A Existência de Contrato de Seguro em Incidentes Cibernéticos

O contrato de seguro, é sabido, visa transferir para uma empresa comercializadora de produtos de seguros os efeitos negativos decorrentes de um evento aleatório e imprevisível, vulgarmente designado de sinistro, para, dessa forma, mitigar e/ou transferir os prejuízos sofridos.

O mercado de transações de bens e serviços nesta era da Internet, é realizado em grande medida, com tendência crescente, numa dimensão digital. As relações comerciais, mesmos as presenciais, encerram transmissão de dados pelas vias de comunicação digital. As operações empresariais de produção, de conceção ou de prestação de serviços assumem relevância significativa na dimensão digital.

Podemos conceber que não existe relação comercial ou procedimento de produção que não tenha contributo da digitalização de processos e procedimentos.

Tudo o que hoje rodeia a vida empresarial está na Nuvem.

A realidade digital comporta riscos de variada natureza. As relações digitais podem potenciar incidentes que comportam para as empresas prejuízos elevados e, muitas vezes, de difícil reparação.

A crescente atividade digital das empresas deve ser acompanhada de efetivo investimento na proteção dos dados transmitidos nas operações, nomeadamente em termos de infraestruturas e sistemas de proteção direta da dimensão digital da operação da empresa e, também, na mitigação e/ou transferência dos riscos de danos decorrentes de incidentes na dimensão digital – os chamados riscos cibernéticos.

A presente exposição visa consciencializar os administradores de qualquer organização, empresarial ou não empresarial, para os riscos cibernéticos, para as suas consequências e vantagens em ter um contrato de seguro especificamente contratado para a cobertura dos referidos riscos.

O que é um ataque cibernético?

Alguns produtos de seguro definem um ciberataque nos seguintes termos:

Um ato ou série de atos, que consiste na utilização ou operação de um Sistema Informático por qualquer pessoa ou grupo de pessoas, atuando a título individual ou em ligação com qualquer organização, que dê origem a uma Falha de Segurança ou que, comprovadamente, visava originar uma Perturbação do Sistema Informático.

O exemplo mais paradigmático de um ciberataque é o caso de que foi alvo a Vodafone Portugal e que criou dificuldades sérias na operação da empresa.

Que consequências podem suceder a um ciberataque?

  • Intrusão de terceiros nos sistemas informáticos;
  • Sequestro informático;
  • Incumprimento do dever de custódia de dados de caráter pessoal;
  • Violação do Direito à Honra e Intimidade Pessoal de Terceiro;
  • Perda ou dano de ativos digitais;
  • Interrupção do negócio em função de inatividade da rede ou sistema;
  • Resgate por extorsão praticada pelos hackers;
  • Litígios com terceiros lesados, entre outros.

Os contratos de seguro disponíveis no mercado variam entre as seguradoras que os comercializam e devem ser contratualizados por negociação individualizada de forma que as coberturas contratadas se enquadrem e configurem proteção efetiva ao segurado.

Os contratos de seguro relativos à cyber segurança não têm o seu conteúdo definido na lei, estando este totalmente dependente da proposta comercial da seguradora convergente com a vontade manifestada pelo proponente segurado.

Posto isto, vamos agora descrever exemplificativamente os tipos de cobertura que podem ser contratados num contrato de seguro de riscos cibernéticos.

Tipos de coberturas existentes no mercado segurador:

  1. Danos causados a terceiros e os danos sofridos diretamente pelo Segurado, em consequência de intrusão de terceiros nos sistemas informáticos do Segurado, quando tais danos derivem diretamente de vírus, trojan horses, malware, botnets, phishing, ataques de negação de serviço (denial of service attacks/DDOS), sequestro informático e malware em geral;
  2. A recuperação de dados por sequestro informático (ransomware);
  3. Assistência técnica por meios telemáticos para identificar a incidência e os registos afetados;
  4. Despesas de investigação e peritagem para esclarecimento do sinistro;
  5. Despesas de reparação e recuperação por malware, nomeadamente limpeza de vírus, botnets e todo o tipo de malware em geral;
  6. Despesas de recuperação dos dados eliminados ou danificados dos suportes eletrónicos do Segurado (discos rígidos, dispositivos móveis e servidores do Segurado);
  7. Serviços de recuperação do Sistema no caso de ataques de negação de serviço (denial of service attacks);
  8. Reembolso ao Segurado dos valores por este pagos para mitigar os danos de uma extorsão cibernética (Ransomware);
  9. Pagamento de indemnizações que sejam legalmente exigíveis ao Segurado por danos patrimoniais e não patrimoniais causados a terceiros em consequência de exposição a outros terceiros de informação protegida, através da perda ou roubo de dispositivos, perda de dados em papel, acesso não autorizado aos dispositivos do Segurado, erros e atos de infidelidade cometidos por funcionários do Segurado na custódia dos dados;
  10. Despesas de investigação, peritagem e gestão de crise;
  11. Despesas de notificação aos proprietários dos dados de caráter pessoal;
  12. Despesas de defesa do Segurado perante reclamações de terceiros por danos produzidos pela exposição não autorizada dos dados destes;
  13. Gestão da notificação da incidência à CNPD (Comissão Nacional de Proteção de Dados) , quando a legislação aplicável o exija;
  14. Despesas de defesa do Segurado e gestão da possível investigação e processo sancionatório da CNPD;
  15. Despesas de defesa do Segurado perante um possível procedimento ou denúncia de um terceiro perante a CNPD por incumprimento do dever de custódia;
  16. Custos de recuperação da reputação online do Segurado;
  17. Indemnizações que sejam legalmente exigíveis ao Segurado por danos patrimoniais e/ou não patrimoniais causados a terceiros, em consequência da divulgação, nos seus meios corporativos, de dados que afetem os direitos à honra, intimidade da vida privada ou imagem de um terceiro;
  18. Pagamento dos custos de defesa necessários e razoáveis contraídos por ou em nome do Segurado para assegurar a sua defesa relativamente à investigação, defesa judicial e/ou liquidação de qualquer sinistro.

Descrevemos algumas das coberturas disponíveis no mercado segurador e que protegem os segurados de prejuízos advindos de um ataque cibernético.

Já ficou dito que o conteúdo do contrato de seguro para cobertura de riscos cibernéticos não tem consagração legal, pelo que está totalmente dependente da oferta da seguradora com aspetos decorrentes da negociação com o proponente segurado.

Pelo que assume especial relevância a negociação esclarecida de todas as cláusulas do contrato, especialmente as coberturas a contratar, os procedimentos condicionantes da validade das coberturas e as cláusulas de exclusão.

Chamamos igualmente a atenção à importância da declaração inicial de risco, a qual deve ser elaborada com a colaboração de especialista em cyber segurança por forma a identificar corretamente os riscos e, assim, informar a seguradora corretamente sobre os riscos cuja proteção se pretende contratar.

A realidade digital há muito que é dominante na dinâmica das relações empresariais e sociais.

Cada vez mais, irá ser sede de risco e, consequentemente, fenómeno potencial de prejuízos para as organizações.

A estabilidade económica e financeira das organizações que se movam no mundo digital dependerá das politicas de proteção ao risco e da celebração de contratos de seguro por forma a mitigar e transferir todos os potenciais prejuízos decorrentes de ataques cibernéticos.

A eficácia dos contratos depende de assertividade técnica na descrição dos riscos e na negociação das coberturas adequadas.

A CCM Advogados está vocacionada à negociação em representação dos segurados de contratos de seguros para os riscos cibernéticos e na auditoria aos contratos celebrados.

Artigos relacionados

A Tecnologia e o Direito

Carta Portuguesa dos Direitos Humanos na Era Digital

A Defesa da Propriedade: Via Judicial e Extrajudicial