“Cyber seguro” cresce mais de 500%, mas não costuma cobrir casos como roubo de R$ 1 bi ligado ao Pix

A Polícia Civil de São Paulo e a Polícia Federal continuam investigando o maior ataque hacker na história do Brasil, que utilizou credenciais de acesso válidas e invadiu os sistemas da C&M — uma empresa de tecnologia que faz a intermediação no acesso de bancos e fintechs de pequeno porte aos sistemas do Banco Central (BC), incluindo o Pix — para roubar dinheiro de seis instituições financeiras clientes da empresa.

Com novos relatos de perdas financeiras, as polícias estimam que o prejuízo pode ultrapassar o valor de R$ 1 bilhão. No Brasil, é cada vez mais comum a contratação de um “cyber seguro” - o seguro cibernético - para ajudar as empresas com diversos aspectos do prejuízo no caso de um ataque hacker.

De acordo com levantamento da Confederação Nacional das Seguradoras (CNSeg) com dados do ano passado, a busca por seguro contra ataque hacker cresceu 12,7% entre janeiro e junho de 2024, com uma arrecadação de R$ 110,6 milhões pagos pelas empresas clientes às seguradoras — valor conhecido como prêmio, que é o pago pelos clientes para as empresas de seguro para ter a apólice.

Na série histórica iniciada em 2020, a alta das contratações do “cyber seguro” no Brasil chega a 512,4% — mas o mercado nacional ainda é pequeno: em 2024, fechou com aproximadamente R$ 240 milhões em prêmios nesse segmento. Nos Estados Unidos, por exemplo, os prêmios chegam a US$ 10 bilhões no mesmo período.

Em casos como o ataque à C&M, no entanto, por padrão os contratos das seguradoras não cobrem valores financeiros roubados em si nos ataques cibernéticos ou excluem o pagamento da cobertura em diversas situações, como no caso de o roubo ter sido praticado com a ajuda de alguém de dentro da própria empresa vítima (como foi o caso) ou por meio de engenharia social: é quando os hackers conseguem invadir um sistema capturando dados de acesso válidos de alguém com autorização no sistema — no caso de phishing, por exemplo, quando os golpistas capturam informações sensíveis de vítimas através de links maliciosos.

Apenas o BMP, um banco digital que é uma das seis empresas clientes da C&M afetadas, relatou à polícia paulista o roubo de R$ 541 milhões. A princípio, o dinheiro não afetou os clientes e saiu das contas de reserva das instituições financeiras no Banco Central. A Polícia Civil de São Paulo prendeu um funcionário da C&M acusado de ter fornecido login e senha de acesso ao sistema da empresa aos hackers responsáveis pelo golpe em troca de R$ 15 mil.

Até o momento, o Banco Central suspendeu seis instituições financeiras pequenas do sistema do Pix, sob suspeita de terem movimentado os recursos e participado de alguma forma do esquema de desvio bilionário. A suspensão tem duração máxima de 60 dias. Artigo 95-A da Resolução 30/2020, a "lei do Pix", estabelece que o BC pode "suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos”.

De acordo com o relatório final do Grupo de Trabalho sobre Segurança Cibernética e Novos Seguros da Economia Digital, de dezembro de 2024, da Superintendência de Seguros Privados (Susep), autarquia federal ligada ao Ministério da Fazenda, "apesar da abrangência das coberturas, é importante destacar as exclusões, que são cláusulas contratuais que limitam a responsabilidade da seguradora. As principais exclusões incluem atos intencionais, guerras, catástrofes naturais, danos físicos e morais, perdas em instrumentos financeiros e eventos anteriores”.

O documento afirma que "o oferecimento dessas coberturas no Brasil seria importante para um melhor alinhamento com as melhores práticas internacionais, uma proteção mais completa para as empresas, em particular micro, pequenas e médias, incluindo pessoas físicas, além de impulsionar o crescimento do mercado de seguros cibernéticos no Brasil, atraindo novos clientes e aumentando a competitividade entre as seguradoras.”

Na sua página na internet sobre o assunto, onde oferece soluções de segurança digital, a gigante IBM recomenda a contratação de um “seguro cyber” junto com seus produtos, mas alerta para as exclusões típicas da modalidade:

• violações de terceiros (quando o ataque que atinge o cliente é feito na verdade a partir de uma empresa terceirizada parceira, como foi o caso da C&M);
• engenharia social;
• ameaças internas (no caso de alguém da empresa participar do ataque “por dentro”, como também foi o caso na C&M);
• ataques patrocinados por um Estado Nacional ou governo;
• ataques que exploram vulnerabilidade previamente conhecida no sistema;
• falhas de rede não causadas por ataque hacker.

De acordo com Marta Schuh, diretora de Seguros Cibernéticos e Tecnológicos da Howden, existem algumas opções no mercado que seguram ao menos parte do dinheiro perdido em um ataque em si, mas devido ao histórico de fraudes no Brasil e a baixa maturidade das empresas nacionais em relação ao assunto, existe uma restrição local de oferta e os custos dos produtos mais completos são muito caros.

“Há oferta do produto, mas precisa ter uma boa maturidade e o custo para incluir o desvio monetário aumenta bastante o valor do prêmio”, afirma. Schuh explica que nesse caso, a seguradora faz uma checagem dos procedimentos de segurança da empresa cliente e auxilia na indicação de reforço do que for avaliado como necessário, caso contrário a apólice não é feita.

“Acredito que este incidente ajuda a evidenciar a urgência de nossas instituições perceberem que o mundo mudou, a maneira de fazer negócios se transformou e, com isso, surgiram novos riscos”, afirma Marta Schuh. "Muitas empresas ainda enxergam a segurança cibernética apenas como um risco relacionado à proteção de dados, mas vai muito além disso. Impacta a continuidade dos negócios, a reputação da marca, a confiança dos clientes e até a estabilidade operacional.”