Falta de regulação inibe negócios com riscos cibernéticos

Fonte: Valor Econômico
Por Denise Bueno | Para o Valor, de São Paulo

As elevadas perdas geradas por ataques de hackers tornaram o risco cibernético um tema prioritário nos conselhos de administração de grandes grupos. Fernando Chacon, especialista no assunto da Zurich, que acaba de lançar o produto para a área no Brasil após oito anos de atuação no mercado europeu e americano, afirma que a demanda por informações está muito aquecida no Brasil. "Isso vem ao encontro do cenário de vulnerabilidade dos últimos meses."

Mauricio Bandeira, gerente de produtos financeiros da corretora Aon, conta que o aumento na procura foi de 300% na primeira semana após o ataque do vírus. No mês subsequente, essa demanda ainda se manteve 200% acima da média anterior. "A tendência é de um crescimento de 20% ao ano para este produto."

A especialista em riscos cibernéticos da corretora JLT, Marta Helena Schuh, cita um estudo da consultoria KPMG que estima um crescimento das vendas de US$ 2,5 bilhões, em 2015, para US$ 7,5 bilhões, em 2020, alcançando US$ 20 bilhões até 2025 devido às mudanças em regulação como a que entra em vigor na Europa em 2018.

James Trainor, vice-presidente da Aon e o homem responsável por liderar a divisão de crimes cibernéticos do FBI, afirma que com o aumento da conectividade, a tendência é que o risco cibernético continue a crescer. "Atualmente, seis bilhões de dispositivos estão conectados na internet. Nos próximos três anos, serão 50 bilhões de dispositivos. Isso representa um aumento nas oportunidades para criminosos", alerta.

Segundo ele, existem mais de cem variedades de ransomware. E os meios de pagamento dos resgates também evoluíram e se tornaram mais difíceis de rastrear.

No entanto, apesar da maior percepção dos executivos, fechar negócios ainda é demorado. Apenas 50 apólices estão em curso no Brasil. Os especialistas citam a falta de regulamentação, preço elevado e limitações nas coberturas ofertadas. "Os gestores estão mais focados neste risco diante das notícias que acompanhamos na mídia. Mas o mercado ainda não consegue ofertar um produto que atenda às necessidades dos gestores", comenta Vanderlei Moreira, gestor de risco do grupo Weg e vice-presidente da Associação Brasileira de Gerenciamento de Risco (ABGR).

"Temos de formar pool de seguradoras para conseguir a capacidade de cobertura que achamos ser a adequada. As pequenas conseguem, mas as grandes empresas, com atuação mundial, precisam juntar equipes para fechar um contrato de riscos cibernéticos."

O Brasil ainda está engatinhando em regulamentação. A Superintendência de Seguros Privados (Susep) sequer mensura os volumes de prêmios em uma categoria específica. Nos Estados Unidos, graças à existência de um arcabouço legal robusto que imputa responsabilidade para as empresas na custódia dos dados dos clientes, o mercado é muito mais maduro e já movimenta US$ 3 bilhões em prêmios por ano, informa Flávio Sá, especialista da AIG.

Bandeira, da Aon, destaca que de acordo com o American Action Forum, o custo de implementação da legislação nos EUA será de US$ 36 bilhões, em um período de seis anos, com 76 milhões de horas de trabalho em burocracia.

Enquanto nos Estados Unidos e Europa as regras já estão bastante claras, no Brasil a primeira regulamentação foi o Marco Civil da Internet, que trata de qualidades dos serviços e neutralidade. "A segunda veio com a Lei Carolina Dieckmann, que penaliza criminalmente a exposição de pessoas. E o Projeto de Lei 4.060, de 2012, que contempla a proteção de dados pessoais.

Independente da regulamentação, o tema preocupa e muito. Os dados de uma empresa são um "ativo intangível", que pode ser muito valioso para indivíduos e empresas. "As empresas têm a obrigação legal de proteger e salvaguardar os ativos intangíveis, que é onde os riscos cibernéticos podem ser uma grande ameaça. Produtos tradicionais de responsabilidade não incluem a cobertura às exposições na internet", alerta Silvia Gadelha é responsável por linhas financeiras no Brasil da XL.

Em julho, a Comissão de Valores Mobiliários (CVM) lançou um estudo sobre o tema. "Esse trabalho será importante para racionalizar futuras possíveis ações da CVM com relação aos riscos cibernéticos, além de fornecer subsídios para que os próprios participantes de mercado possam melhor coordenar suas iniciativas", afirma Rafael Hotz, analista do órgão regulador de fundos.

Os principais clientes hoje são instituições financeiras, laboratório e hospitais e empresas de e-commerce. Essas companhias estão mais atentas ao risco cibernético e à contratação da apólice justamente porque contam com um grande fluxo de informação pessoal e de terceiros. Esses são dados sensíveis, que podem afetar a continuidade dos negócios e a lucratividade das empresas. Quais seriam os danos se um hacker abrisse uma comporta de uma hidrelétrica, mudasse rotas de avião, alterasse a linha de produção de uma empresa de alimentos?, questionam os especialistas.

O aumento de ataques a escritórios de advocacia de médio porte tem sido um destaque nas conversas do setor, pois são menos propensos a ter um departamento de TI com profissional dedicado para garantir uma melhor gestão de risco para empresa. Na maioria dos casos esses escritórios não veem os ataques cibernéticos como uma real ameaça e por isso não possuem planos de resposta para incidentes, acrescenta Silvia.