Seguro e indenização: o que os segurados precisam saber sobre perdas cibernéticas

6 de dezembro de 2023

Compartilhar no LinkedIn Compartilhar no Facebook Compartilhar no X

No setor de seguros, o conceito de período de indenização especifica o período de tempo durante o qual o segurado pode solicitar compensação por perdas financeiras resultantes de um evento segurado. Ele serve como um limite para a cobertura fornecida pelo seguro, limitando-a para perdas por interrupção de negócios (BI) ao menor valor entre o momento em que o impacto sobre os negócios cessa ou o período de tempo máximo estipulado pela apólice.

No entanto, surpreendentemente, esse aspecto importante de uma apólice é frequentemente ignorado quando se trata do momento da renovação. Vamos explorar o motivo disso e o que os segurados podem fazer para se antecipar. 

Como é definido um período de indenização?

Em primeiro lugar, vamos considerar como os períodos de indenização são definidos em um programa padrão de Riscos Especiais Industriais (ISR). Por se tratar de uma apólice de propriedade, a reintegração física geralmente está em primeiro plano quando se consideram os termos da apólice e como um sinistro pode funcionar na prática. Às vezes, isso pode ser contraintuitivo, pois o período de indenização deve ser definido para garantir que a maioria dos impactos financeiros concebíveis para a empresa causados por danos segurados ocorra dentro do período máximo de indenização (MIP) estabelecido na apólice.

Uma ISR típica estabeleceria um período máximo de indenização de pelo menos 12 meses. Esse período geralmente é definido com base no tempo necessário para restabelecer uma perda total hipotética, considerando o provável período de reparo da propriedade segurada. No entanto, muitas vezes não se leva em conta que os sinistros de interrupção de negócios não cessam necessariamente após a restauração do dano. 

Há vários motivos pelos quais um sinistro de interrupção de negócios pode se estender além da data em que o dano segurado foi corrigido. Perda de participação no mercado, problemas de cronograma relacionados ao reconhecimento da receita e ao uso de estoques existentes e aumento prolongado do retorno aos níveis operacionais normais, para citar alguns. Em caso de perda total, na maioria dos casos, o período máximo de indenização deve ser suficiente para cobrir perdas que se estendam além da conclusão dos reparos físicos. No entanto, para reparos mais longos e complexos, as perdas além do final do período de indenização podem se tornar um problema em um sinistro. 

Política cibernética e como ela difere de uma ISR

O quadro se torna mais complexo, e o período de indenização exponencialmente mais importante, se aplicarmos os conceitos acima a uma apólice cibernética. O impacto da interrupção dos negócios de uma violação cibernética pode ser muito mais difícil de prever antes que ela ocorra. Não há cronogramas de reintegração física para edifícios ou outras propriedades para usar como base para definir um período de indenização. Os danos que uma violação pode causar também podem ser de longo alcance e difíceis de prever em um ambiente de pré-perda, dada a gama e o escopo potenciais de impactos para a empresa, especialmente devido ao histórico mais limitado de violações cibernéticas em comparação com os danos e reparos tradicionais de propriedades. Além disso, considere que uma violação cibernética típica é curta, incisiva e geralmente termina em questão de dias ou semanas. Os efeitos da violação, no entanto, podem durar muito mais tempo. 

Se transplantarmos a escola de pensamento acima para a definição de políticas de ISR, é razoável supor que o período de indenização de uma política cibernética geralmente será definido com base na violação cibernética em si, e não no impacto contínuo sobre a empresa. Um site ou servidor que sofra um grande impacto geralmente pode voltar a ficar on-line por meio de backups ou recriação em questão de horas, dias ou, no máximo, semanas. Um período de indenização em uma apólice cibernética geralmente reflete isso e, normalmente, é definido em cerca de 90 dias. Considerando as complexidades que podem surgir em um sinistro de interrupção de negócios, isso é suficiente para capturar adequadamente a exposição tanto para o segurado quanto para as seguradoras?

Impacto em uma reivindicação

Vamos considerar agora um cenário em que uma empresa sofre uma violação cibernética que leva a uma interrupção significativa de suas operações.

Se a empresa se recuperar com sucesso e retomar as operações normais dentro do período de indenização, quaisquer perdas indenizadas incorridas durante esse período (seja perda de lucro ou custos adicionais incorridos) são normalmente cobertas pela apólice.

No entanto, se o processo de recuperação levar mais tempo do que o previsto ou, mais comumente, se o impacto financeiro real para a empresa não se cristalizar até depois que o período de indenização expirar, a cobertura fornecida pela apólice de seguro não será mais aplicável. Há várias maneiras de isso se materializar em um sinistro. Por exemplo, um segurado pode perder contratos de longo prazo por não poder realizar seus negócios normais, ou pode faturar trimestralmente/na conclusão do projeto e, embora o trabalho seja perdido, não há impacto financeiro para a empresa dentro do período de indenização. As perdas cibernéticas também são muito divulgadas e a oportunidade de danos contínuos à reputação é uma preocupação significativa.

Limitações à cobertura

Quando um período de indenização termina, a apólice de seguro geralmente não cobre quaisquer perdas adicionais incorridas após esse período. Isso significa que quaisquer perdas sofridas após o término do período de indenização não seriam compensadas pela seguradora, mesmo que resultassem diretamente do evento original.

O importante, e o que às vezes é menos considerado, é que o inverso também é verdadeiro, e isso deixa as seguradoras expostas. Se um segurado sofre uma perda durante o período de indenização, mas recupera totalmente essa perda após o final do período de indenização, as seguradoras são obrigadas a reembolsar o segurado pelas perdas sofridas, mesmo que uma recuperação parcial ou total que normalmente compensaria as perdas reivindicadas possa ter sido feita.

Isso é especialmente pertinente quando se trata de perdas cibernéticas por dois motivos principais. Em primeiro lugar, conforme discutido anteriormente, as apólices cibernéticas normalmente listam períodos de indenização mais curtos. Em segundo lugar, às vezes pode ser difícil entender o impacto total de uma violação até bem depois da recuperação. Portanto, embora a infraestrutura de rede do segurado possa estar totalmente recuperada, os impactos operacionais podem ainda não ser aparentes.

Resumo

Em resumo, se o período de indenização for muito curto e o impacto do segurado se estender além desse período, a empresa poderá enfrentar perdas financeiras não indenizadas durante o período após o término da cobertura. Por outro lado, as seguradoras precisam estar cientes de que, embora um período de indenização curto possa parecer benéfico para fins de indenização de uma perda, ele pode funcionar a favor do segurado se alguma recuperação for feita após o término do período de indenização.

A definição correta de um período de indenização no início ou na renovação da apólice pode fazer uma diferença significativa na implicação prática de um sinistro. É importante que especialistas familiarizados com perdas por interrupção de negócios específicas da apólice em questão sejam consultados para garantir que as considerações apropriadas sejam feitas. Espera-se que isso resulte em uma experiência de sinistros tranquila e adequada para todas as partes.

Saiba mais > Entre em contato com [email protected].