Quanto mais digital for a economia, mais sujeita está a eventos cibernéticos, sejam eles naturais ou provocados pelo ser humano. Por isso, um dos focos da atual gestão da Susep é impulsionar os seguros de riscos cibernéticos.
O risco cibernético é caracterizado por interdependências, potenciais eventos extremos e sistêmicos, elevada incerteza no que diz respeito aos dados e abordagens de modelização, e risco permanente de mudança. A assimetria entre países desenvolvidos e subdesenvolvidos também se expressa nessa seara, principalmente pela magnitude de investimentos que os Estados nacionais e as corporações dos países centrais são capazes de realizar, gerando problemas quanto à soberania de dados e tensões geopolíticas de variada ordem.
Segundo a Susep, os desafios (e as oportunidades) vão muito além dos riscos pessoais de vazamento de dados e de violações de privacidade, alcançando a segurança e a soberania econômica, seja por eventos de ransomware, negação de serviços, indisponibilidade de redes e sistemas, ataques de vulnerabilidade em massa etc., que levem à interrupção e perdas em serviços e negócios ou ao vazamento de informações sensíveis. Há, ainda, o caso especial do uso de sistemas de inteligência artificial, em que deve ser amadurecido o debate entre produtos tradicionais de seguro (RC profissional, RC D&O, RC Geral, automóveis etc) e os seguros de riscos cibernéticos.
Uma das dimensões a serem trabalhadas pela autarquia é para que o mercado adapte seus controles de subscrição, com maior rigor nos termos e condições contratuais, seleção e monitoramento de riscos e padrões de segurança, resultando em maiores dificuldades de cobertura por clientes que não alcançam padrões mínimos de “higiene cibernética”.
De outra parte, as próprias ofertantes de seguro, como membros do sistema financeiro nacional, devem ter elevados padrões de segurança, a fim de não se tornarem alvos de estratégia de desestabilização do mercado e do país. Esse quadro abre espaço para novos produtos e imaginação criativa, como o campo dos seguros de infraestrutura cibernética.
Tema está na agenda regulatória da Susep
A Susep iniciou a tratativa do tema em 2017 quando, após estudos da área de conduta de mercado, concluiu-se pela necessidade da criação de um ramo específico (ramo Compreensivo Riscos Cibernéticos), de forma a concentrar as apólices específicas. Assim, um papel permanente da Susep é o de monitorar e incentivar o mercado e a atuação dos seus agentes, eixo é do estudo ora em desenvolvimento, que, como vem sendo prática na autarquia, será realizado em amplo e profícuo diálogo.
Há aspectos especiais a monitorar, como o uso da chamada “linguagem excludente” (rol de riscos excluídos ou eventos não cobertos). A entrada em operação do Sistema de Registro de Operações (SRO) permitirá às áreas de regulação e supervisão ter uma visão clara das coberturas efetivamente comercializadas nos seguros de riscos cibernéticos e dos riscos de acumulação/concentração das carteiras, além de análises quantitativas de prêmios e sinistros.
A Susep entende que um mapeamento do cenário dos riscos cibernéticos permitirá uma escolha mais eficiente sobre o tipo e a profundidade de eventuais e necessárias atuações regulatórias.
Estudos específicos
Dois estudos estão previstos na atual gestão da Susep: “estudo sobre seguros específicos dos riscos cibernéticos” e “estudo de adequação do sistema de cibersegurança da autarquia e mercado à Política Nacional de Cibersegurança (programa federal)”.
Segundo a autarquia, de maneira geral, os estudos pretendem direcionar o mercado de seguros para o completo alinhamento com a política nacional de segurança cibernética. Em termos específicos, o “estudo sobre seguros específicos dos riscos cibernéticos”, ainda está em fase de desenvolvimento, possui os seguintes objetivos:
I. Aprofundar o conhecimento sobre quais são os maiores riscos inerentes às atividades que envolvam sistemas de tecnologia da informação, salvaguarda e tratamento de dados de pessoas físicas e jurídicas, funcionamento de redes e nuvens, dentre outros;
II. Atualizar a situação atual das coberturas oferecidas pelo mercado segurador para a proteção contra riscos cibernéticos, visando a definir áreas de interesse e seu alcance;
III. Conhecer e avaliar a situação dos seguros de riscos cibernéticos em outros países e o tratamento dado pelos reguladores/supervisores internacionais sobre o assunto;
IV. Identificar possíveis lacunas ou problemas regulatórios que demandem a atuação normativa pelo estado, por meio de regulamentação infralegal; e
V. Identificar possíveis novos produtos e novos mercados, como o seguro garantia de infraestrutura cibernética.
Trabalho para fomentar o mercado
Para desenvolver e disseminar os seguros de riscos cibernéticos no Brasil, ações em distintas escalas são necessárias, na visão da Susep Por exemplo, distribuição de renda libera renda das famílias para melhor proteção patrimonial e pensamento sobre o futuro. Ações de educação financeira e informação à sociedade como um todo dinamizam a demanda.
Adicionalmente, aprovação de regulação legal e infralegal que garanta um adequado comportamento dos seguradores no mercado garante a confiança do consumidor nos produtos e instala um ciclo virtuoso de contratações.
A busca de melhores produtos por parte das seguradoras e sua exposição a boas práticas concorrenciais ajuda a diversificar a oferta.
Essas e outras medidas compõem um estoque de conteúdos regulatórios necessários aos desafios colocados.
De acordo com posicionamento, a Susep acompanhará a expansão do mercado relacionado aos seguros de riscos cibernéticos, supervisionando as empresas para garantir que elas estejam agindo com uma conduta adequada e, deste modo, que o segurado esteja efetivamente protegido e tenha seus direitos garantidos.
