Quem paga a conta? Apagão global coloca ciberseguros à prova
Incidente foi causado por uma atualização corrompida de um programa antivírus do grupo de cibersegurança americano CrowdStrike Falcon nos sistemas operacionais Windows
As empresas afetadas nesta sexta-feira por um apagão cibernético global sem precedentes, como as companhias aéreas, não necessariamente estão cobertas por seus seguros cibernéticos e podem ter que arcar com os custos diretamente de seus próprios bolsos, alertam alguns especialistas.
Como são cobertas as falhas informáticas?
O incidente, causado por uma atualização corrompida de um programa antivírus do grupo de cibersegurança americano CrowdStrike Falcon nos sistemas operacionais Windows, foi desencadeado na quinta-feira por volta das 16h de Brasília e não parece ser resultado de um ciberataque deliberadamente malicioso.
Os seguros cibernéticos, promovidos nos últimos anos pelas grandes seguradoras mundiais, "não estão destinados para serem aplicados" neste caso, segundo François-Pierre Lani, advogado do Derriennic Associés, ouvido pela AFP.
No entanto, como é comum em questões de seguro, as coberturas dependem de cada contrato e precisam ser analisadas caso a caso, apontam vários especialistas. Os seguros cibernéticos, que cobrem principalmente os riscos e custos associados a ataques, podem incluir opções nas quais falhas informáticas se enquadram como sinistros cobertos.
Essas opções "não são obrigatórias e geralmente não são contratadas pelas empresas", adverte Quentin Charluteau, advogado especialista em direito de seguros do escritório Simmons & Simmons.
O que o seguro cobre?
As indenizações para as empresas afetadas podem ser de vários tipos: custos operacionais adicionais ou compensações diretas pelos lucros cessantes. Para as companhias aéreas que precisaram cancelar voos, como a Transavia France e as americanas Delta, United e American Airlines, o primeiro nível cobre o pagamento dos custos adicionais de operação. O mesmo se aplica ao operador ferroviário britânico Govia Thameslink Railway, que relatou possíveis cancelamentos de última hora.
Nesses casos, o seguro cobre os custos de realocação e restauração para os clientes afetados pelo atraso ou cancelamento de seus trajetos, especialmente no hemisfério norte, onde muitas pessoas estão começando ou encerrando suas férias de verão.
Se o incidente, que está sendo corrigido, persistir, a empresa segurada também pode solicitar compensações por perdas operacionais. A seguradora terá que compensar a perda de receitas devido à paralisação ou redução da atividade.
Quanto vai custar?
Os seguros cibernéticos "são relativamente caros e as empresas geralmente têm que pagar uma franquia alta", explica uma fonte de uma importante corretora internacional à AFP. Como exemplo, a associação francesa de gestores de risco, Amrae, menciona o caso de uma "grande empresa" que, por um contrato de seguro com uma premiação anual de 950.000 euros (5,74 milhões) está sujeita a uma franquia de 7,5 milhões de euros (R$ 45,3 milhões).
Os contratos também estabelecem limites máximos de cobertura: acima da soma fixada no contrato, mais uma vez a empresa deve pagar do seu próprio bolso. Alguns grandes grupos contratam coberturas superiores a 100 milhões de euros (R$ 604,5 milhões), de acordo com a Amrae.
No entanto, esse valor "é facilmente ultrapassado em caso de um grande incidente", como a falha ocorrida nesta sexta-feira, afirma um corretor.
Outras possíveis soluções
Assim que a crise informática acontece, as empresas afetadas começam "a considerar suas opções contratuais" com os provedores de serviços de TI que falharam, observa a advogada Sonia Cissé, sócia do escritório internacional Linklaters. Os contratos entre as empresas afetadas e seus provedores de serviços de TI com falhas podem incluir cláusulas de responsabilidade quanto à continuidade do serviço, prevendo indenizações.
No caso da falha global desta semana, parece ser possível "exigir indenizações por meio de uma ação de responsabilidade" contra a CrowdStrike, explica Philippe Cotelle, administrador da Amrae e presidente de sua comissão cibernética, à AFP.
Todos os especialistas ouvidos pela AFP nesta sexta-feira concordam em um ponto: dada a magnitude do apagão e suas possíveis consequências financeiras, é esperada uma enxurrada de reclamações.