Ciber-Risco: Vulnerabilidade conectada

O ciber-risco está a evoluir mais depressa do que os modelos de gestão que o pretendem controlar. O recente relatório global da QBE¹ alerta para uma tendência preocupante: o número de vítimas de ransomware identificadas em leak sites passou de 1.412 em 2020 para 5.010 em 2024 e poderá ultrapassar 7.000 em 2026. Estes números não refletem apenas o aumento de incidentes, mas também a crescente sofisticação das cadeias de ataque e da própria criminalidade digital.

Um exemplo recente vem dos Estados Unidos: a ACE American Insurance (subsidiária da Chubb) está a processar duas empresas tecnológicas² após ter indemnizado em meio milhão de dólares uma empresa cliente, vítima de ransomware. A ACE alega que as falhas de segurança dos prestadores — um fornecedor de serviços em nuvem e outro de cibersegurança — tornaram o ataque possível e agravaram as perdas.

O caso é revelador de uma tendência mais ampla: a difusão da responsabilidade. À medida que as empresas recorrem a múltiplos prestadores de serviços digitais — cloud, software, autenticação, monitorização — o risco deixa de ser linear, ou facilmente atribuível. A cadeia digital é hoje um ecossistema interdependente, e uma falha mínima num elo pode desencadear perdas significativas em toda a estrutura.

A fragilidade não reside apenas na tecnologia, mas também na governação. O episódio da Okta, empresa norte-americana de autenticação que sofreu em 2023 uma violação que afetou mais de uma centena de clientes empresariais, ilustra como um incidente num fornecedor crítico pode propagar-se por todo o ecossistema digital, atingindo entidades que nunca foram diretamente atacadas.

A aceleração trazida pela inteligência artificial generativa acrescenta uma nova camada de risco. O mesmo potencial que torna a IA útil para identificar padrões de ataque também permite que seja usada para os realizar com mais precisão, rapidez e escala. Esta dualidade cria um desequilíbrio crescente entre o poder de ataque e a capacidade de defesa.

As seguradoras estão no centro deste novo equilíbrio instável. Por um lado, enfrentam a pressão para cobrir riscos cibernéticos que se tornam cada vez mais complexos e interconectados. Por outro, enfrentam a necessidade de redefinir o que é “falha do segurado” e o que é “falha do fornecedor”. A fronteira entre ambos tende a diluir-se, obrigando a repensar contratos, cláusulas e responsabilidades.

O desafio é global. Não basta proteger apenas redes individuais ou reagir aos ataques: é necessário adotar uma abordagem de resiliência partilhada, que reconheça como toda a infraestrutura digital está interligada. Tal implica cooperação entre empresas, fornecedores e seguradoras — e, a prazo, talvez novas formas de regulação e de seguros paramétricos aplicáveis ao risco cibernético.

Num mundo onde o sequestro digital se tornou uma ameaça constante, a verdadeira proteção não virá apenas da tecnologia, mas da confiança e da antecipação; porque, na economia digital, o ativo mais valioso é — e continuará a ser — a confiança.

¹ Cloud cover: forecasting digital disruption in a cybercrime climate – QBE

² Insurer Says Tech Services Firms Should Pay for Insured’s Ransomware Damages – Carrier Management