Obrigatoriedade de Seguro no Mercado de Cibersegurança

Segundo noticiou uma corretora global especializada em seguros de alta complexidade, a norma representa um divisor de águas, exigindo uma maior governança nas cadeias de fornecimento das respectivas empresas contratantes.

“Grandes empresas investem fortemente em cibersegurança, mas são impactadas por brechas em parceiros menores, que muitas vezes não seguem os mesmos padrões de governança. A Resolução veio para enfrentar esse descompasso. O seguro cibernético, além de proteção financeira, é um instrumento importante de indução à melhoria nos controles das empresas”, analisa Marta Helena Schuh, Diretora de Seguros Cibernéticos e Tecnológicos na Howden Brasil.[1]

Trata-se de medida inédita no ordenamento regulatório do Banco, Central, inserida em uma agenda mais ampla de reforço da segurança digital, continuidade operacional e mitigação de riscos sistêmicos.

Pois bem. A imposição do seguro cibernético encontra respaldo em, basicamente, três pilares normativos, a saber:

Poder normativo do BCB – derivado do art. 9º da Lei Complementar n.º 179/2021 e do art. 10 da Lei n.º 12.865/2013, que autorizam a autoridade monetária a disciplinar atividades de instituições de pagamento e infraestruturas tecnológicas associadas. Outro deles é resultante do princípio da prevenção e mitigação de riscos – previsto no arcabouço jurídico l, impondo a agentes do Sistema Financeiro Nacional a adoção de mecanismos de segurança, resiliência e cobertura de eventos adversos. Outrossim, fatores como a estabilidade do sistema poderão sofrer uma vulnerabilidade cibernética na rede do sistema financeiro com repercussão imediata em operações de pagamento, liquidação e compensação, com “risco de efeito dominó”, ou, “efeito cascata” sobre diversas instituições financeiras.

Assim, o seguro cibernético foi positivado como instrumento de transferência de risco para o mercado segurador, complementando as exigências de governança, capital e planos de contingência.

Neste pensar, a Resolução 498 determina que todo o provedor de serviços de tecnologia da informação credenciado deverá contratar seguro contra riscos cibernéticos, abrangendo ao menos seguros de responsabilidade civil por falhas de segurança ou indisponibilidade de serviços; custos de resposta a incidentes (incluindo recuperação de dados e comunicação obrigatória a clientes e autoridades, a par de cobertura contra ataques de vazamento de informações e indisponibilidade sistêmica.

O seguro irá figurar como condição indispensável para obtenção do credenciamento junto ao BCB.

A ausência de apólice válida pode ensejar suspensão da conexão à rede do sistema financeiro nacional, restrições operacionais ou até mesmo descredenciamento do respectivo provedor.

A norma exige, ainda, que essa rede mantenha o seguro atualizado, em valor compatível com sua exposição operacional e tecnológica.

Essa avaliação poderá ser revista pelo próprio BCB em inspeções ou processos de supervisão.

A obrigatoriedade aproxima-se, a meu sentir, de outros seguros compulsórios previstos em lei como o rol taxativo de seguros contemplados no vetusto Decreto- Lei 73/66[2].

Tal fundamento não é legislativo, mas regulatório, o que poderá abrir debates sobrea competência do BCB para impor compulsoriedade sem lei específica, assim como da eventual necessidade de harmonização com a SUSEP, órgão regulador do mercado segurador.

A exigência de seguro cibernético repercute em todos estes contratos e instituições de pagamento, que deverão prever cláusulas de comprovação da vigência da apólice; estabelecer obrigações de comunicação em caso de sinistro, bem como definir regras de responsabilidade residual.

É possível antever contestações judiciais, sobretudo em pontos que se referem a natureza compulsória, pois não existe uma lei que trate especificamente da matéria, bem como questionamentos de constitucionalidade da medida sob o princípio da reserva legal.

Outro ponto dolorido da questão – punctumdolens -, se refere a litígios sobre se determinados incidentes, como verbi et gratia, se falhas de terceiros e ataques internos teriam cobertura securitária, ou não.

Em verdade, a sobredita resolução arrosta um estímulo à maturidade do mercado segurador brasileiro em apólices cibernéticas, além de uma

proteção indireta a consumidores, reduzindo a probabilidade de interrupção de serviços de pagamento.

Haverá também uma eventual sobreposição de competências entre BCB e SUSEP, gerando conflitos regulatórios.

De outra banda, ninguém poderá questionar que a Resolução BCB n.º 498/2025 inova ao introduzir, pela primeira vez, a obrigatoriedade de seguro cibernético no âmbito regulatório do sistema financeiro. A medida, embora legítima sob o viés da mitigação de riscos, suscitará debates sobre sua constitucionalidade, competência regulatória e viabilidade econômica.

Trata-se de uma aposta regulatória ousada, que poderá transformar o mercado de seguros cibernéticos no Brasil e criar novos paradigmas de responsabilidade compartilhada entre provedores tecnológicos, instituições financeiras e seguradoras.

Gostaria, também, ao azo, de aditar a esse ensaio o que foi divulgado na mídia televisiva em relação ao ataque hacker, que paralisou a produção e venda da Jaguar Land Rover, verbis:

“Um ciberataque em 31 de agosto de 2025 atingiu a Jaguar Land Rover (JLR), a maior montadora de automóveis do Reino Unido, paralisando a produção em suas fábricas e afetando fornecedores. O ataque, atribuído ao grupo Scattered Lapsus$ Hunters, forçou a interrupção das operações e levou a um mês de paralisação. O incidente afetou a cadeia de suprimentos da montadora, gerando preocupações financeiras para milhares de trabalhadores e fornecedores, e levou o governo britânico a oferecer garantias de empréstimo para apoiar a cadeia de suprimentos.

O ataque teria ocorrido na data acima, forçando o desligamento dos sistemas de TI da JLR, o que levou à paralisação das operações de fabricação no Reino Unido, Eslováquia, Brasil e Índia.

A paralisação impactou centenas de fornecedores, que são parte essencial da cadeia produtiva da Jaguar Land Rover, levando alguns funcionários a ficarem em casa e outros à espera de pagamentos.

Assim, mais de 33.000 funcionários da JLR no Reino Unido foram orientados a ficar em casa, com alguns enfrentando dificuldades financeiras.

O incidente expôs a crescente vulnerabilidade da indústria automotiva a ataques digitais.

As equipes da JLR, com o apoio de especialistas em segurança cibernética, do Centro Nacional de Segurança Cibernética e da polícia, trabalham continuamente para restaurar os sistemas.

A produção começou a ser retomada gradualmente em algumas fábricas.

O governo britânico ofereceu garantias de empréstimo a bancos comerciais para apoiar a cadeia de suprimentos da montadora e proteger os empregos no Reino Unido”[3].

Nos últimos cinco anos, adverte outro informativo, “as quatro maiores economias da Europa continental - França, Alemanha, Itália e Espanha - sofreram prejuízos superiores a €300 bilhões (US$ 405 bilhões) com ataques cibernéticos, segundo levantamento da corretora de seguros inglesa Howden.

O estudo revela que 49% das empresas desses países foram invadidas entre 2020 e 2025, totalizando mais de €307 bilhões em perdas diretas

O dado não inclui o Reino Unido, mas reforça uma preocupação global: a crescente dependência digital amplia a vulnerabilidade de organizações, especialmente em setores críticos

A pesquisa da Howden destaca que medidas básicas de resiliência cibernética poderiam reduzir em até 66% as perdas financeiras, o equivalente a uma economia de €204 bilhões. Desse total:€112 bilhões viriam da redução da gravidade dos ataques€92 bilhões resultariam da diminuição da frequência de incidentes.

Ainda assim, mais de 70% das empresas da região continuam sem seguro cibernético. No Reino Unido, a lacuna é menor, mas ainda relevante: 61% seguem desprotegidas

Segundo a Howden, empresas que contratam apólices não apenas recebem indenizações, mas também desenvolvem melhores práticas de governança de risco, o que já reduz os custos dos ataques”[4].

Portanto, é preciso ficarmos atentos e bastante alertas a esses procedimentos que causam uma convulsão social não só para estas grandes empresas, como também aos familiares de todos os funcionários que operam para o progresso cada vez maior de toda a cadeia de produção, seja de veículos ou de qualquer outro bem de consumo.

A sofisticação na arte do mal poderá ser minimizada com o seguro que estriba seu pilar, tanto no princípio fundamental da boa-fé como no dever de cooperação.

Só assim se minimizam prejuízos, sem se olvidar que nossos legisladores elaborem uma legislação punitiva mais eficiente e oportuna com o mundo que atualmente estamos vivenciando.

É o que penso.

Porto Alegre,30 de setembro de 2025.

Voltaire Marenzi - Advogado e Professor

[1] Obrigatoriedade de seguro deve transformar o mercado de cibersegurança no Brasil, por Claudiney Santos -25 de setembro de 20250

[2] Artigo 20.

[3] Fonte Google.

[4]Fonte: CNseg, em 30.09.2025