O desenvolvimento fulminante das tecnologias de inteligência artificial está criando novas ameaças para as empresas e alimentando uma dúvida no mercado de seguros: quem vai oferecer cobertura para um risco que não para de crescer?
A resposta mais óbvia é que boa parte dos riscos de IA já são cobertos pelas apólices de seguros cibernéticos. No entanto, experts advertem que, se as apólices não expressam de maneira explícita que perdas causadas por ferramentas de IA estão cobertas, os segurados podem ter problemas no futuro para cobrar seus sinistros.
Ao mesmo tempo, cláusulas de exclusão de IA já começam a aparecer em outros segmentos do mercado, e se teme que um dia chegarão também aos riscos cibernéticos.
E há quem defenda que as exposições criadas pelas novas tecnologias serão tão significativas que o mercado terá que criar uma linha de seguros totalmente nova para garantir que as empresas poderão se proteger contra esses riscos.
O lado positivo para o comprador de seguros cibernéticos é que a discussão está ocorrendo em um momento em que os preços estão em queda e as seguradoras, forçadas pela concorrência, estão mais dispostas a oferecer coberturas mais completas a seus clientes.
* De janeiro a agosto. Fonte: Susep
Uma ameaça que evolui cada vez mais rápido
Não é de estranhar que a IA preocupa o mercado de seguros cibernéticos. As novas tecnologias alimentadas pela chamada IA agêntica, ou seja, que age em grande parte por conta própria, evoluem a um ritmo que, no passado, era difícil de imaginar.
A IA está até democratizando o crime virtual. As grandes corporações e empresas tecnológicas seguem sendo o principal alvo dos grupos organizados, mas hoje hackers oferecem acesso a ferramentas elaboradas com IA para realizar ataques de ransomware por valores tão baixos como US$200 por mês.
Agora todo mundo pode ser alvo de um ataque de ransomware altamente sofisticado.
Em um recente webinário, Bottomley observou que, na atualidade, mesmo empresas de menor porte podem ser atacadas. Hackers de baixa gama buscam retornos financeiros modestos e por isso realizam ataques contra indivíduos e pequenas empresas.
O outro lado da moeda é que a IA está sendo utilizada com cada vez mais eficiência para monitorar ataques e antecipar ameaças contra as empresas.
Mas os hackers muitas vezes seguem bem à frente de suas vítimas potenciais. É o que ilustram casos recentes como o de uma empresa de engenharia britânica, que sofreu uma perda de US$25 milhões devido a um roubo de identidade.
Bottomley contou que um funcionário baseado em Hong Kong foi convencido por falsas imagens de vídeo do CFO e outros executivos, durante uma teleconferência, a fazer uma transferência bancária daquele valor.
Muito trabalho e pouco tempo para a prevenção
A prevenção contra este tipo de fraude ganhou urgência na medida em que demanda cada vez mais trabalho por parte das empresas.
Bottomley observou que, até recentemente, uma empresa dispunha de duas semanas para identificar, testar e reparar uma vulnerabilidade externa em seus sistemas de informática. Caso cumprisse esse prazo, estaria apta a conseguir uma apólice de seguros para cobrir o risco. Hoje, porém, as exposições evoluem de forma muito mais acelerada.
“Se a empresa tem uma vulnerabilidade externa no sistema, é preciso agir rapidamente”, afirmou.
Seguradoras de riscos cibernéticos têm pressionado seus clientes a investirem nos recursos humanos e tecnológicos necessários para tentar acompanhar a evolução das ameaças. No entanto, pela própria rapidez como o cenário está mudando, é difícil dizer que está sendo feito o necessário para mitigar o risco.
Durante o encontro, Bottomley disse que, apesar do incremento das ameaças, ainda é possível montar um programa de segurança cibernética contra o lado negativo da IA.
Não é um trabalho simples, porém: ele listou 14 medidas que compradores, brokers e seguradoras precisam adotar para que isso seja possível. A lista foi baseada em parte na matriz de recomendações da elaborada pela consultoria Mitre, que relaciona 11 temas com mais de 200 ações técnicas, muitas delas divididas em várias ações secundárias, para melhorar a segurança cibernética de uma organização.
E o seguro, como pode ajudar?
Bottomley também disse que, por mais que uma empresa faça para proteger-se contra ataques cibernéticos, sempre vão existir lacunas no sistema que podem ser explorados por organizações criminosas.
Segundo ele, o máximo que a adoção de um programa completo de cibersegurança recomendado pela CIS, uma organização especializada no tema, pode conseguir é garantir um nível de 92% de proteção. Dificilmente alguma companhia pode realmente almejar chegar a tanto.
É na cobertura dessas lacunas de proteção que o seguro entra. Mas, para tanto, o mercado tem de estar disposto a assumir exposições de uma dimensão ainda difícil de calcular.
Seguradoras internacionais têm demonstrado preocupação com o chamado risco de IA silenciosa, ou seja, exposições maximizadas pela tecnologia em apólices de seguros existentes. Isso tem resultado em cláusulas de exclusão que afetam coberturas como os seguros de responsabilidade civil e danos à propriedade.
Neste ano, a Berkley, por exemplo, anunciou que estava adotando uma “exclusão de IA absoluta” que vale para suas apólices de D&O, E&O e responsabilidade fiduciária.
Esse tipo de medida ainda não chegou ao mercado cyber, porém. E não é de espantar: a consultora Deloitte estimou no ano passado que os prêmios de seguros ligados a riscos da IA chegarão perto de US$5 bilhões até 2032. Todo mundo quer uma fatia deste bolo.
Os perigos do silêncio e as oportunidades de cobrir o risco
Uma seguradora que está firmemente engajada no tema da IA é a britânica CFC, que recentemente atualizou os clausulados de suas coberturas de riscos cyber para dizer por A mais B que os riscos de IA estão incluídos.
A empresa considera que isso faz parte da missão de uma subscritora especializada em riscos cibernéticos e que, por esse motivo, é preciso evitar ambiguidades sobre o tema.
É definitivamente necessário que as seguradoras de riscos cyber expressem sua intenção de (oferecer) cobertura. A noção de silêncio no clausulado não proporciona aos segurados a claridade de cobertura que eles desejam.
Bailey admite que a aceleração do uso da IA aumenta as exposições e diz que a empresa já viu ataques cibernéticos em que a tecnologia está envolvida de alguma maneira.
Muitas vezes este envolvimento é difícil de provar ou de negar, mas isso não significa que essa possibilidade deve ser excluída da apólice. Para ele, mesmo efeitos secundários de um ataque que usa IA em áreas como propriedade intelectual ou riscos de difamação devem estar cobertos.
Ele também admite que esta atitude tende a ter um impacto nos preços, mas acredita que muitos compradores estarão dispostos a pagar algo mais por níveis extras de proteção em um cenário de riscos que preocupa as empresas.
“A inclusão de coberturas de IA de uma maneira responsável é o tipo de benefício adicional que poderia converter algumas empresas de menor tamanha a comprar seguros cibernéticos. Deve ser parte de uma boa apólice de seguros cyber, e não um segmento próprio do mercado de seguros”, diz Bailey.
Será que o mercado vai aguentar as perdas que vêm por aí?
Uma visão diametralmente oposta é defendida por Karthik Ramakrishnan, fundador da insurtech Armilla, uma MGA baseada em Toronto (Canadá) que está focada nos riscos da IA.
Para ele, o mercado cibernético não está preparado para lidar com as novas exposições porque sua própria natureza difere do que o setor está acostumado a trabalhar.
A IA não funciona como um software tradicional. Quando você escreve um código, se você o manda fazer ‘X’, ele faz ‘X’, a menos que haja um bug. Com a IA, mesmo que não exista um bug, nenhum modelo é 100% preciso. Além disso, software é operado por seres humanos, mas a IA vai operar a si mesma, e por esse motivo a IA agêntica necessita seu próprio tipo de seguros.
Além disso, ele prevê que a própria dimensão dos riscos aumentados pela IA agêntica, como a utilizada pelo ChatGPT e outras ferramentas similares, vai superar o apetite de risco das seguradoras incumbentes.
“Na minha opinião, (o seguro para IA) vai ser maior que o mercado cyber”, diz ele. “Há estimativas de que a IA será um mercado de US$35 trilhões que vai impactar cada canto da economia. Isso dá uma ideia do tamanho que o seu mercado de seguros terá.”
Uma nova subscrição para novas exposições
A Armilla já lançou duas coberturas de seguros dedicados aos risco de IA, uma delas com o apoio de incumbentes como a Munich Re.
A própria resseguradora alemã possui um produto específico para a nova tecnologia, mas acredita que, com algumas adaptações, os subscritores de cyber podem trabalhar com os riscos agravados por ela.
Com base nas avaliações atuais da Munich Re sobre os seguros cyber, o risco de IA não precisa ser excluído de uma maneira geral. No momento, nenhum cenário está surgindo que poderia representar uma ameaça para a indústria de seguros cibernéticos.
Mas Hauner alerta que os subscritores vão ter de aprender a lidar com as novas exposições e prestar mais atenção a riscos específicos como a alucinação de modelos de IA e possíveis tendência a discriminação e viés que eles podem demonstrar.
Isso vai exigir uma série de habilidade que vão além do que um subscritor cyber tradicionalmente possui.
“Em geral, a Munich Re considera que os riscos de IA atualmente cobertos pelas apólices cyber são administráveis”, diz Hauner. “Ao mesmo tempo, vemos valor em novas coberturas específicas para a IA, como por exemplo para a performance dos modelos ou para riscos ligados a seus produtos, como as alucinações.”