Mudam-se os tempos, mudam-se os seguros: os ataques cibernéticos como (novo) risco nas apólices dos ciberseguros
Diana Azevedo Rocha
Advogada, RC Advogados
Mestranda em Direito - UPT
É indubitável o incremento empresarial à rede global de infraestruturas de informação e aos demais meios digitais disponíveis onde documentos e informações viscerais se conservam, já não em acervos documentais (em capas e dossiers como tradicionalmente conhecemos), mas antes em servidores, discos ou cloud que armazenem, integral e inesgotavelmente, as informações que orbitam no ciberespaço.
Neste conspecto, verifica-se, tremendamente, o recurso ao mundo digital o que, naturalmente, fomenta a vulnerabilidade e uma frágil exposição das empresas a riscos cibernéticos.
Ataques evasivos, encriptados e, diga-se, silenciosos afetam a digitalização das relações comerciais e, consequentemente, a segurança cibernética, tornando imperioso que as empresas se socorram de um conjunto de “anticorpos” protecionistas das operações cibernéticas que passará, humildemente, pela subscrição de uma robusta apólice de seguro que espelhe uma proteção ampla e eficiente contra incidentes, rectius, sinistros cibernéticos.
Neste devir, salientar os riscos que decorrem deste fenómeno cibernético, mormente, as lesões no seio das empresas que geram (graves) perdas de lucros, roubos de informações sigilosas que se repercutem, lesivamente, na esfera de terceiros.
Em reação, o mercado segurador tem vindo, ainda de que de forma nubulosa, a desenhar apólices de modo a suprirem as consequências que derivem dos ataques cibernéticos a que, cada vez mais, as empresas estão expostas. Cabe, pois, às seguradoras, no âmago da sua atividade, proceder a uma correta gestão do risco(1), que é, aliás, o elemento visceral do contrato de seguro. Até porque sempre se dirá que não há seguro sem risco.
É, todavia, clara a questão que aqui reside: em que se traduzem, afinal, estes (novos) riscos cibernéticos? Afigura-se-nos (dar a) conhecer os contratos de seguros que agora, vislumbram novos capítulos, designadamente os riscos respeitantes a ataques, também eles, cibernéticos e que resultam, de:
i. Ciberextorsão;
ii. Pirataria de dados confidenciais;
iii. Falhas de segurança;
iv. Erro de colaboradores ou acesso a dados por negligência;
v. Acessos não autorizados.
Pacificamente, concluímos que os ataques (sofisticados, denote-se!) de hackers(2), hactivists, malware(3)constituem, inter alia, riscos hodiernos a que as empresas estão expostas, e não imunes, cumprindo ao mercado segurador, na linha da frente, outorgar, de forma especializada, a devida resposta e proteção.
Não olvidando, porém, ao facto de que cada vez mais as empresas recorrem a servidores virtuais para alojarem os seus dados, que, uma vez violados, emanar-se-ão um conjunto de ramificações que se coplam com consequências nefastas no seio empresarial.
Bem cientes de que a volatilidade do mundo digital é acompanhada, levianamente, pelos invasores que, à sua semelhança, têm vindo a melhorar as suas “skills cibernéticas de ataque”, vejamos, neste ensejo, as consequências financeiras e operacionais dos ataques cibernéticos que resultam em sequelas (cibernéticas) onerosas.
Os (novos) sinistros, que passam, grosso modo, pelo phising, hacking e erro humano, manifestam-se, danosamente, em despesas substanciais e perdas de lucro(4), na perda de informações confidenciais de terceiros não afetos à empresa.
Ora, os ciberataques (pirataria, vírus informáticos ou falhas de segurança) exprimem-se em interrupções de negócio e falhas nos seus sistemas informativos, ainda que durante um reduzido hiato temporal, mas cujas consequências se transmitem, à semelhança de outros virus pandémicos, vertiginosamente ou até mesmo acarretam danos reputacionais, sendo pacífico que tal belisca, grosseiramente, a confiança dos seus clientes.
Sinistro, maxime, ataques cibernéticos, que as apólices comuns ou ditas tradicionais descortinam evidentes (e lamentáveis) limitações no limbo das coberturas cibernéticas.
Esta nova dimensão dos riscos não se esgota, todavia, na interrupção do negócio e nas perdas de lucros que daí advém. Relevam, (agora, mais que nunca!) a maturação dos riscos associados a roubos de identidade e a violação de dados essenciais e confidenciais, comprometendo, assim, o famigerado RGPD.
Bem sabemos que o RGPD(5) atribui às empresas responsabilidade em proteger e providenciar, cautelosamente, pelo armazenamento da confidencialidade dos dados que incorporam, mormente, dados pessoais. Ora, revelando-se dados pessoais e, consequentemente, violado o RGPD, contenciosos erguer-se-ão, por premências dos lesados que poderão emergir na aplicação de coimas à empresa que, alvo de ataque cibernético, expôs dados confidenciais.
Impera, aqui, o merecimento da nossa melhor atenção, na medida em que julgamos, quiçá, tratar-se de um (novo) seguro de responsabilidade civil, tal como o que tão bem conhecemos e o acolhe o art. 137.º do Regime Jurídico do Contrato de Seguro.
Em rigor, caberá ao segurador cobrir o risco de um terceiro que, latente à perda ou uso indevido de dados confidenciais de terceiros, foi infetado por uma cruzada cibernética malévola, assacando-se, assim, a responsabilidade, ao segurador, pelo pagamento das indemnizações devidas na sequência da ocorrência dos sinistros.
Dito isto, a prestação ora acordada no contrato será efetuada e, caso se verifique a ocorrência do sinistro, não só à empresa cujo contrato de seguro é celebrado (tomador de seguro) mas, antes, a terceiro que tenham sofrido prejuízos na senda dos maliciosos ataques informáticos que, naturalmente, cabe ao segurado o dever de indemnizar, nos termos gerais dos art. 562.º do Código Civil.
Nesta esteira, tendo sempre presente os ataques, erros e interrupções, que se vaticinam na intrusão de terceiros nos sistemas informáticos e atingem o seio empresarial, afigura-se, totalmente, exequível que sejam concedidos instrumentos fulcrais na proteção destes fenómenos cibernéticos, outrossim, tríplices coberturas de apólices de risco cibernéticos que visam, essencialmente, dar resposta a situações:
1. Prevenção - efetuando-se, prima facie, uma análise à vulnerabilidade dos equipamentos informáticos;
2. Gestão e assistência pós-sinistros – cobrindo o pagamento de despesas e reparação de dados, a recuperação dos mesmos, bem como cobertura à resposta de incidentes como gastos relativos à recuperação da reputação da empresa, nas perdas de lucro, de extorsão cibernética e desinfeção de vírus e restauro dos sistemas, na sequência de acessos e ataques maliciosos aos ativos da empresa.
3. Responsabilidade civil – por fim (but nost least!), asseverar o pagamento de indemnizações devidas a terceiros pelos danos causados e ligados, intimamente, pela exposição de informação protegida, através da perda ou roubo de dispositivos por via da intrusão de invasores nos sistemas informáticos do Segurado, e, ainda, despesas judiciais e até pagamento de sanções.
A par deste fenómeno cibernético, bem assente no intenso e massivo recurso ao mundo digital que expõe as vulnerabilidades das empresas, silenciosamente, a riscos cibernéticos e em causa as suas relações comerciais, entendemos que com ele cresce, de forma galopante, acompanhando a temática da digitalização, tornando-se, por ora, premente a sua ligação com o limbo do cibercrime que reveste, já, outras nuances (e um quadro normativo particular!).
Isto porque, caso se apure que, de facto, existiram, afloramentos criminosos, não deverá à seguradora ser assacada qualquer responsabilidade, sendo imputado ao invasor/criminoso a responsabilidade criminosa e civil, nos termos gerais.
Em jeito de remate, almeja-se com os (novos) seguros cibernéticos uma célere e rápida resposta que tutele, cabalmente, os interesses, id est, os riscos, das empresas (e de terceiros lesados), perante as perdas verificadas pela ocorrência do sinistro, porquanto se impõe uma proteção mais ampla que a concedida pelas apólices ‘tradicionais’, aguardando, calmamente, à harmonização de enquadramento legal, bem como maior oferta, pelo mercado segurador, de apólices de seguros de riscos cibernéticos, que se releva, até ao momento, um quanto lacunosa, adassim, inegável e umbilicalmente ligada a um aumento exponencial do nível de complexidade e sofisticação dos ataques à segurança informática e aos seus ativos digitais, de onde se destacam graves consequências.
Adassim, atentas as mutações que compõe o mundo (digital, empresarial e jurídico), se dirá que, mudam-se os tempos, mudam-se as vontades, “rectius”, os sinistros (ataques).
Notas:
1. Como nota, a gestão de riscos pode distinguir-se, consoante visem: evitar os riscos; prevenir a sua verificação e/ou minimizar as consequências da sua verificação; ou proporcionar os meios para minimizar tais consequências.
2. Dedicam-se a encontrar falhas de segurança e através delas a subtrair informação que, posteriormente, venderão a terceiros ou as tornam públicas,
3. Os hackers furtam dados ou paralisam os sistemas informáticos das empresas e exigem um resgate à vítima, prometendo repor a situação inicial, ao qual se designa de ransomware.
Neste conspecto, verifica-se, tremendamente, o recurso ao mundo digital o que, naturalmente, fomenta a vulnerabilidade e uma frágil exposição das empresas a riscos cibernéticos.
Ataques evasivos, encriptados e, diga-se, silenciosos afetam a digitalização das relações comerciais e, consequentemente, a segurança cibernética, tornando imperioso que as empresas se socorram de um conjunto de “anticorpos” protecionistas das operações cibernéticas que passará, humildemente, pela subscrição de uma robusta apólice de seguro que espelhe uma proteção ampla e eficiente contra incidentes, rectius, sinistros cibernéticos.
Neste devir, salientar os riscos que decorrem deste fenómeno cibernético, mormente, as lesões no seio das empresas que geram (graves) perdas de lucros, roubos de informações sigilosas que se repercutem, lesivamente, na esfera de terceiros.
Em reação, o mercado segurador tem vindo, ainda de que de forma nubulosa, a desenhar apólices de modo a suprirem as consequências que derivem dos ataques cibernéticos a que, cada vez mais, as empresas estão expostas. Cabe, pois, às seguradoras, no âmago da sua atividade, proceder a uma correta gestão do risco(1), que é, aliás, o elemento visceral do contrato de seguro. Até porque sempre se dirá que não há seguro sem risco.
É, todavia, clara a questão que aqui reside: em que se traduzem, afinal, estes (novos) riscos cibernéticos? Afigura-se-nos (dar a) conhecer os contratos de seguros que agora, vislumbram novos capítulos, designadamente os riscos respeitantes a ataques, também eles, cibernéticos e que resultam, de:
i. Ciberextorsão;
ii. Pirataria de dados confidenciais;
iii. Falhas de segurança;
iv. Erro de colaboradores ou acesso a dados por negligência;
v. Acessos não autorizados.
Pacificamente, concluímos que os ataques (sofisticados, denote-se!) de hackers(2), hactivists, malware(3)constituem, inter alia, riscos hodiernos a que as empresas estão expostas, e não imunes, cumprindo ao mercado segurador, na linha da frente, outorgar, de forma especializada, a devida resposta e proteção.
Não olvidando, porém, ao facto de que cada vez mais as empresas recorrem a servidores virtuais para alojarem os seus dados, que, uma vez violados, emanar-se-ão um conjunto de ramificações que se coplam com consequências nefastas no seio empresarial.
Bem cientes de que a volatilidade do mundo digital é acompanhada, levianamente, pelos invasores que, à sua semelhança, têm vindo a melhorar as suas “skills cibernéticas de ataque”, vejamos, neste ensejo, as consequências financeiras e operacionais dos ataques cibernéticos que resultam em sequelas (cibernéticas) onerosas.
Os (novos) sinistros, que passam, grosso modo, pelo phising, hacking e erro humano, manifestam-se, danosamente, em despesas substanciais e perdas de lucro(4), na perda de informações confidenciais de terceiros não afetos à empresa.
Ora, os ciberataques (pirataria, vírus informáticos ou falhas de segurança) exprimem-se em interrupções de negócio e falhas nos seus sistemas informativos, ainda que durante um reduzido hiato temporal, mas cujas consequências se transmitem, à semelhança de outros virus pandémicos, vertiginosamente ou até mesmo acarretam danos reputacionais, sendo pacífico que tal belisca, grosseiramente, a confiança dos seus clientes.
Sinistro, maxime, ataques cibernéticos, que as apólices comuns ou ditas tradicionais descortinam evidentes (e lamentáveis) limitações no limbo das coberturas cibernéticas.
Esta nova dimensão dos riscos não se esgota, todavia, na interrupção do negócio e nas perdas de lucros que daí advém. Relevam, (agora, mais que nunca!) a maturação dos riscos associados a roubos de identidade e a violação de dados essenciais e confidenciais, comprometendo, assim, o famigerado RGPD.
Bem sabemos que o RGPD(5) atribui às empresas responsabilidade em proteger e providenciar, cautelosamente, pelo armazenamento da confidencialidade dos dados que incorporam, mormente, dados pessoais. Ora, revelando-se dados pessoais e, consequentemente, violado o RGPD, contenciosos erguer-se-ão, por premências dos lesados que poderão emergir na aplicação de coimas à empresa que, alvo de ataque cibernético, expôs dados confidenciais.
Impera, aqui, o merecimento da nossa melhor atenção, na medida em que julgamos, quiçá, tratar-se de um (novo) seguro de responsabilidade civil, tal como o que tão bem conhecemos e o acolhe o art. 137.º do Regime Jurídico do Contrato de Seguro.
Em rigor, caberá ao segurador cobrir o risco de um terceiro que, latente à perda ou uso indevido de dados confidenciais de terceiros, foi infetado por uma cruzada cibernética malévola, assacando-se, assim, a responsabilidade, ao segurador, pelo pagamento das indemnizações devidas na sequência da ocorrência dos sinistros.
Dito isto, a prestação ora acordada no contrato será efetuada e, caso se verifique a ocorrência do sinistro, não só à empresa cujo contrato de seguro é celebrado (tomador de seguro) mas, antes, a terceiro que tenham sofrido prejuízos na senda dos maliciosos ataques informáticos que, naturalmente, cabe ao segurado o dever de indemnizar, nos termos gerais dos art. 562.º do Código Civil.
Nesta esteira, tendo sempre presente os ataques, erros e interrupções, que se vaticinam na intrusão de terceiros nos sistemas informáticos e atingem o seio empresarial, afigura-se, totalmente, exequível que sejam concedidos instrumentos fulcrais na proteção destes fenómenos cibernéticos, outrossim, tríplices coberturas de apólices de risco cibernéticos que visam, essencialmente, dar resposta a situações:
1. Prevenção - efetuando-se, prima facie, uma análise à vulnerabilidade dos equipamentos informáticos;
2. Gestão e assistência pós-sinistros – cobrindo o pagamento de despesas e reparação de dados, a recuperação dos mesmos, bem como cobertura à resposta de incidentes como gastos relativos à recuperação da reputação da empresa, nas perdas de lucro, de extorsão cibernética e desinfeção de vírus e restauro dos sistemas, na sequência de acessos e ataques maliciosos aos ativos da empresa.
3. Responsabilidade civil – por fim (but nost least!), asseverar o pagamento de indemnizações devidas a terceiros pelos danos causados e ligados, intimamente, pela exposição de informação protegida, através da perda ou roubo de dispositivos por via da intrusão de invasores nos sistemas informáticos do Segurado, e, ainda, despesas judiciais e até pagamento de sanções.
A par deste fenómeno cibernético, bem assente no intenso e massivo recurso ao mundo digital que expõe as vulnerabilidades das empresas, silenciosamente, a riscos cibernéticos e em causa as suas relações comerciais, entendemos que com ele cresce, de forma galopante, acompanhando a temática da digitalização, tornando-se, por ora, premente a sua ligação com o limbo do cibercrime que reveste, já, outras nuances (e um quadro normativo particular!).
Isto porque, caso se apure que, de facto, existiram, afloramentos criminosos, não deverá à seguradora ser assacada qualquer responsabilidade, sendo imputado ao invasor/criminoso a responsabilidade criminosa e civil, nos termos gerais.
Em jeito de remate, almeja-se com os (novos) seguros cibernéticos uma célere e rápida resposta que tutele, cabalmente, os interesses, id est, os riscos, das empresas (e de terceiros lesados), perante as perdas verificadas pela ocorrência do sinistro, porquanto se impõe uma proteção mais ampla que a concedida pelas apólices ‘tradicionais’, aguardando, calmamente, à harmonização de enquadramento legal, bem como maior oferta, pelo mercado segurador, de apólices de seguros de riscos cibernéticos, que se releva, até ao momento, um quanto lacunosa, adassim, inegável e umbilicalmente ligada a um aumento exponencial do nível de complexidade e sofisticação dos ataques à segurança informática e aos seus ativos digitais, de onde se destacam graves consequências.
Adassim, atentas as mutações que compõe o mundo (digital, empresarial e jurídico), se dirá que, mudam-se os tempos, mudam-se as vontades, “rectius”, os sinistros (ataques).
Notas:
1. Como nota, a gestão de riscos pode distinguir-se, consoante visem: evitar os riscos; prevenir a sua verificação e/ou minimizar as consequências da sua verificação; ou proporcionar os meios para minimizar tais consequências.
2. Dedicam-se a encontrar falhas de segurança e através delas a subtrair informação que, posteriormente, venderão a terceiros ou as tornam públicas,
3. Os hackers furtam dados ou paralisam os sistemas informáticos das empresas e exigem um resgate à vítima, prometendo repor a situação inicial, ao qual se designa de ransomware.