S ETOR SEGURADOR

A indústria seguradora presencia uma rápida evolução, com uma pressão crescente para gerir e diversificar da melhor forma o risco, num mercado em constante mudança, com “(…) o desafio da exigente regulação (…), mas também da inovação, da digitalização da economia e da mudança de comportamentos dos consumidores (…)”52.

A missão da (res)seguradora passa pela assunção de um risco, mitigando-o ou eliminando-o. Com o passar do tempo, estes riscos tornam-se “domáveis”, caindo as margens e diminuindo os seus custos.53 _{Sendo assim, a característica básica do setor}

segurador é a probabilidade de que o evento inesperado aconteça, baseado em cálculos matemáticos e estatísticos. É necessário, portanto, uma preparação por parte das companhias de seguro, e um acompanhamento das tendências e dinâmicas, nomeadamente dos processos de integração, que englobam a globalização, consolidação e convergência; acontecimentos catastróficos e o surgimento dos novos riscos, causados pelas tecnologias emergentes.54

52 _{OLIVEIRA, José Galamba de – Editorial. In ASSOCIAÇÃO PORTUGUESA DE SEGURADORES -} Panorama do mercado segurador 16/17 [Em linha]. Lisboa : APS, 2017, p. 7.

53 _{PEIGNET, Victor - Technology : shaping the risk landscape. Focus [Em linha]. N.º 22 (April 2017) p.} 34

54 _{NJEGOMIR, Vladimir ; MAROVIĆ, Boris - Contemporary trends in the global insurance industry.} Procedia - Social and Behavioral Sciences [Em linha]. Vol. 44 (2012) p. 134-142.

É, neste sentido, possível analisar o risco cibernético e o seu impacto no setor segurador em duas vertentes: como uma ameaça à segurança do próprio setor e como um risco a segurar55.

Por um lado, os riscos associados à implementação das TIC podem afetar muitos outros setores, sendo imprescindível para as seguradoras a sua adaptação a este desenvolvimento. Após um evento catastrófico, os seguros permitem a injeção de capital, estimulando a liquidez da economia. Portanto, este novo panorama criará oportunidades de desenvolvimento, embora seja necessária a capacidade de identificar, avaliar e determinar as suas próprias capacidades para rejeitar ou aceitar a subscrição desses mesmos riscos. A possibilidade de oferecer um seguro com cobertura cibernética, que cubra as perdas financeiras inesperadas causadas por um evento cibernético, encontra-se agora disponível, transferindo o impacto severo de eventos deste tipo. Isto traduz-se na criação de valor para as seguradoras, com um aumento na procura deste tipo de seguros e um aumento do volume de prémios e cobertura, desenvolvendo assim a sua carteira.

As seguradoras, no entanto, enfrentam elevadas dificuldades na modelização do risco cibernético e na sua quantificação.56 Isto acontece por inúmeras razões: (i) o ambiente cibernético está em constante evolução, sendo que os dados históricos não refletem o ambiente atual; (ii) existem poucos métodos e dados atuariais para quantificar o valor económico sobre as perdas de informações/violação de dados dos segurados; (iii) a interconectividade dos sistemas das TI, que dificulta a monitorização deste risco (o mesmo ataque pode envolver diversas soluções de seguro); (iv) as estratégias dos ataques estão em crescimento constante, afetando as cláusulas presentes nos contratos de seguro; (v)57 o valor financeiro das empresas modernas está cada vez mais conexo aos seus ativos intangíveis58, sendo que as seguradoras deverão concentrar-se em avaliar e quantificar a propriedade intelectual e os danos à reputação; (vi) ainda não estão totalmente claras as necessidades exatas das empresas em termos de cobertura, não existindo ainda

55 _{INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS - Issues paper on cyber risk to} the insurance sector [Em linha]. [Basel] : IAIS, 2016.

56 _{PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em} linha]. Amsterdam : CRO Forum, 2014, p. 20.

57 _{PARSOIRE, Didier ; HEON, Sébastien - State of the cyber (re)insurance market. Focus [Em linha]. N.º} 22 (April 2017) p. 28.

clausulados dos contratos de seguro cibernético totalmente definidos (com ausência de definições específicas).

No entanto, tendo em conta que o risco cibernético está em constante crescimento, a probabilidade de as seguradoras terem que pagar indemnizações por sinistros ocorridos ao abrigo do seguro cibernético, é superior. Existe, portanto, aqui um contrabalanço: se por um lado as seguradoras beneficiarão pela maior oferta e equivalente procura de seguros cibernéticos, por outro, pagarão elevados montantes de indemnização. Não obstante, o negócio das seguradoras não seria rentável se pagasse mais pelos sinistros do que o que recebesse a nível dos prémios, existindo, portanto, uma margem suficiente para a sua proteção.

Por outro lado, os avanços tecnológicos podem levar a incidentes de segurança cibernética dentro das companhias de seguros. Os três riscos maiores riscos para as seguradoras, relacionados com o risco cibernético, são a indisponibilidade de serviços dos TI, violação de dados e perda de integridade de dados.59

Independentemente do tamanho ou das linhas de subscrição, todas as seguradoras recolhem, armazenam e processam volumes substanciais de dados, incluindo informações pessoais (como nome, data de nascimento, registos de saúde privada, etc.) e, muitas vezes, confidenciais dos tomadores de seguro (dados dos investimentos dos clientes, para os planos de pensão e seguros de vida, dados bancários, ou o património dos clientes para os ramos das responsabilidades), tornando esta indústria bastante atrativa para os ataques cibernéticos e, com elevadas partilhas de informação com terceiros. Isto acontece pela elevada rede de conexão com outras instituições no mercado (e.g. resseguradores, investimentos financeiros, prestadores de serviços, terciarização de serviços). Para além deste facto, as mudanças na estrutura corporativa, através de fusões e aquisições, podem da mesma forma afetar a exposição da empresa ao risco cibernético, com desafios adicionais para integrar os processos.

As informações obtidas junto das seguradoras, podem ser utilizadas para obter outro tipo de ganhos financeiros, através do crime cibernético, como extorsão, roubo de

59 _{PATERSON, Charlotte, ed. - Cyber resilience : the cyber risk challenge and the role of insurance [Em} linha]. Amsterdam : CRO Forum, 2014, p. 8.

identidade ou apropriação indevida de propriedade intelectual.60 Para além disto, com as novas coberturas de responsabilidade cibernética, as seguradoras dispõem de dados como os controlos de segurança na rede de determinados segurados. Isto resulta em danos graves para os segurados, no caso de um ataque cibernético, repercutindo-se na reputação e na capacidade de condução de negócios da própria seguradora, com perdas financeiras e de clientes, custos legais e operacionais de recuperação muito substanciais. Sendo que os seguros se baseiam bastante na confiança, - que os dados do tomador de seguro sejam protegidos, que os sinistros sejam pagos - quando ocorre uma violação de dados ou um incidente de segurança cibernética (não sendo possível proceder ao pagamento dos sinistros), esta confiança acaba por ser abalada, existindo um elevado dano de reputação.

Para aumentar a capacidade de resiliência61 _{do setor aos riscos cibernéticos, é}

necessário um papel mais ativo dos supervisores das seguradoras na investigação (com um papel relevante da ASF). O supervisor deve abordar este risco através de regulamentação e de uma política de supervisão que envolva a segurança das informações privadas detidas pelas seguradoras e outros intermediários que intervenham nestes processos. Para além destas práticas, aquelas mencionadas no tópico supra, referente às empresas, valem de igual forma para as empresas deste setor.

De acordo com PHILIPPE COTELLE, não são as seguradoras que percorrerão este caminho, mas sim "regulation, as well as pressure from investors for more

transparency with regard to cyber risk management is what will motivate companies to improve”62