incidente , causando frustração e desgaste com a situação.

O preço do seguro para empresas depende do perfil do cliente, importância seguro etc. O preço pode ser em torno de R$ 100,00 por mês para micro empresas ou custar alguns milhares de reais para empresas maiores que necessitam de importância segurada na casa dos milhões.

Tenha em mente que o fato de sem investir muito em segurança não significa que você não precisa do seguro e o fato de se ter o seguro não quer dizer que você pode relaxar nas medidas de prevenção. O seguro cibernético nunca pode substituir as boas práticas básicas de segurança. Boa segurança cibernética e o seguro andam de mão dadas.

Claudio Macedo Pinto, é fundador da Clamapi a 1ª corretora do brasil especializada exclusivamente em riscos digitais e cofundador da BLUECYBER Seguros A 1ª plataforma digital do brasil focada em auxiliar empresas na contratação adequada do seguro cibernético. Atua no mercado de seguro desde 1987 com passagens em grandes Corretoras e Seguradoras no Brasil e no Exterior. É formado em Administração e Pós-Graduado em Comercio Exterior pela FAAP, MBA em Gestão de Empresas, além de diversos cursos na área de seguros e resseguros. Desde 2010 possui a certificação AIRM (Associação Latino-Americana de Gerenciamento de Riscos e Seguros). É diretor da APTS (Associação Paulista dos Técnicos de Seguros) e membro do Comitê de Seguro de Responsabilidade Civil do Sincor/SP. Palestrante e Professor de Seguro Cibernético na ENS (Escola de Negócios e Seguros, na Ventura Cyber Academy entre outras instituições. É coautor do Livro Data Protection Officer (Encarregado): Teoria e Prática de Acordo com a LGPD e o GDPR.

Interessado(a) em conhecer um pouco mais sobre nossas certificações relacionadas ao tema deste artigo? Faça download de guides e simulados nas páginas de cada produto abaixo: