Obrigatoriedade de Seguro no Mercado de Cibersegurança

Na esteira de um de meus últimos ensaios sobre segurança digital e modernidade em riscos tecnológicos, deparei-me com mais uma reportagem de que em razão de recentes ataques cibernéticos às cadeias de fornecedores no Brasil, o Banco Central publicou, em 5 de setembro deste ano, a Resolução BCB nº 498, que instituiu a obrigatoriedade da contratação de seguro cibernético para provedores de serviços tecnológicos que atuam no sistema financeiro nacional, além de impor rigorosas exigências em segurança da informação, gestão de riscos e compliance.

Segundo noticiou uma corretora global especializada em seguros de alta complexidade, a norma representa um divisor de águas, exigindo uma maior governança nas cadeias de fornecimento das respectivas empresas contratantes.

“Grandes empresas investem fortemente em cibersegurança, mas são impactadas por brechas em parceiros menores, que muitas vezes não seguem os mesmos padrões de governança. A Resolução veio para enfrentar esse descompasso. O seguro cibernético, além de proteção financeira, é um instrumento importante de indução à melhoria nos controles das empresas”, analisa Marta Helena Schuh, Diretora de Seguros Cibernéticos e Tecnológicos na Howden Brasil.^[1]

Trata-se de medida inédita no ordenamento regulatório do Banco, Central, inserida em uma agenda mais ampla de reforço da segurança digital, continuidade operacional e mitigação de riscos sistêmicos.

Pois bem. A imposição do seguro cibernético encontra respaldo em, basicamente, três pilares normativos, a saber:

Poder normativo do BCB – derivado do art. 9º da Lei Complementar n.º 179/2021 e do art. 10 da Lei n.º 12.865/2013, que autorizam a autoridade monetária a disciplinar atividades de instituições de pagamento e infraestruturas tecnológicas associadas. Outro deles é resultante do princípio da prevenção e mitigação de riscos – previsto no arcabouço jurídicol, impondo a agentes do Sistema Financeiro Nacional a adoção de mecanismos de segurança, resiliência e cobertura de eventos adversos. Outrossim, fatores como a estabilidade do sistema poderão sofrer uma vulnerabilidade cibernética na rede do sistema financeiro com repercussão imediata em operações de pagamento, liquidação e compensação, com “risco de efeito dominó”, ou, “efeito cascata” sobre diversas instituições financeiras.

Assim, o seguro cibernético foi positivado como instrumento de transferência de risco para o mercado segurador, complementando as exigências de governança, capital e planos de contingência.

Neste pensar, a Resolução 498 determina que todo o provedor de serviços de tecnologia da informação credenciado deverá contratar seguro contra riscos cibernéticos, abrangendo ao menos seguros de responsabilidade civil por falhas de segurança ou indisponibilidade de serviços; custos de resposta a incidentes (incluindo recuperação de dados e comunicação obrigatória a clientes e autoridades, a par de cobertura contra ataques de vazamento de informações e indisponibilidade sistêmica.

O seguro irá figurar como condição indispensável para obtenção do credenciamento junto ao BCB.

A ausência de apólice válida pode ensejar suspensão da conexão à rede do sistema financeiro nacional, restrições operacionais ou até mesmo descredenciamento do respectivo provedor.

A norma exige, ainda, que essa rede mantenha o seguro atualizado, em valor compatível com sua exposição operacional e tecnológica.

Essa avaliação poderá ser revista pelo próprio BCB em inspeções ou processos de supervisão.

A obrigatoriedade aproxima-se, a meu sentir, de outros seguros compulsórios previstos em lei como o rol taxativo de seguros contemplados no vetusto Decreto- Lei 73/66^[2].

Tal fundamento não é legislativo, mas regulatório, o que poderá abrir debates sobre a competência do BCB para impor compulsoriedade sem lei específica, assim como da eventual necessidade de harmonização com a SUSEP, órgão regulador do mercado segurador.

A exigência de seguro cibernético repercute em todos estes contratos e instituições de pagamento, que deverão prever cláusulas de comprovação da vigência da apólice; estabelecer obrigações de comunicação em caso de sinistro, bem como definir regras de responsabilidade residual.

É possível antever contestações judiciais, sobretudo em pontos que se referem a natureza compulsória, pois não existe uma lei que trate especificamente da matéria, bem como questionamentos de constitucionalidade da medida sob o princípio da reserva legal.

Outro ponto dolorido da questão – punctum dolens -, se refere a litígios sobre se determinados incidentes, como verbi et gratia, se falhas de terceiros e ataques internos teriam cobertura securitária, ou não.

Em verdade, a sobredita resolução arrosta um estímulo à maturidade do mercado segurador brasileiro em apólices cibernéticas, além de uma proteção indireta a consumidores, reduzindo a probabilidade de interrupção de serviços de pagamento.

Haverá também uma eventual sobreposição de competências entre BCB e SUSEP, gerando conflitos regulatórios.

De outra banda, ninguém poderá questionar que a Resolução BCB n.º 498/2025 inova ao introduzir, pela primeira vez, a obrigatoriedade de seguro cibernético no âmbito regulatório do sistema financeiro. A medida, embora legítima sob o viés da mitigação de riscos, suscitará debates sobre sua constitucionalidade, competência regulatória e viabilidade econômica.

Trata-se de uma aposta regulatória ousada, que poderá transformar o mercado de seguros cibernéticos no Brasil e criar novos paradigmas de responsabilidade compartilhada entre provedores tecnológicos, instituições financeiras e seguradoras.

Só o tempo é que dirá!

Fonte: Editora Roncarati.