- Risco Seguro Brasil
- Posts
- Seguro cyber caro chegou para ficar
Seguro cyber caro chegou para ficar
Edição inicial da Risco Seguro Brasil analisa mercado de riscos cibernéticos
Nesta edição:
A volta da Risco Seguro Brasil
A Risco Brasil está de volta para cobrir de maneira profissional os temas mais importantes no mercado de gerência de riscos e seguros para empresas.
Voltamos em formato de newsletter semanal por assinatura e com o objetivo de trazer mais de 15 anos de experiência reportando as tendências internacionais do setor.
Neste mês de janeiro, o acesso à RSB será gratuito. E para começar abordamos os riscos cibernéticos, um tema que preocupa a todas as organizações.
Boa leitura!
O seguro cyber caro chegou para ficar
Após mais de três anos de mercado duro, o seguro cibernético parece ter se estabilizado em 2023. Isso é uma boa notícia para as empresas.
A má notícia é que o ponto de equilíbrio ocorre em um patamar que muitos compradores de seguro consideram difícil de encarar.
Em outras palavras, os altos preços do seguro cibernético estão aqui para ficar, ao menos no curto prazo.
A atual situação é resultado de um dramático ajuste dos mercados globais. Em uma apresentação para a imprensa internacional, em Londres, a corretora Marsh observou que, entre 2019 e 2022, os preços das coberturas cibernéticas aumentaram algo como 300%.
O que houve no mercado cyber não foi nem um endurecimento. Foi uma correção.
Pior que isso, durante aquele período, gerentes de riscos nos Estados Unidos e na Europa queixaram-se que, ainda que quisessem pagar os prêmios exorbitantes pedidos pelas seguradoras, elas se recusavam a disponibilizar as capacidades de que necessitavam.
Pagar caro por uma proteção meia-boca? Soa a uma receita perfeita para um gerente de riscos perder pontos com o conselho da empresa.
Apetite em alta...
O lado positivo, por assim dizer, é que os aumentos de preços, aliados a restrições de subscrição que limitaram as perdas absorvidas pelas (res)seguradoras, melhoraram bastante os resultados técnicos do setor.
Em 2022, as seguradoras de cyber nos EUA conseguiram ter lucro no segmento, após um aumento de 50% no volume de prêmios e uma queda significativa nos índices de sinistralidade, como mostra um recente relatório da AM Best.
Com isso, no ano passado, gerentes de risco não só nos Estados Unidos, mas também na Europa, reportaram uma volta significativa de capacidade no mercado. O mercado americano até viu uma pequena queda nos preços – cerca de 4% no terceiro trimestre, de acordo com a Marsh.
Relatório da Gallagher Re mostra que a tendência se reflete no mercado de resseguros, que viu uma significativa melhora de condições para os cedentes nas renovações de p de janeiro.
Já há casos inclusive de novos tipos de capacidade chegando ao mercado cyber, como os instrumentos ILS, cujas primeiras emissões ocorreram no ano passado (ver texto abaixo).
...mas ainda está difícil de engolir o risco
Isso quer dizer o mercado deu uma reviravolta? Ainda é cedo para bater o martelo a este respeito.
Como a Marsh observou durante a apresentação em Londres, o mercado segue preocupado com fatores como a acumulação de perdas derivadas de eventos cibernéticos.
Em 2023, segundo a Marsh, os ataques aumentaram 28%. A consultoria Corvus calcula que, em novembro de 2023, houve 110% mais ataques de ransomware que no mesmo mês do ano anterior.
O caso da Comcast, companhia americana de telecomunicações, serviu para ilustrar a realidade detrás das estatísticas. Um pouco antes do Natal, a empresa notificou os reguladores que os dados de 36 milhões de clientes foram afetados por um ataque a sua subsidiária Xfinity.
Criminosos cibernéticos não são os únicos fatores de risco, já que os estados estão cada vez mais integrando armas de guerra cibernética aos seus arsenais bélicos.
E todo mundo está com medo do inevitável evento cibernético sistêmico, que em algum momento vai ocorrer, afetando infraestruturas e cadeias de suprimento e gerando enormes perdas asseguradas.
Para completar, os reguladores estão de olho na capacidade das empresas em prevenir e reagir a ataques cibernéticos. A SEC, reguladora dos mercados de capitais americanos, já introduziu normas a respeito.
A CVM também está seguindo este caminho no Brasil, e o governo federal acaba de publicar seu primeiro plano de segurança cibernética, um indício que exigências podem surgir pela frente.
Então estamos falando de um mercado estabilizado pelo momento, mas ainda intranquilo. O que indica que os preços não devem cair, e que as exigências de gestão de risco cibernético por parte das seguradoras não serão afrouxadas em breve.
E no Brasil, qual é o cenário?
Conversando com gerentes de risco durante a recente conferência da ABGR, em São Paulo, a opinião mais corrente é que os seguros cyber estão caros demais no Brasil.
De certa maneira, foi um pouco de falta de sorte. Apesar de que o produto é oferecido no país desde o começo dos anos 2010, foi só a partir dos ataques conhecidos como NotPetya e WannaCry, em 2017, que o tema começou a ser levado a sério de verdade pelas empresas.
O volume de prêmios começou a crescer para valer a partir de 2019, e vem aumentando com força desde então (mas ainda segue pequeno para o tamanho da economia: só R$ 165 milhões entre janeiro e outubro de 2023).
Logo veio a pandemia, quando a proliferação do teletrabalho, muitas vezes sem a preparação de segurança adequada, fez disparar os sinistros.
Adicione-se a isso a promulgação da Lei Geral de Proteção de Dados, LGPD, em 2018, e o caldo estava pronto para cozinhar no Brasil as tendências internacionais.
Em outras palavras, as empresas brasileiras acordaram para o seguro cyber justamente quando o mercado global ficou duro como uma pedra.
Hora de investir em prevenção
Os compradores entendem o porquê desse movimento, mas gostariam que as seguradoras fizessem um esforço extra para facilitar um pouco seu trabalho na hora de convencer os conselhos a investir em segurança cibernética, incluindo a compra de seguros.
Uma tarefa que, para começo de conversa, não é nada fácil para os Chief Information Segurity Officers que começam a pipocar pelo país.
É uma luta constante dos CISOs para angariar fundos para a segurança da informação e convencer os tomadores de decisão que a segurança de informação é uma coisa contínua, que tem relação com o negócio da empresa, e não com o hardware.
Em realidade, mesmo as seguradoras reconhecem que, antes de comprar uma cobertura de seguro, as empresas devem dedicar investimentos à gestão interna do risco cibernético. Até porque estão extremamente seletivas com os riscos que aceitam em seus portfólios.
Mas analistas observam que segue surpreendente a quantidade de empresas que ainda não implementaram medidas simples de segurança, como o duplo fator de autenticação para ingressar no sistema interno, ou o treinamento de funcionários para não abrir e-mails que podem resultar em ataques de ransomware ou phishing.
O que é preocupante, considerando que, de acordo com estudos, o Brasil é um dos países mais alvejados por ataques cibernéticos em todo o mundo.
Mapear vulnerabilidades e definir qual o nível de tolerância da empresa frente a um ataque cibernético é de extrema relevância. Estar preparado com antecedência para o caso de um ataque hacker pode ser crucial para manter a empresa ativa.
Competição à vista
Agora o lado positivo. A alocação de mais capital para o mercado cyber também está ocorrendo no mercado doméstico.
Corretores veem incumbentes que haviam deixado o setor, como AXA e Chubb, mais assertivos na disputa por clientes. Há novos atores entrando no mercado, e as líderes, AIG, Zurich Minas e Tokio Marine, não dão sinais de esmorecer.
Um aumento da competição que é visto até mesmo pelas incumbentes como um movimento saudável para o mercado.
“Não basta termos apenas uma ou duas seguradoras oferecendo capacidade. O ideal para o mercado é um número cada vez maior de competidores, porque isso traz mais capacidade para os clientes se protegerem e gera mais interesse dos clientes.
Cyber é o segundo risco que mais preocupa as empresas latino-americanas: Aon
Riscos atuais
| Riscos futuros
|
Fonte: Global Risk Management Survey, Novembro de 2023
Com a palavra, o mercado
João Fontes, Superintendente de Financial Lines Brasil na AIG
Gestores de risco dizem que o seguro cibernético está muito caro. Como você vê o estado atual dos preços?
A gente tem que levar em consideração que as seguradoras estão buscando um equilíbrio entre prêmio emitido e sinistro pago. Quando a gente entrou na pandemia, o número de ataques cresceu, e as seguradoras entenderam que precisavam se proteger mais. A forma de proteção são termos e condições às vezes mais duros, incluindo prêmios e franquias maiores.
A AIG, por exemplo, preferiu ser conservadora nesse momento de muita dificuldade do mercado, com aumento de sinistralidade bastante elevada, principalmente caso de ransomware, o que levou ao chamado endurecimento do mercado.
Mas nós temos visto um mercado com mais apetite, e isso é muito importante para o seu desenvolvimento.
Qual é a oferta da AIG em seguros cibernéticos?
A gente divide o seguro cyber em coberturas de primeira parte e aquelas coberturas de terceira parte.
Na cobertura de primeira parte, a partir do momento em que há o incidente em que há uma violação, o cliente já tem direito às coberturas porque ele próprio sofreu uma perda.
Já as coberturas de terceira parte são as coberturas de responsabilidade, ou seja, há necessidade de uma reclamação de um terceiro para que o gatilho da apólice seja ativado.
Dentro das coberturas de terceira parte se incluem os custos de defesa, eventuais multas e penalidades, responsabilidade por dados pessoais e corporativos dos terceiros, e as responsabilidades por dados pessoais de terceiros vazados por empresas terceirizadas.
A partir do momento em que há um incidente, o cliente pode ligar para o número 0800 que a seguradora oferece para entrar em contato com um serviço de especialistas contratados pela AIG.
A partir disso, há coberturas como os serviços de perícia de um forense digital pra entender o que aconteceu e até restabelecer os dados, se possível.
Também se cobre o custo para restauração e recuperação dos dados e o custo de restituição na imagem pessoal ou da sociedade. Por exemplo, pela contratação de um de um assessor de imprensa que possa auxiliar nesse momento.
Algumas das coberturas que têm sido mais relevantes ao longo desse desses anos são as de lucros cessantes. Existe uma franquia de tempo para isso, dependendo da análise do risco
O que inclui uma cobertura de gastos com notificação e monitoramento, que passa a ser uma das recomendações da LGPD, ou seja, notificar clientes e fornecedores de que houve um ataque e dados foram vazados.
Finalmente, há o pagamento de resgate, caso seja exigido, em casos de extorsão por ransomware.
Que capacidade a AIG oferece para o risco cyber?
Temos dois modelos de subscrição. Um deles é por meio de um portal onde o corretor pode emitir a apólice de forma automática. O limite com esta ferramenta é de até R$ 10 milhões, para empresas que faturem até R$ 150 milhões. Em breve esperamos ampliar esta ferramenta.
Em outro modelo, as cotações são feitas manualmente. O subscritor faz a análise do risco, há um questionário específico de ransomware, e em algum casos fazemos entrevistas com o cliente, com a participação de nosso engenheiro cibernético. Nesses casos temos colocado entre R$ 25 milhões e R$ 30 milhões de capacidade.
Caroline Ayub, superintendente de Linhas Financeiras da Tokio Marine
Qual é o nível de exposição das empresas brasileiras ao risco cibernético?
O Brasil foi o país que sofreu o maior número de tentativas de ataques cibernéticos da América Latina durante o primeiro semestre de 2023, segundo dados do Cenário Global de ameaças do FortiGuard Labs.
No total, foram 23 bilhões de tentativas de ataques no período.
Que coberturas de cyber são oferecidas pela Tokio Marine no Brasil?
No caso do Tokio Marine Riscos Cibernéticos, lançado em 2019, a cobertura básica cobre a responsabilidade cibernética do segurado e garante os danos causados a terceiros ou à própria empresa.
A reclamação pode ser originada de um evento de responsabilidade que acontece, por exemplo, nos casos em que:
um dado ou informação não-pública de terceiros, pelos quais o segurado seja legalmente responsável, são perdidos;
um evento de responsabilidade de mídia, quando o segurado é acionado legalmente por plágio, pirataria, apropriação indébita ou roubo de ideias;
um evento de segurança de rede ocasionado pela transmissão de um malware a partir da rede do segurado;
o produto ainda possibilita a contratação de coberturas adicionais, como custos de remediação, multas PCI e custos de avaliação, extorsão cibernética e lucros cessantes.
Quais são as principais exclusões e sublimites?
Temos sublimites para poucas coberturas, como lucros cessantes e extorsão cibernética.
As principais exclusões são:
Morte, lesão corporal, perda de ou dano a propriedade tangível;
Apropriação ou violação de patente ou segredo comercial;
Custos para atualização ou melhoria de aplicações, sistemas ou rede do segurado;
Transferência eletrônica de fundos, valores ou bens;
Violação de legislação anti spam ou de telemarketing;
Falência, insolvência, recuperação judicial do segurado ou do provedor de serviços de TI;
Perda de mídia portátil não criptografada (laptops, smartphones, tablets, pendrives);
Falha, queda ou rompimento de energia, serviços de utilidade, satélite ou comunicação externa;
Obrigações ou responsabilidades contratuais, exceto para multas PCI e custos de avaliação.
Que serviços de prevenção e mitigação são oferecidos com a apólice cyber?
Na ocorrência de um ataque cibernético, o Segurado precisa entrar em contato imediatamente com a Tokio Marine por telefone. Uma equipe especializada tomará as providências para a análise do incidente, e caso o ataque esteja em andamento, ações serão realizadas para minimizar as consequências.
Que capacidades são disponiblizadas?
A capacidade de aceitação de importância segurada do Tokio Marine Riscos Cibernéticos é de até R$ 20 milhões.
Marco Mendes, líder de Cyber da Aon
Como está a gestão de risco cibernético no Brasil?
Quando a gente fala que o risco cibernético do Brasil é diferente do risco cibernético do mundo, não é que ele é diferente, ele é igual em todo lugar. Mas no Brasil se luta mais para evidenciar essa necessidade.
Quando conversamos com os nossos clientes, vemos uma dificuldade real e objetiva de convencer o board das necessidades de investimento em segurança da informação. Isso acaba tendo um reflexo negativo no perfil de risco das empresas brasileiras.
Mas isso está mudando. Antes a gente percebia que, no básico, estava todo mundo investindo em antivírus, em firewall, e o time de segurança estava segregado do time de tecnologia. Só que aquele próximo passo, aquele próximo investimento que às vezes custava um pouquinho mais caro e que apoiam o time de segurança a dar esse próximo passo de maturidade, elas não estavam acontecendo porque estava tudo muito caro.
Houve porém um período de aprendizado no mercado, com novos entrantes, novas empresas gerando mais capacidade do lado dos fornecedores de tecnologia. Então o Brasil está começando a avançar para o nível de mercados como os Estados Unidos.
De onde vem a capacidade para os riscos cyber no Brasil?
A grande maioria dos riscos vai encontrar capacidade local. As apólices brasileiras ainda não são muito grandes, elas giram na casa dos R$ 20 milhões a R$ 30milhões.
Inúmeros motivadores circundam essa estatística. Por exemplo, o fato de o Brasil ser um país com um pouco conscientização o com relação a direitos de segurança e privacidade de dados. Ainda há pouca judicialização de ações relacionadas à segurança da informação e privacidade.
Isso deve mudar muito, e muito rapidamente, até porque a gente já tem dosimetria da LGPD, e mais contratos de prestação de serviço já vêm refletindo isso.
Riscos mais complexos, como os de instituições financeiras, empresas do ramo de saúde, manufaturas mais complexas e infraestrutura, normalmente exigem mais capacidade. Isso faz com que a gente vá a Londres, aos Estados Unidos e a mercados diversos para encontrar capacidade de resseguro.
No geral, eu diria que 60%-70% dos riscos no Brasil são facilmente atendidos pela capacidade local, e os outros 30%, a depender da demanda deles, necessitariam de suporte de resseguro.
E existe apetite para o risco cyber brasileiro no exterior?
De alguma forma, os subscritores lá fora não entendem muito como funciona o negócio no Brasil em termos de risco. O risco brasileiro é um pouco diferente.
O mercado de seguros vem muito bem nos últimos anos, então talvez não haja um esforço ou uma comunicação ativa para entender como funciona o risco aqui.
Então eu diria que, sim, existe sim apetite. Colocamos inúmeros riscos usando a capacidade de fora, mas é super desafiador. Isso traz um destaque importante para os corretores e para as seguradoras brasileiras, que têm que conversar de igual para igual com os subscritores britânicos e americanos que dominam o mercado.
Sempre que a gente tem oportunidade de colocar um risco lá fora, sim, existe a capacidade, mas ela não vem de graça. Ela exige um processo de convencimento.
O cyber alcança os mercados de capitais
Em 2023, pela primeira vez, riscos cibernéticos foram vendidos pelo mercado de seguros aos mercados de capitais.
As seguradoras Beazley e Axis abriram o que pode vir uma importante fonte de recursos para o setor através de emissões dos primeiros títulos ILS vinculados a riscos cibernéticos.
A Beazley realizou uma série de emissões privadas vendidas diretamente a investidores especializados, a primeira das quais, em janeiro de 2023, captou $ 45 milhões para uma cobertura de $ 300 milhões para o caso de um evento sistêmico.
Já a AXIS colocou em novembro o primeiro cat bond cibernético, títulos no valor de $ 75 milhões ofertado ao público especializado através do mecanismo conhecido como 144A, nos Estados Unidos.
Em dezembro, a Beazley também vendeu cyber cat bonds 144A, no valor de $ 140 milhões.
Os cat bonds e outros instrumentos ILS já são amplamente utilizados para transferir riscos como furacões e terremotos nos Estados Unidos, na Europa e no Japão.
Os ILS também são investimentos cada vez mais populares com investidores qualificados devido aos altos retornos ofertados e sua falta de correlação com os mercados de renda fixa e renda variável.
Em julho de 2023, o mercado alternativo, em que estes títulos são classificados, já representava $ 99 bilhões dos $ 705 bilhões da capacidade disponível no setor global de resseguros, segundo a Gallagher Re.
Ou seja, com o tempo, os mercados de capitais podem se tornar uma fonte importante de recursos para os seguros cibernéticos, cuja demanda só deve aumentar nos próximos anos.
Paul Schultz, o CEO da Aon Securities, que participou da emissão da Axis como agente estruturador, disse à RSB que, a princípio, os instrumentos de Cyber ILS devem levantar entre $500 milhões e $750 milhões ao ano.
Com o tempo, na medida em que os investidores se acostumem com o novo risco, o número pode ser bem maior que isso.
Vale lembrar que os veículos ILS já podem ser emitidos por cedentes brasileiros. A Susep aprovou o instrumento, denominando Investimentos Ligados aos Seguros, em 2020.
Fontes confirmaram à RSB que já há duas operações sendo analisadas no mercado brasileiro.
Em destaque
Renovações 2024
Segundo a Gallagher Re, as renovações de primeiro de janeiro seguiram as tendências de 2023 na América Latina. Resseguradores demandaram aumentos de acordo com a exposição a risco e mantiveram as restrições impostas em anos anteriores.
Os aumentos de tarifa, porém, ficaram restritos a uma margem de até 10%, algo mais suave que em renovações recentes. No mercado global, a situação está muito mais distendida que em janeiro de 2023, com menos volatilidade nas linhas de property e muita capacidade disponível para seguros specialty.
Já a Guy Carpenter estima que a capacidade global de resseguros aumentou cerca de 10% comparado com as renovações de janeiro de 2023, o que resultou em um mercado “responsivo” neste ano, ainda que as politicas de subscrição continuem rigorosas.
Uma análise detalhada do mercado de resseguros será publicada na próxima semana na RSB.
Segurança cibernética
O governo federal publicou em 26 de dezembro o Decreto 11.856, que estabelece a Política Nacional de Cibersegurança (PNCiber), iniciativa inédita no país.
Entre outras medidas, o decreto determina a criação de um Comitê Nacional de Cibersegurança, CNCiber, a ser formado por representantes do governo, do empresariado, da sociedade civil e do mundo acadêmico.
A nova política visa desenvolver métodos de regulação, fiscalização e controle para uma estratégia de cibersegurança, fomentar a cooperação entre os Três Poderes em termos de cibersegurança, além de promover a colaboração entre o setor público e o setor privado.
A nova estratégia parece que já começa com algum desentendimento interno, segundo o jornal O Estado de S.Paulo: a Polícia Federal não teria gostado de ficar de fora do CNCiber.
Regras de cibersegurança da SEC
As novas regras de compliance em cibersegurança da SEC, o regulador dos mercados de capitais do EUA, entraram em vigor em 18 de dezembro.
A medida estrela é a que obriga as empresas listadas a comunicar um ataque cibernético às autoridades em não mais de quatro dias após sua detecção.
Isso só ocorre quando o ataque possui “materialidade” significativa, uma definição vaga que está gerando dor-de-cabeça aos gerentes de risco e CISOs americanos.
Entender a nova norma é importante também para as companhias brasileiras que possuem ações ou bonds listados nos Estados Unidos.
Tratei do tema recentemente em um artigo para a revista Insurance Day. Clique aqui para acessar. O acesso é restrito a assinantes, mas é possível pedir um período de prova.
Mudanças na Argentina
Javier Milei iniciou seu mandato presidencial sacudindo todas as árvores na Argentina. O que seu governo significa para o mercado de seguros?
Escrevi uma análise detalhada das expectativas do setor, que também foi publicada pela Insurance Day. Clique aqui para saber mais. Uma pista: a visão do mercado é que não vai ficar pior do que já estava.
Risco reputacional
Artigo da agência Reuters denuncia que a montadora Tesla sabia de defeitos recorrentes em seus veículos, mas se recusou a fazer algo a respeito.
Pior que isso: a empresa teria também se recusado a cobrir os custos de conserto de problemas de fábrica, mesmo em casos em que o carro pifou um dia depois de comprado. A solução encontrada pela companhia: culpar os motoristas.
Vale a pena ler a reportagem da Reuters como um exemplo do dano reputacional que pode ser causado por estratégias comerciais excessivamente agressivas.
Top 10 seguradoras do mundo
Por volume de prêmios, em 2022, segundo a AM Best:
UnitedHealth (EUA, saúde)
Centene Corp (EUA, saúde)
Elevance Health (EUA, saúde)
Kaiser Foundation (EUA, saúde)
Ping An (China, multi-riscos)
China Life (China, multi-riscos)
AXA (França, multi-riscos)
Allianz (Alemanha, multi-riscos)
Humana (EUA, saúde)
State Farm (EUA, saúde)
Reply