O seguro cibernético cresce como proteção jurídica a riscos digitais, mas enfrenta desafios contratuais, regulatórios e de segurança jurídica
A crescente digitalização das atividades econômicas e o consequente aumento da exposição de dados e sistemas a riscos cibernéticos têm exigido das empresas não apenas o investimento em infraestrutura tecnológica, mas também a adoção de instrumentos jurídicos que lhes proporcionem respaldo em caso de incidentes.
Nesse cenário, o seguro cibernético desponta como um mecanismo contratual cada vez mais relevante, ainda que permeado por desafios jurídicos significativos, que vão desde a delimitação de suas coberturas até a interpretação de cláusulas de exclusão e a responsabilização das partes envolvidas.
O contrato de seguro cibernético, em sua estrutura clássica, busca garantir proteção tanto para prejuízos diretos experimentados pelo segurado quanto para aqueles decorrentes da responsabilidade civil perante terceiros, notadamente em situações que envolvem vazamento de dados pessoais, paralisação de operações por ataques de ransomware1, ou violação de normas regulatórias como a Lei Geral de Proteção de Dados.
No entanto, a eficácia dessa proteção contratual depende, em grande medida, da clareza e da precisão das cláusulas que compõem a apólice de seguro, especialmente no que se refere às cláusulas de exclusão, as quais, muitas vezes, impõem restrições excessivas à cobertura oferecida pela seguradora.
Situações como erro humano, negligência interna, ausência de atualizações em softwares de segurança, ataques patrocinados por Estados estrangeiros ou inobservância de protocolos mínimos de proteção costumam figurar como hipóteses excludentes de cobertura, ainda que se trate de riscos concretamente previsíveis no ambiente digital.
Tais previsões excludentes, quando redigidas de forma genérica ou desproporcional, suscitam dúvidas quanto à sua validade à luz dos princípios da boa-fé objetiva, da função social do contrato e da vedação ao comportamento contraditório, exigindo, em muitos casos, a atuação do Poder Judiciário para reequilibrar as obrigações contratuais.
Desse modo, a falta de uniformidade interpretativa desses contratos acarreta a insegurança jurídica das relações e evidencia a importância de cláusulas bem estruturadas, que considerem as peculiaridades do risco cibernético, inclusive o seu caráter inevitável em muitas circunstâncias, o que impõe uma abordagem menos punitiva ao segurado que adote, ainda que minimamente, boas práticas de segurança.
Lado outro, é imprescindível destacar que o pagamento de resgates em ataques de ransomware, embora eventualmente previsto em apólice, representa uma das questões mais controversas do ponto de vista jurídico e ético. Ainda que a indenização pelo valor do resgate possa representar a única saída viável para a continuidade das atividades do segurado, há seguradoras que se recusam a cobrir tal despesa ou que condicionam seu pagamento à prévia autorização e à inexistência de ilegalidade associada ao destinatário do valor.
Em determinadas jurisdições, o pagamento de resgates pode configurar infração penal, especialmente quando os recursos forem destinados a organizações terroristas ou redes criminosas transnacionais, o que impõe uma análise criteriosa da legalidade do ato e da cobertura correspondente.
Por consequência, cresce a importância de que o contrato de seguro preveja de forma expressa os critérios para eventual reembolso, os limites máximos de indenização, os mecanismos de comprovação da necessidade e a obrigatoriedade de consulta prévia a autoridades competentes ou consultorias especializadas.
Outro elemento recorrente de controvérsias, inclusive perante ao Poder Judiciário, diz respeito à negativa de cobertura com fundamento no agravamento do risco por parte do segurado.
Muitas seguradoras inserem em suas apólices cláusulas que condicionam a eficácia do contrato à observância de determinados padrões técnicos, tais como o uso de firewall, antivírus, backups regulares, criptografia de dados e autenticação multifator. Desse modo, a seguradora pode se recusar a arcar com os prejuízos alegando negligência ou dolo, nas situações nas quais a empresa não cumpre integralmente tais requisitos.
Nesse diapasão, embora o dever de diligência recaia sobre o segurado, é necessário avaliar, caso a caso, se a falha apontada possui nexo direto com o dano ocorrido, e se a exigência contratual foi formulada de forma compatível com o porte e a estrutura da empresa segurada.
Diante disso, a adoção de cláusulas que permitam escalonamento da cobertura conforme o nível de conformidade técnica, ou que prevejam tolerância para pequenos desvios com a obrigação de correção futura, pode representar solução contratual viável para preservar o equilíbrio da relação jurídica.
Com o advento da LGPD, o seguro cibernético passou a ser ainda mais relevante como instrumento de proteção diante da possibilidade de aplicação de sanções administrativas e da propositura de ações judiciais por titulares de dados. Ainda assim, persiste a incerteza quanto à indenizabilidade de multas impostas por autoridades públicas, uma vez que muitas apólices expressamente excluem penalidades de natureza administrativa do escopo de cobertura.
Tal exclusão, embora amparada no princípio da intransmissibilidade da sanção, pode ser relativizada quando o contrato previr cobertura ao menos para os custos de defesa administrativa e para eventuais acordos celebrados no curso do procedimento sancionador. A jurisprudência brasileira ainda não consolidou entendimento definitivo sobre o tema, o que recomenda atenção redobrada ao momento da contratação e a redação minuciosa das cláusulas pertinentes.
As disputas judiciais envolvendo seguros cibernéticos têm revelado a necessidade de amadurecimento regulatório e contratual do setor e a ausência de uma regulação específica sobre os seguros voltados a riscos digitais favorece a adoção de modelos importados, muitas vezes inadequados à realidade brasileira. Isso contribui para a existência de contratos excessivamente padronizados, que desconsideram as particularidades do negócio segurado e impõem obrigações desproporcionais ao contratante.
Em resposta a esse cenário, observa-se uma tendência de personalização das apólices, com cláusulas mais claras, delimitação precisa de coberturas e exclusões e previsão expressa de condutas obrigatórias para ambas as partes. Há também um movimento das seguradoras em reduzir a cobertura para pagamentos de resgates, como forma de desestimular o financiamento indireto da atividade criminosa, e em incentivar a adoção de planos de resposta a incidentes como condição para a manutenção da apólice.
Diante de um ambiente regulatório em constante evolução e de riscos digitais cada vez mais sofisticados, o contrato de seguro cibernético deve ser compreendido não apenas como um instrumento de transferência de risco, mas como componente essencial da governança corporativa e da estratégia de conformidade jurídica das empresas.
Cabe ao segurado, por sua vez, com a devida assistência técnica e jurídica, realizar uma leitura crítica das cláusulas contratuais, a fim de garantir que os riscos mais relevantes para sua operação estejam efetivamente cobertos e que os deveres assumidos sejam viáveis e proporcionais.
O amadurecimento do mercado e o aprimoramento dos contratos deverão contribuir para maior segurança jurídica nas relações entre seguradoras e segurados, permitindo que o seguro cibernético cumpra, de forma plena, sua função de proteção diante dos novos contornos da responsabilidade digital.
_________
1 Ransomware é um tipo de software malicioso que, ao infectar um sistema, criptografa os dados da vítima e exige o pagamento de um resgate (geralmente em criptomoedas) para a liberação do acesso às informações sequestradas.
Fonte: Migalhas
Deixe um comentário