Ciberataques sistêmicos elevam pressão e risco de efeito cascata no resseguro cibernético
O mercado de resseguros, no Brasil e no exterior, passa por uma revisão profunda de seus modelos de precificação, de alocação de capital e de avaliação de cenários catastróficos digitais. A escalada na complexidade dos ataques e, sobretudo, a crescente interdependência entre plataformas, provedores de serviços e infraestruturas compartilhadas transformou o risco cibernético em um problema estrutural, com potencial de gerar perdas em massa, e não mais em eventos pontuais de TI.
Cada vez mais, especialistas tratam ataques cibernéticos como riscos sistêmicos, capazes de paralisar cadeias inteiras de suprimentos, comprometer a infraestrutura financeira nacional e provocar ondas sucessivas de prejuízos. Em vez de um único sinistro isolado, um incidente em um provedor crítico pode afetar, simultaneamente, dezenas ou centenas de empresas, governos e instituições financeiras que dependem daquela mesma engrenagem tecnológica.
Caso C&M Software e o alerta ao sistema financeiro
O debate ganhou urgência no Brasil após o ataque contra a C&M Software, empresa que atua como peça-chave na liquidação e conectividade do Pix. O incidente, considerado por analistas como um dos maiores já direcionados ao ecossistema financeiro brasileiro, expôs de forma contundente a fragilidade de estruturas essenciais.
O ataque resultou no vazamento de cerca de 392 gigabytes de dados confidenciais e em um prejuízo estimado em mais de R$ 1 bilhão. Mais do que o valor financeiro, o episódio revelou o caráter sistêmico desse tipo de risco: ao mirar um fornecedor central, os atacantes ganham acesso a um ponto de concentração de informações e conexões, com capacidade de contágio para múltiplas instituições ao mesmo tempo.
Esse cenário ilustra o chamado risco de cadeia de suprimentos. A falha de segurança em um único elo compartilhado – seja ele um intermediário de pagamentos, um grande provedor de nuvem, uma empresa de software ou uma plataforma de conectividade – passa a ser um vetor de propagação de impactos. Para o mercado de seguros e resseguros, isso significa lidar com a possibilidade concreta de sinistros correlacionados e simultâneos, em larga escala.
Infraestrutura crítica sob tensão
Além da esfera financeira, outros episódios recentes reforçaram a preocupação com sistemas considerados essenciais para a sociedade. Ocorrências envolvendo o envio indevido de alertas extremos da Defesa Civil para celulares, por exemplo, acenderam um sinal de alerta sobre a integridade e a confiabilidade de plataformas públicas críticas.
Se um sistema desse tipo é comprometido, as consequências vão muito além de transtornos pontuais: há riscos de falhas na coordenação de respostas emergenciais, impactos econômicos relevantes e até ameaças diretas à segurança da população. O conceito de “catástrofe cibernética” passa, então, a abranger não só perdas financeiras, mas também danos reputacionais, sociais e, em casos extremos, humanitários.
Do ponto de vista do resseguro, isso amplia o escopo do problema. Não se trata apenas de indenizar uma empresa vítima de vazamento de dados, mas de garantir lastro financeiro suficiente para suportar um evento em que diferentes setores – bancos, telecomunicações, energia, logística, saúde, governo – sejam atingidos em um curto espaço de tempo.
Paradoxo de mercado: risco em alta, prêmios em queda
Ao mesmo tempo em que o nível de ameaça cresce, com o ransomware se sofisticando e se espalhando, o mercado de seguros e resseguros cibernéticos vive um ciclo de forte competição tarifária. Informações setoriais apontam aumento anual em torno de 24% nos incidentes de ransomware reportados por empresas, enquanto as taxas e prêmios vêm recuando, em média, até 7% em ciclos recentes – acumulando dez trimestres consecutivos de queda nos preços das apólices.
Essa combinação – risco em curva ascendente e redução sistemática nos prêmios – preocupa subscritores e gestores de risco. A percepção é de que o segmento corre o risco de entrar em uma dinâmica de subprecificação estrutural, em que o valor cobrado não espelha o risco real de agregação.
Na prática, isso significa que uma única vulnerabilidade em um software amplamente utilizado ou em um grande provedor em nuvem pode desencadear milhares de sinistros ao mesmo tempo, corroendo rapidamente o capital das seguradoras e resseguradoras. Se os prêmios não forem ajustados para refletir essa possibilidade de perda acumulada, o sistema pode não ter fôlego para absorver uma grande catástrofe cibernética.
Capacidade de perdas em massa e erosão de capital
Rafaela Barreda, presidente da Federação Nacional das Empresas de Resseguros (Fenaber), enfatiza que o risco cibernético atual tem uma capacidade inédita de gerar perdas em massa, em um intervalo de tempo muito curto. Ao contrário de outras linhas de negócio, em que eventos catastróficos costumam estar ligados a geografias específicas (como enchentes ou terremotos), um ataque digital bem-sucedido pode afetar, simultaneamente, organizações espalhadas por diferentes regiões e países.
Essa característica aumenta o potencial de erosão rápida do capital disponível no mercado de resseguros. Um evento que afete um grande provedor de infraestrutura cloud, por exemplo, pode gerar indenizações para um volume enorme de segurados, sem que exista, necessariamente, uma correlação geográfica ou física entre eles. É um risco de concentração de natureza essencialmente tecnológica.
Segundo Barreda, o setor precisa reagir com rigor técnico, evitando que o apetite comercial e a disputa por clientes distorçam a avaliação de risco. Em outras palavras, não basta reduzir preço para ganhar mercado se a base de modelagem não estiver preparada para mensurar cenários extremos de agregação.
Modelagem avançada e disciplina de subscrição
A orientação institucional para seguros e resseguros é clara: é indispensável investir em modelos matemáticos e preditivos capazes de simular catástrofes digitais de grande escala. Isso envolve, entre outros pontos:
– entender como um único incidente pode se propagar por toda a cadeia de fornecedores;
– mapear dependências críticas de softwares, plataformas e provedores comuns;
– simular cenários de indisponibilidade prolongada de sistemas essenciais;
– mensurar o impacto conjunto de incidentes múltiplos em curto intervalo de tempo.
Para assegurar a sustentabilidade dos fundos de cobertura – especialmente em eventos de baixa frequência e severidade elevada – as resseguradoras estão elevando o nível de exigência quanto aos controles mínimos de segurança dos segurados. Entre os requisitos mais citados estão:
– autenticação multifator (MFA) obrigatória em acessos sensíveis;
– gestão rigorosa de identidades e privilégios;
– auditorias de vulnerabilidades recorrentes, inclusive na cadeia de fornecedores;
– planos de resposta a incidentes e de continuidade de negócios, testados e documentados;
– segmentação de redes e proteção adicional para sistemas críticos.
Planos de contingência, com exercícios de mesa, simulações de crise e testes de recuperação de desastres, tendem a se tornar condição para obtenção ou renovação de coberturas relevantes. A lógica é simples: quanto maior a maturidade cibernética demonstrada, mais previsível se torna o risco para o mercado segurador.
A “pandemia” da fraude digital e o efeito na percepção de risco
O ambiente de fraude digital, muitas vezes descrito como uma “pandemia silenciosa”, intensifica ainda mais o desafio. Golpes de engenharia social, sequestro de contas, roubo de credenciais, clonagem de aplicativos e fraudes em pagamentos instantâneos alimentam um cenário de perda de confiança nos canais digitais.
Para resseguradores, essa proliferação de fraudes não é apenas uma questão operacional dos bancos ou fintechs: ela afeta diretamente o perfil de risco, eleva o volume de sinistros potenciais e pressiona a rentabilidade das carteiras. Em paralelo, usuários finais passam a demandar mais proteção, o que incentiva empresas a buscarem apólices, alimentando o crescimento do mercado – exatamente no momento em que ele se vê pressionado por riscos sistêmicos mais agressivos.
Segurança, certificações e governança como diferencial
Nesse contexto, empresas que demonstram maturidade em segurança da informação e governança digital tendem a ser melhor avaliadas por seguradoras e resseguradoras. A conquista de certificações robustas em segurança, como as normas internacionais de gestão de segurança da informação para centros de operações de segurança (SOC), funciona como um indicador concreto de que a organização adota processos estruturados de proteção, monitoramento e resposta.
Para o mercado de resseguros, essa sinalização é valiosa: companhias com estruturas dedicadas, controles testados e governança clara tendem a apresentar menor frequência e severidade de incidentes, o que impacta diretamente a modelagem de risco e as condições de contratação.
Inteligência artificial: ameaça e aliada
A inteligência artificial (IA) adiciona uma camada extra de complexidade a essa equação. De um lado, criminosos utilizam modelos avançados para automatizar ataques, criar campanhas de phishing hiperpersonalizadas, desenvolver malware mais evasivo e explorar falhas em escala industrial. De outro, as mesmas tecnologias são utilizadas por equipes de defesa para identificar anomalias, correlacionar eventos, priorizar alertas e responder mais rápido a incidentes.
Para o mercado de resseguros, a IA se torna, ao mesmo tempo, um vetor de incerteza (pela velocidade de evolução das ameaças) e um instrumento de mitigação (pela capacidade de detecção antecipada e resposta). Subscritores passam a considerar:
– o grau de automação das defesas da empresa;
– o uso de ferramentas de detecção e resposta apoiadas em IA;
– a existência de monitoramento contínuo de ameaças;
– a capacidade de aprender com incidentes anteriores e ajustar controles.
Organizações que demonstram uso inteligente e responsável de IA em suas estratégias de segurança podem, em médio prazo, acessar coberturas mais abrangentes e condições mais equilibradas, por apresentarem menor risco residual.
Tendências de governança e regulação
A pressão regulatória tende a crescer na mesma proporção dos riscos. Bancos, meios de pagamento, telecomunicações, saúde e outros setores críticos já convivem com normas específicas que tratam de continuidade de negócios, gestão de riscos cibernéticos e proteção de dados. A expectativa é de que reguladores passem a exigir, de forma mais clara, o reporte de incidentes, a transparência sobre dependências de terceiros e a comprovação de testes de resiliência.
Resseguradoras monitoram de perto esse movimento, pois regulações mais rígidas geralmente levam as empresas a investir em segurança e governança, reduzindo a assimetria de informação sobre o risco. Ao mesmo tempo, novas exigências – como tempos máximos de indisponibilidade ou multas elevadas por vazamento de dados – podem aumentar o valor dos sinistros cobertos, obrigando o mercado a recalibrar limites, franquias e exclusões.
Ajustes esperados no mercado de resseguros cibernéticos
Diante desse quadro, algumas tendências se desenham para o mercado de resseguros cibernéticos nos próximos anos:
1. Reajuste gradual de preços: a continuidade de grandes incidentes e a percepção de agregação devem levar a uma correção das taxas, após o ciclo prolongado de queda de prêmios.
2. Revisão de limites e sub-limites: cresce a tendência de estabelecer tetos específicos para eventos sistêmicos, interrupção de negócios e dependência de provedores críticos.
3. Cláusulas mais detalhadas de exclusão e cobertura: contratos devem ficar mais precisos sobre o que constitui evento catastrófico, atos de guerra cibernética, falhas em infraestrutura crítica e ataques patrocinados por Estados.
4. Maior segmentação de riscos: empresas com alta maturidade cibernética e forte governança tendem a ser premiadas com melhores condições; já organizações com históricos de falhas recorrentes enfrentarão apetite menor e precificação mais dura.
5. Integração com serviços de prevenção: oferecer apoio em gestão de crise, resposta a incidentes e melhoria contínua de segurança passa a ser um diferencial competitivo para seguradoras e resseguradoras.
Papel das empresas na redução do risco sistêmico
Por fim, a pressão não recai apenas sobre o mercado de resseguros. Empresas de todos os portes precisam reconhecer que fazem parte de um ecossistema interdependente. Investir em segurança digital não é apenas proteger o próprio negócio, mas também reduzir o risco sistêmico ao qual parceiros, clientes e fornecedores estão expostos.
Isso inclui:
– mapear criticamente fornecedores estratégicos e dependências tecnológicas;
– exigir padrões mínimos de segurança e conformidade de terceiros;
– adotar práticas de “zero trust” e segmentação de redes;
– treinar continuamente equipes contra engenharia social e fraudes;
– estabelecer, testar e revisar planos de resposta a incidentes e continuidade.
Quanto mais maduras forem as organizações individuais, menor tende a ser o potencial de um ataque isolado se converter em catástrofe sistêmica. Para o mercado de resseguros, essa é a chave para manter a sustentabilidade de longo prazo: alinhar incentivos para que segurança, governança e disciplina técnica deixem de ser custo e passem a ser componentes centrais da estratégia corporativa e da proteção do próprio sistema financeiro e econômico.