A invasão russa da Ucrânia elevou globalmente o risco de ataques cibernéticos e possíveis custos de sinistros para seguradoras de propriedades e de acidentes, que oferecem cobertura cibernética – a maioria contratada na América do Norte, informa a empresa de ranking de risco de crédito Fitch Ratings. Segundo ela, esses ataques também poderão testar a eficácia das expressões “exclusão de guerra” e “exclusão de ato hostil”, que estão em discussão no mundo inteiro depois que uma decisão judicial considerou a seguradora Ace American responsável por perdas da Merck decorrentes do ataque de malware NotPetya em 2017.
As grandes seguradoras adotaram nos últimos anos ações significativas de precificação e subscrição em resposta ao aumento de sinistros cibernéticos, incluindo uma linguagem contratual mais rígida, o que deve ajudar a mitigar as perdas de contratação no atual ambiente, diz a Fitch Ratings. Segundo a empresa, o ataque do NotPetya foi amplamente atribuído a hackers ligados à Rússia, com efeitos colaterais de curto e longo prazo e bilhões de dólares em perdas para empresas globais. A Merck sofreu perdas notáveis de US$ 1,4 bilhão; no entanto, o pedido de indenização foi negado, com a seguradora citando a linguagem de “todos os riscos” da apólice. As políticas cibernéticas para seguradoras dos EUA normalmente incluem linguagem de “exclusão de guerra” ou “exclusão de ato hostil”, semelhante à linguagem de exclusão encontrada em outras linhas de negócios de propriedade, estipulando que as seguradoras não podem se defender contra atos de guerra.
No entanto, a decisão de um juiz do Tribunal Superior do Condado de Union em Nova Jersey concluiu que a Merck tinha direito a um julgamento sumário porque a linguagem de exclusão de guerra não era aplicável. A decisão indicou que a linguagem contratual da apólice de seguro permaneceu praticamente inalterada por muitos anos, apesar da ameaça crescente e cada vez mais comum de ataques cibernéticos, que podem emanar não apenas de estados-nação, mas também de fontes privadas secretas e nefastas.
Para agravar o problema, está a incapacidade de identificar adequadamente o autor de um ataque, pois os criminosos cibernéticos têm experiência em ocultar suas identidades. Muitas vezes, as primeiras indicações das origens do ataque são falsas. A análise forense digital pode levar anos para ser concluída e ainda assim permanecer ambígua.
O tribunal decidiu que, como a seguradora não mudou a linguagem da apólice, a Merck tinha todo o direito de prever que a exclusão se aplicava apenas às formas tradicionais de guerra. A seguradora foi culpada por não alterar o idioma ou notificar o segurado de que as perdas decorrentes de ataques cibernéticos não foram cobertas.
Devido ao aumento de reclamações relacionadas a cibernéticos, à recente decisão e pressão da Autoridade Reguladora, as seguradoras começaram a esclarecer ainda mais a linguagem da política cibernética em 2019 para a cobertura “cibernética silenciosa”, onde a apólice não inclui ou exclui explicitamente o risco cibernético em uma apólice. As empresas abordaram questões cibernéticas silenciosas adotando uma linguagem que exclui ou afirma especificamente a cobertura, ou adotando sublimites de cobertura, o que reduz os benefícios das apólices. O crescimento da cobertura autônoma continuará a ser alimentado pelo interesse do segurado e da seguradora em reduzir a ambiguidade da cobertura.
O crescimento contínuo de invasões cibernéticas e eventos de ransomware pode pressionar a lucratividade de longo prazo do mercado de seguros cibernéticos e o gerenciamento interno de ameaças cibernéticas das seguradoras. No entanto, ações de rating negativas vinculadas a perdas de subscrição cibernética permanecem improváveis. Os prêmios cibernéticos representam menos de 5% do mix de negócios da maioria das empresas, com participação de mercado mantida por seguradoras maiores e bem capitalizadas que cedem partes importantes do negócio para resseguradoras.
