Suellen Paranhos, sócia da Ramos Advogados.

Diante da escalada de ataques digitais e do rigor normativo sobre a guarda de informações, diversas organizações operam sob a percepção de proteção plena ao adquirir apólices para riscos cibernéticos. Contudo, no momento do sinistro, a constatação de exclusões específicas demonstra lacunas.

É assim que a advogada Suellen Paranhos, sócia da Ramos Advogados, define um dos principais desafios enfrentados pelas empresas na contratação da cobertura.

A especialista chama atenção a falta de entendimento sobre o que realmente está previsto no contrato. “Seguro cyber não falha por acaso. Ele falha na leitura da apólice. O que parece uma cobertura única, na prática, se divide em diferentes frentes, cada uma com limites, exclusões e condições próprias“, afirma.

Segundo a advogada, a maior parte das negativas de indenização não está relacionada à inexistência da cobertura, mas ao desalinhamento entre a apólice contratada e os riscos reais da operação.

“O problema não é ter seguro. É ter um contrato que não acompanha o risco real da empresa“, explica.

Exclusões que geram disputas

A complexidade do seguro cyber faz com que detalhes aparentemente secundários tenham impacto direto no momento do sinistro. De acordo com Suellen, algumas das exclusões comuns envolvem incidentes relacionados a falhas internas de segurança, atuação de colaboradores e situações envolvendo fornecedores terceirizados.

“As exclusões que mais aparecem em disputas envolvem funcionários internos, falhas nos controles de segurança da informação ou o uso de informações provenientes de provedores contratados pela empresa. Dependendo da situação, isso pode fazer com que a cobertura não seja aplicada“, afirma.

Uma falha recorrente no mercado não reside apenas na ausência de proteção, mas sim na falta de aderência das coberturas à realidade operacional. É fundamental compreender que as necessidades de uma operação de varejo exigem um desenho distinto daquele aplicado a um ambiente de escritório.

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), os efeitos de um incidente cibernético passaram a ir muito além da interrupção operacional ou da perda de informações. Hoje, empresas enfrentam custos relacionados à investigação forense, comunicação de incidentes, ações judiciais, indenizações a clientes, além de eventuais sanções regulatórias.

Nesse contexto, Suellen defende que a contratação do seguro cyber deve estar integrada à estratégia de compliance e proteção de dados da organização. Para ela, a cobertura não deve ser encarada como um produto de prateleira, mas como parte de uma política mais ampla de gestão de riscos digitais.

Parâmetros de Verificação

Diante da crescente sofisticação dos ataques e das exigências regulatórias, a advogada recomenda que as empresas façam uma análise detalhada antes de fechar uma apólice.

O primeiro passo é mapear os riscos reais da operação.

“É importante entender quais dados a empresa armazena e qual seria o impacto financeiro de uma paralisação, mesmo que por apenas um dia.”

A segunda recomendação é analisar cuidadosamente as exclusões previstas no contrato.

“Phishing, erro humano, falhas de terceiros e outras situações específicas podem ou não estar cobertas. Isso precisa estar muito claro.“

Também é fundamental verificar se os limites contratados são compatíveis com os potenciais prejuízos.

“A empresa precisa entender se a cobertura contempla despesas com perícia forense, notificação aos clientes, resposta ao incidente e eventuais obrigações relacionadas à LGPD.“

Atenção aos primeiros momentos após o incidente

Além da contratação adequada, a especialista alerta para os procedimentos que devem ser adotados quando ocorre um ataque. Os prazos para comunicação do sinistro costumam variar entre 24 e 72 horas, dependendo das condições da apólice.

“Antes de acionar o seguro, é muito importante prestar atenção aos prazos de comunicação. Também é fundamental não alterar evidências, porque isso pode comprometer a análise do incidente e gerar prejuízos durante a regulação.“

Segundo Suellen, o seguro voltado a riscos cibernéticos figura como uma das proteções mais sofisticadas do setor. Isso ocorre devido à necessidade de um domínio técnico aprofundado, da interpretação precisa das ameaças e de uma sintonia rigorosa entre as garantias contratadas e a realidade operacional da empresa.

Em um ambiente de ameaças digitais, a principal lição, segundo a especialista, é que a proteção não começa na indenização. Ela começa na análise cuidadosa da apólice e na compreensão dos riscos que podem comprometer o negócio.