Allianz Commercial regista crescimento de 14% em sinistros cibernéticos de grande dimensão

A frequência e gravidade de sinistros cibernéticos de grande dimensão (com danos superiores a um milhão de euros) aumentaram 14% e 17%, respetivamente, no primeiro semestre do ano na carteira de sinistros da Allianz Commercial a nível mundial. Dois terços destas perdas estão relacionados com violação de dados e privacidade e normalmente estes sinistros têm um valor superior a 100 milhões de euros por ano.

Citado pelo relatório cibersegurança 2024 da Allianz Commercial, Michael Daum, diretor global de sinistros cibernéticos da Allianz Commercial, assinala que o aumento dos ataques de ransomware “é uma consequência da alteração das táticas dos atacantes e das crescentes interdependências entre organizações que partilham volumes cada vez maiores de registos pessoais”.

Há outros riscos para as empresas que não são relacionados com ataques. Como as ações judiciais coletivas relacionadas com a privacidade de dados, “resultantes de incidentes como a recolha e o processamento indevidos de dados pessoais”, sublinhou Michael Daum.

Este risco é particularmente relevante nos Estados Unidos onde a “percentagem destes processos triplicou em valor em apenas dois anos”, acrescenta, visto que a regulamentação sobre a privacidade é aberta a interpretação, é menos prescritiva, e “os advogados requerentes estão ávidos por potenciais fontes de rendimento”. O que está a criar “uma situação incerta que é propícia a ações judiciais coletivas”.

Além das questões regulamentares, as ações judiciais “não relacionadas com ataques” têm aumentado devido aos desenvolvimentos tecnológicos, ao crescente valor comercial dos dados pessoais e da evolução do panorama regulamentar e jurídico.

O número de ações coletivas por violação de dados quadruplicou de 2021 até 2023 para 1.300 ações nos Estados Unidos, segundo dados do escritório de advocacia Duane Morris. Michael Daum deu conta os custos de algumas destas ações podem ser maiores do que os de um ataque de ransomware e andar nas centenas de milhões de euros. Os dez principais acordos alcançados em ações coletivas de transação de dados totalizaram 526 milhões de dólares em indemnizações no ano passado, mais 33,5% em variação homóloga.

Estas ações foram intentadas contra empresas de vários setores, desde a saúde, rede sociais e jogos, “por usar ferramentas de rastreamento como o Meta Pixel para monitorar o comportamento do consumidor, enquanto as plataformas de streaming de entretenimento também foram visadas, alegando que podem ter violado os direitos de proteção de privacidade”.

Na Europa o risco de litígio por violação de dados aumenta, devido a uma maior conscientização sobre os direitos de proteção de dados, um aumento da disponibilidade de financiamento de litígios de terceiros e um ambiente de litigio mais favorável ao consumidor “podem tornar as reivindicações de brevidade de dados uma realizada, embora não na mesma escala que nos EUA”.

“Embora tenha havido ações coletivas em matéria de privacidade de dados na Europa, os tribunais têm-se mostrado relutantes em conceder indemnização por danos não financeiros, tais como sofrimento emocional. É mais difícil intentar uma ação coletiva bem sucedida na Europa por violações da privacidade dos dados, mas a situação está a evoluir e pode haver uma mudança a favor dos consumidores no futuro”, afirma Michael Daum, Diretor Global responsável pelas indemnizações cibernéticas da Allianz Commercial.

O relatório lança luz sobre as ferramentas de inteligência artificial que, baseadas na recolha e no tratamento de grandes quantidades de dados, podem criar potenciais riscos de privacidade, desinformação e segurança se não forem utilizadas corretamente ou caírem nas mãos erradas (através de pirataria informática ou outras violações de segurança). Também há preocupações se as organizações têm o consentimento adequado de processar dados através da Inteligência Artificial.

De acordo com o estudo, violações de dados são facilitados pela segurança frágil nas organizações e/ou na cadeia de abastecimento. “Estes incidentes podem dar origem a sinistros de grande dimensão, envolvendo multas regulamentares, custos de notificação e litígios com terceiros, para além de pedidos de extorsão, custos internos e interrupção da atividade.”.

Trio para a mitigação de riscos

O risco cibernético pode ser mitigado com boa proteção cibernética, supervisão sobre as cadeias de abastecimento e usar ferramentas de inteligência artificial que “podem identificar rapidamente uma violação de segurança e isolar automaticamente sistemas e bases de dados”.

A proteção cibernética deve incluir “fortes controlos de acesso, segregação de bases de dados, cópias de segurança, correções e formação”.

“As violações cibernéticas que não são detetadas e contidas precocemente podem acabar por ser 1000 vezes mais caras do que aquelas que são, a diferença entre uma perda de 20 000 euros se transformar em uma perda de 20 milhões.”, afirmou Rishi Baviskar, Diretor Global de Consultoria de Risco Cibernético, Allianz Commercial.

As ferramentas de IA “além de terem o potencial de reduzir significativamente o custo e o ciclo de vida de um sinistro de violação de dados, automatizando tarefas, como a análise forense e as notificações, potencialmente poupando milhões de dólares às empresas.”