Artigo publicado na revista “VidaJudiciária”, edição de março/abril de 2021 pela Dra. Diana Azevedo Rocha – RC Advogados

Mudam-se os tempos, mudam-se os seguros: Os ataques cibernéticos como (novo) risco nas apólices dos cyberseguros.

Diana Azevedo Rocha

                  Advogada, RC Advogados                       Mestranda em Direito – UPT                  

            É indubitável o incremento empresarial à rede global de infraestruturas de informação e aos demais meios digitais disponíveis onde documentos e informações viscerais conservam, já não em acervos documentais (em capas e dossiers como tradicionalmente conhecemos), mas antes em servidores, discos ou cloud’s que armazenem, integral e inesgotavelmente, as informações que orbitam no ciberespaço.

            Neste conspecto, verifica-se, tremendamente, o recurso ao mundo digital e que, naturalmente, fomenta a vulnerabilidade e uma frágil exposição das empresas a riscos cibernéticos.

            Ataques evasivos, encriptados e, diga-se, silenciosos afetam a digitalização das relações comerciais e, consequentemente, a segurança cibernética, tornando imperioso que as empresas se socorram de um conjunto de “anticorpos” protecionistas das operações cibernéticas que passará, humildemente, pela subscrição de uma robusta apólice de seguro que espelhe uma proteção ampla e eficiente contra incidentes, rectius, sinistros cibernéticos.

            Neste devir, salientar os riscos que decorrem deste fenómeno cibernético, mormente, as lesões no seio das empresas que geram (graves) perdas de lucros, roubos de informações sigilosas que se repercutem, lesivamente, na esfera de terceiros.

            Em reação, o mercado segurador tem vindo, ainda de que de forma nubulosa, a desenhar apólices de modo a suprirem as consequências que derivem dos ataques cibernéticos a que, cada vez mais, as empresas estão expostas. Cabe, pois, às seguradoras, no âmago da sua atividade, proceder a uma correta gestão do risco[1] que é, aliás, o elemento visceral do contrato de seguro. Até porque, sempre se dirá, que não há seguro sem risco.

            É, todavia, clara a questão que aqui reside: em que traduzem, afinal, estes (novos) riscos cibernéticos? Afigurasse-nos (dar a) conhecer os contratos de seguros que agora, vislumbram novos capítulos, designadamente os riscos respeitantes a ataques, também eles, cibernéticos e que resultam, de:

  1. Ciberextorsão;
  2. Pirataria de dados confidenciais;
  3. Falhas de segurança;
  4. Erro colaboradores ou acesso a dados por negligência;
  5. Acessos não autorizados.

            Pacificamente, concluímos que os ataques (sofisticados, denote-se!) de hackers[2], hactivists, malware[3] constituiem, inter alia, riscos hodiernos a que as empresas estão expostas, e não imunes, cumprindo ao mercado segurador, na linha da frente, outorgar, de forma especializada, a devida resposta e proteção.

            Não olvidando, porém, ao facto de que cada vez mais as empresas recorrem a servidores virtuais para alojarem os seus dados que, uma vez violados, emanar-se-ão um conjunto de ramificações que se coplam com consequências nefastas no seio empresarial.

            Bem cientes de que a volatilidade do mundo digital é acompanhada, levianamente, pelos invasores que, à sua semelhança, tem vindo a melhorar as suas “skills cibernéticas de ataque”, vejamos, neste ensejo, as consequências financeiras e operacionais dos ataques cibernéticos que resultam em sequelas (cibernéticas) onerosas.

            Os (novos) sinistros que passam, grosso modo, pelo phising, hacking e erro humano manifestam-se, danosamente, em despesas substanciais e perdas de lucro[4], na perda de informações confidenciais de terceiros não afetos à empresa.

            Ora, os ciber ataques (pirataria, vírus informáticos ou falhas de segurança) exprimem-se em interrupções de negócio e falhas nos seus sistemas informativos, ainda que durante um reduzido hiato temporal, mas cujas consequências se transmitem, à semelhança de outros virus pandémicos, vertiginosamente ou, até mesmo acarretam danos reputacionais, sendo pacífico que tal belisca, grosseiramente, a confiança dos seus clientes.

            Sinistro, maxime, ataques cibernéticos, que as apólices comuns ou ditas tradicionais descortinam evidentes (e lamentáveis) limitações no limbo das coberturas cibernéticas.

            Esta nova dimensão dos riscos não se esgota, todavia, na interrupção do negócio e nas perdas de lucros que daí advém. Relevam,(agora, mais que nunca!), a maturação dos riscos associados a roubos de identidade e a violação de dados essenciais e confidenciais, comprometendo, assim, o famigerado RGPD.

            Bem sabemos que o RGPD[5] irroga às empresas responsabilidade em proteger e providenciar, cautelosamente, pelo armazenamento da confidencialidade dos dados que incorporam, mormente, dados pessoais. Ora, revelando-se dados pessoais e, consequentemente, violado o RGPD, contenciosos erguer-se-ão, por premências dos lesados que poderão emergir na aplicação de coimas à empresa que, alvo de ataque cibernético, expôs dados confidenciais. 

            Impera, aqui, o merecimento da nossa melhor atenção, na medida em que julgamos, quiçá, tratar-se um (novo) seguro de responsabilidade civil, tal como o que tão bem conhecemos e o acolhe o art. 137.º do Regime Jurídico do Contrato de Seguro.

            Em rigor, caberá ao segurador cobrir o risco de um terceiro que, latente à perda ou uso indevido de dados confidenciais de terceiros, foi infetado por uma cruzada cibernética malévola, assacando-se, assim, a responsabilidade, ao segurador, pelo pagamento das indemnizações devidas na sequência da ocorrência dos sinistros.

            Dito isto, a prestação ora acordada no contrato será efetuada, e caso se verifique a ocorrência do sinistro, não só à empresa cujo contrato de seguro é celebrado, (tomador de seguro) mas antes, a terceiro que tenham sofrido prejuízos na senda dos maliciosos ataques informáticos que, naturalmente, cabe ao segurado o dever de indemnizar, nos termos gerais dos art. 562.º do Código Civil.

            Nesta esteira, tendo sempre presente os ataques, erros e interrupções, que se vaticinam na intrusão de terceiros nos sistemas informáticos e atingem o seio empresarial, afigura-se, totalmente, exequível, que sejam concedidos instrumentos fulcrais na proteção destes fenómenos cibernéticos, outrossim, tríplices coberturas de apólices de risco cibernéticos que visam, essencialmente, dar resposta a situações:

            1. Prevenção – efetuando-se, prima facie, uma análise à vulnerabilidade dos equipamentos informáticos;

            2. Gestão e assistência pós-sinistros – cobrindo o pagamento de despesas e reparação de dados, a recuperação dos mesmos,  bem como cobertura à resposta de incidentes como gastos relativos à recuperação da reputação da empresa, nas perdas de lucro, de extorsão cibernética e desinfeção de virus e restauro dos sistemas, na sequência de acessos e ataques maliciosos aos ativos da empresa.

            3. Responsabilidade Civil – por fim, (but not least!) asseverar o pagamento de indemnizações devidas a terceiros pelos danos causados e ligados, intimamente, pela exposição de informação protegida, através da perda ou roubo de dispositivos por via da intrusão de invasores nos sistemas informáticos do Segurado, e, ainda, despesas judiciais e até pagamento de sanções.

            A par deste fenómeno cibernético, bem assente no intenso e massivo recurso ao mundo digital que expõe as vulnerabilidades das empresas, silenciosamente, a riscos cibernéticos e em causa as suas relações comerciais, entendemos que com ele cresce, de forma galopante, acompanhando a temática da digitalização, tornando-se, por ora, premente a sua ligação com o limbo do cibercrime que reveste, já, outras nuances (e um quadro normativo particular!).

             Isto porque, caso se apure que, de facto, existiram, afloramentos criminosos, não deverá à seguradora ser assacada qualquer responsabilidade, sendo imputado, ao invasor/criminoso a responsabilidade criminosa e civil, nos termos gerais.

            Em jeito de remate, almeja-se com os (novos) seguros cibernéticos uma célere e rápida resposta que tutele, cabalmente, os interesses, id est, os riscos, das empresas (e de terceiros lesados), perante as perdas verificadas pela ocorrência do sinistro, porquanto, se impõe uma proteção mais ampla que a concedida pelas apólices ‘tradicionais’, aguardando, calmamente, à harmonização de enquadramento legal bem como maior oferta, pelo mercado segurador, de apólices de seguros de riscos cibernéticos, que se releva, até ao momento, um quanto lacunosa, adassim, inegável e umbilicalmente ligada a um aumento exponencial do nível de complexidade e sofisticação dos ataques à segurança informática e aos seus ativos digitais, de onde se destacam graves consequências.

            Adassim, atento as mutações que compõe o mundo (digital, empresarial e jurídico) se dirá que, mudam-se os tempos, mudam-se as vontades, rectius, os sinistros (ataques).


[1] Como nota, a gestão de riscos pode distinguir-se, consoante visem: evitar os riscos; prevenir a sua verificação e/ou minimizar as consequências da sua verificação; ou proporcionar os meios para minimizar tais consequências.

[2] Dedicam-se a encontrar falhas de segurança através delas subtrair informação que, posteriormente, venderão a terceiros ou as tornam públicas,

[3] Os hackers furtam dados ou paralisam os sistemas informáticos das empresas e exigem um resgate à vítima, prometendo repor a situação inicial, ao qual se designa de ransomware.

[4] Entenda-se por perda de lucros a que que fora originada pela paralisação total da atividade que decorra diretamente de perturbação do Sistema Informático do Segurado devido à ocorrência de um Risco Seguro ou a paralisação da produção ou ataque à reputação de uma organização devido a uma falha nos seus sistemas de informação e tecnologia.

[5] Art. 4.º, n.ºs 13 e 14; art. 9.º. Considerandos 51 a 56.

#RCAdvogados #RC #Advogados #Advogado #Direito #Justiça #Law #Barcelos #Braga #VieiradoMinho #seguros #apolice #ciberneticos #ciberseguros