Freud tinha razão. Porque há algo de polimorfo perverso no ar. Ao menos no ambiente digital. Entre 2014 e 2017, os estragos provocados por ataques virtuais cresceram de tal forma que saíram de uma fatia de 0,62% para 0,80% do PIB global, com perspectivas de chegar a 1% em 2020. Em termos nominais, é uma montanha de dinheiro que já ultrapassa US$ 600 bilhões – superior à economia da Polônia, a 21ª maior do planeta. No mar de incertezas da transformação digital, a única certeza é a de alta dos cibercrimes.

Como se fosse pouco assistir a uma expansão orgânica, os ataques receberam estímulos recentes. Por mais paradoxal que possa parecer, as novas regulações de proteção de dados, como a europeia General Data Protection Regulation (GDPR, desde 2018), a brasileira Lei Geral de Proteção de Dados (LGPD, a partir de 2020) e o California Consumer Privacy Act (CCPA, também a partir de 2020), ao definir pesadas multas e penalizações a organizações, em especial do ambiente corporativo, acabam indiretamente incentivando a multiplicação de ciberataques.

Marta Schuh é head de Cyber Seguros da Marsh – líder global em corretagem de seguros e gerenciamento de riscos, com presença em mais de 130 países. Ela diz que produtos de ciberproteção existem desde 1997 e só chegaram ao Brasil 15 anos depois, em 2012. A pioneira foi a AIG. Mas após a aprovação da LGPD, no ano passado, o cenário se alterou e virou o tema da vez no segmento. “Há um forte movimento para se trazer coberturas que já existam no mercado internacional.”

Isso significa abranger, nos casos de infração, desde a necessidade de notificação até a cobertura de multas, que na LGPD podem chegar a R$ 50 milhões. “Basicamente, todas as sete seguradoras no Brasil que atuam no cibernético revisaram suas políticas e seus produtos.” Uma adaptação necessária para o tamanho que o mercado alcançará. De acordo com o relatório 2018 Economic Impact of Cybercrime, produzido pela McAfee com o Center for Strategic and International Studies (CSIS), o segmento de seguros cibernéticos saltará de US$ 2 bilhões, em 2018, para US$ 20 bilhões, em 2025. E o Brasil, pelo porte de sua economia, não ficará fora do tsunami.

Contudo, há outra peculiaridade no ambiente nacional. Somos uma jabuticaba também no mundo do crime digital. O estudo McAfee/CSIS diz que “existe uma comunidade bem desenvolvida de hackers brasileiros e 54% dos ciberataques no País se originam dentro das próprias fronteiras”. E isso já é percebido de forma intensa no universo corporativo. O gerente de Linhas Financeiras da AIG, Flavio Sá, afirma que o cenário realmente mudou. “Independentemente da LGPD, a exposição sempre existiu, mas agora se acentua muito. Entrou de vez na pauta”, diz. “E se tornou uma das maiores preocupações das empresas.”

Tanto que o Brasil lidera a lista de países com mais corporações (66,7%) que pretendem aumentar o número de funcionários e consultores para a proteção de ambientes virtuais, segundo outro estudo, o Cyberthreat Defense Report 2019, feito com 1.200 profissionais de segurança em TI de 17 países. Bem à frente do segundo colocado, o Japão (46,7%). No campo dos seguros cibernéticos, porém, ocorre o oposto. Nos Estados Unidos, há pelo menos 75 seguradoras trabalhando produtos segmentados – isso se forem consideradas apenas as que têm prêmios a partir de US$ 1 milhão. No Brasil há somente sete marcas atuando no segmento de soluções para ataques virtuais.

Também esse retrato deve mudar. O head de Linhas Financeiras para a América do Sul da Allianz Global Corporate & Specialty (AGCS), Alessandro Carriglio, diz que num futuro nada remoto as apólices de cyber se tornarão produto corriqueiro. “Num contexto econômico em que se fala cada vez mais de indústria 4.0 e digitalização, até a operação mais simples de qualquer negócio envolve algum processo tecnológico”, diz. Na sua carteira atual, corporações de diversos segmentos buscam soluções. “Além da preocupação com eventual vazamento de dados elas querem proteger a continuidade das operações ou possível interrupção dos negócios causadas por uma invasão hacker.”

A mesma percepção é identificada pelo head de Linhas Financeiras da Zurich, Fernando Saccon. Ele enumera dois perfis de interessadas. O primeiro tem empresas mais sensíveis ao uso de dados, como as instituições financeiras, de ensino, do setor de saúde e escritórios de advocacia. Elas tendem a liderar a procura. “Mas há um segundo perfil, que são aquelas que não se relacionam diretamente com o cliente final, com o varejo, e estão preocupadas caso a operação, por exemplo, seja paralisada por um ataque cibernético”, afirma Saccon. “Dentro da Zurich, temos uma engenharia para levar cada vez mais informações sobre esse tema aos clientes. Há muita discussão sobre o assunto.”

Disseminar informação parece ser a ferramenta número 1 para a busca por proteção. Na Tokio Marine, o fenômeno foi o mesmo, mas invertido. Ela acaba de lançar um produto voltado a pequenas e médias empresas. A gerente de Garantias e Linhas Financeiras da seguradora, Carol Ayub, afirma que desde companhias limitadas até as sociedades anônimas se interessaram: “Existe grande heterogeneidade na atividade dessas empresas: há desde pequenos escritórios locais até grandes grupos financeiros e petroquímicos”. Flavio Sá, da AIG, diz que não se trata de um perfil específico de segmento, ou ordem de grandeza das companhias. “Depende mais da maturidade de sua liderança do que do tamanho ou da área de atuação”, afirma.

COBERTURA Por contemplarem segmentos tão díspares, com dimensões igualmente distintas de funcionários e receitas, os pagamentos previstos variam muito. Carriglio, da Allianz Global Corporate & Specialty, lembra que em comum as coberturas podem vir de três origens. “Perdas por reclamações de terceiros (quando ocorre violação de privacidade, por exemplo), por responsabilidade de mídia (que surgem da veiculação de algum conteúdo) e por perdas diretas do segurado (na interrupção do negócio, ou extorsão cibernética).”

Na prática, as seguradoras acabam desenhando os produtos de forma muito maleável. Na AIG, as contratações variam de R$ 1 milhão a R$ 300 milhões ao ano, mas “podem ser ainda maiores”, diz Flavio Sá. Na Marsh, a modelagem também leva em conta múltiplos indicadores. “Conseguimos quantificar o risco intangível para calcular o valor. Temos varejistas, por exemplo, contratando limites entre R$ 30 milhões e R$ 60 milhões”, diz Marta Schuh. Já a Zurich buscou caminho diferente, com resultados similares. “Começamos a desenhar as estratégias a partir das grandes corporações, bilionárias, com cultura de gestão de risco mais avançada, e a partir daí modelamos as soluções para empresas menores”, afirma Fernando Saccon. Na Tokio Marine o limite contratado é definido pelo cliente. Todos os executivos das cinco empresas desta reportagem são unânimes ao afirmar que o tema entrou definitivamente na pauta corporativa brasileira. Não cabe mais perguntar se alguma empresa irá contratar seguro cibernético, e sim quando irá contratar.

Mas enquanto soluções corporativas deslancham, produtos para pessoas físicas inexistem. Carriglio, da AGCS, acredita que a mudança também virá. Por um motivo comportamental. “Provavelmente, esse nicho será explorado com a entrada em vigor da LGPD”, diz. Sabe o motivo? “Porque a lei traz algumas medidas de empoderamento do proprietário de dados.” Sim. Nós e você. Os tais consumidores cidadãos do universo digital.