Seguros e indemnizações: o que os tomadores de seguros devem saber sobre as perdas cibernéticas

6 de dezembro de 2023

Partilhar no LinkedIn Partilhar no Facebook Partilhar no X

No domínio dos seguros, o conceito de período de indemnização especifica o período de tempo durante o qual o tomador do seguro (segurado) pode reclamar uma indemnização por perdas financeiras resultantes de um evento segurado. Funciona como um limite para a cobertura fornecida pelo seguro, limitando-a, no caso de perdas por interrupção de atividade (BI), ao menor dos dois períodos de tempo: quando cessa o impacto na atividade ou o período máximo estipulado na apólice.

No entanto, surpreendentemente, este aspeto importante de uma apólice é frequentemente ignorado quando chega a altura da renovação. Vamos explorar a razão para isso e o que os segurados podem fazer para se anteciparem. 

Como é fixado um período de indemnização?

Em primeiro lugar, vamos considerar a forma como os períodos de indemnização são definidos num programa normal de Riscos Especiais Industriais (ISR). Sendo uma apólice de bens, a reintegração física é muitas vezes a primeira prioridade quando se consideram os termos da apólice e a forma como um sinistro pode funcionar na prática. Isto pode, por vezes, ser contra-intuitivo, uma vez que o período de indemnização deve ser definido de forma a garantir que a maioria dos impactos financeiros concebíveis para a empresa, causados pelos danos segurados, ocorram dentro do período máximo de indemnização (MIP) previsto na apólice.

Uma ISR típica estabelece um período máximo de indemnização de, pelo menos, 12 meses. Este período é normalmente fixado com base no tempo necessário para repor uma perda total hipotética, tendo em conta o período de reparação provável do bem segurado. No entanto, é frequentemente ignorado que os pedidos de indemnização por interrupção da atividade não cessam necessariamente após a reposição dos danos. 

Existem várias razões pelas quais um pedido de indemnização por interrupção da atividade pode prolongar-se para além da data em que os danos segurados foram reparados. A perda de quota de mercado, questões de calendário relacionadas com o reconhecimento de receitas e a utilização de existências, e o prolongamento do regresso a níveis operacionais normais, são apenas algumas delas. No caso de uma perda total, na maioria dos casos, o período máximo de indemnização deve ser suficiente para cobrir as perdas que se estendem para além da conclusão das reparações físicas. No entanto, no caso de reparações mais longas e mais complexas, as perdas para além do fim do período de indemnização podem tornar-se um problema num sinistro. 

A política cibernética e as suas diferenças em relação a uma ISR

O quadro torna-se mais complexo, e o período de indemnização exponencialmente mais importante, se aplicarmos os conceitos acima referidos a uma apólice cibernética. O impacto da interrupção da atividade de uma violação cibernética pode ser muito mais difícil de prever antes da sua ocorrência. Não existem prazos de restabelecimento físico para edifícios ou outros bens que possam ser utilizados como base para fixar um período de indemnização. Os danos que uma violação pode causar também podem ser de grande alcance e difíceis de prever num ambiente de pré-perda, dada a gama e o âmbito potenciais dos impactos para a empresa, especialmente tendo em conta o historial mais limitado de violações cibernéticas em comparação com os danos e reparações tradicionais de bens. Além disso, uma infração cibernética típica é curta, incisiva e, normalmente, termina numa questão de dias ou semanas. No entanto, os efeitos da violação podem muitas vezes durar muito mais tempo. 

Se transpusermos a escola de pensamento acima referida para a definição das apólices ISR, é razoável assumir que o período de indemnização de uma apólice cibernética será normalmente definido com base na própria violação cibernética, em vez do impacto contínuo na empresa. Um sítio Web ou um servidor que sofra um grande impacto pode frequentemente voltar a estar online através de cópias de segurança ou de recriação numa questão de horas, dias ou, no máximo, semanas. Um período de indemnização numa apólice cibernética reflectirá frequentemente este facto e é normalmente fixado em cerca de 90 dias. Dadas as complexidades que podem surgir num sinistro de interrupção de atividade, será este período suficiente para captar adequadamente a exposição tanto do segurado como das seguradoras?

Impacto sobre um pedido de indemnização

Consideremos agora um cenário em que uma empresa sofre uma violação cibernética que conduz a uma perturbação significativa das suas operações.

Se a empresa recuperar com êxito e retomar as operações normais dentro do período de indemnização, quaisquer perdas indemnizadas incorridas durante esse período (quer se trate de lucros cessantes ou de custos adicionais incorridos) são normalmente cobertas pela apólice.

No entanto, se o processo de recuperação demorar mais tempo do que o previsto ou, mais frequentemente, se o impacto financeiro real para a empresa só se cristalizar após o termo do período de indemnização, a cobertura fornecida pela apólice de seguro deixa de se aplicar. Há várias formas de esta situação se materializar num sinistro. Por exemplo, um segurado pode perder contratos de longo prazo por não poder exercer a sua atividade normal, ou pode faturar trimestralmente/na conclusão do projeto e, embora o trabalho se perca, não há impacto financeiro para a empresa dentro do período de indemnização. As perdas cibernéticas são também muito publicitadas e a oportunidade de danos contínuos à reputação é uma preocupação significativa.

Limitações à cobertura

Uma vez terminado o período de indemnização, a apólice de seguro geralmente não cobre quaisquer perdas adicionais incorridas para além desse período. Isto significa que quaisquer perdas sofridas após o termo do período de indemnização não serão compensadas pela seguradora, mesmo que resultem diretamente do evento original.

Um aspeto importante, e que por vezes é menos considerado, é que o inverso também é verdadeiro e deixa as seguradoras expostas. Se um segurado sofre um prejuízo durante o período de indemnização, mas recupera totalmente esse prejuízo após o final do período de indemnização, as seguradoras são obrigadas a reembolsar o segurado pelos prejuízos sofridos, mesmo que tenha havido uma recuperação parcial ou total que normalmente compensaria os prejuízos reclamados.

Isto é especialmente pertinente quando se trata de perdas cibernéticas por duas razões principais. Em primeiro lugar, tal como já foi referido, as apólices cibernéticas incluem normalmente períodos de indemnização mais curtos. Em segundo lugar, por vezes pode ser difícil compreender o impacto total de uma violação até muito depois da recuperação. Por conseguinte, embora a infraestrutura de rede do segurado possa estar totalmente recuperada, os impactos operacionais podem ainda não ser visíveis.

Resumo

Em suma, se o período de indemnização for demasiado curto e o impacto do segurado se prolongar para além desse período, a empresa pode enfrentar perdas financeiras não indemnizadas durante o período após o fim da cobertura. Por outro lado, as seguradoras devem estar cientes de que, embora um período de indemnização curto possa parecer benéfico para efeitos de indemnização de um sinistro, pode funcionar a favor do segurado se for efectuada qualquer recuperação após o termo do período de indemnização.

A definição correcta de um período de indemnização no início ou na renovação da apólice pode fazer uma diferença significativa nas implicações práticas de um sinistro. É importante que sejam consultados peritos familiarizados com as perdas por interrupção de atividade específicas da apólice em questão, a fim de garantir que são feitas as considerações adequadas. Espera-se que isto resulte numa experiência de sinistros tranquila e adequada para todas as partes.

Saber mais > Contactar [email protected].