Seguro cibernético se consolida como pilar da governança corporativa

aA digitalização do sistema financeiro no Brasil avançou de forma mais rápida do que a capacidade das empresas de lidar com seus próprios riscos. Nos últimos anos, a dependência cada vez maior de infraestrutura tecnológica, muitas vezes terceirizada, expôs um problema que já deixou de ser tratado como puramente técnico e passou a ser um risco de negócio.

Foi nesse contexto que entrou em cena a Resolução 498 do Banco Central. Publicada em setembro do ano passado, ela torna obrigatória às empresas a contratação de seguro cibernético, e agora em janeiro passou por alterações de aperfeiçoamento em alguns dos seus dispositivos. Mais do que um conjunto de exigências regulatórias, a norma sinaliza uma mudança de lógica no mercado: a segurança digital deixa de ser uma preocupação operacional e passa a integrar o núcleo da governança corporativa.

Com a alteração recente, a resolução estabelece critérios rigorosos para fornecedores de tecnologia que operam infraestrutura crítica no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). Isso se traduz na exigência de auditorias, planos de continuidade testados e uma estrutura formal de gestão de riscos. Há mais rigor nas regras, mas o ponto mais relevante é outro: a introdução do seguro cibernético como elemento central dessa arquitetura.

Durante anos, o seguro cibernético foi tratado como item de checklist, algo que se contrata para dizer que tem, não necessariamente para ser usado. A Resolução 498 quebra essa lógica. Ao vincular a operação no sistema financeiro à capacidade real de absorver um incidente, o Banco Central transforma o seguro em prova de compromisso, não de conformidade.

Na prática, isso significa que o risco cibernético não pode mais ser apenas evitado. Ele precisa ser gerido, mensurado e, sobretudo, suportado. O seguro entra exatamente nesse ponto: como mecanismo que obriga empresas a internalizar o custo potencial de falhas, seja por ataques, vazamentos de dados ou interrupções operacionais.

Esse movimento tem efeitos diretos sobre a governança. Por muito tempo, a cibersegurança foi assunto de reunião de TI. O líder da área apresentava, o conselho ouvia educadamente, aprovava o orçamento e seguia em frente. A Resolução 498 torna esse distanciamento inviável. Quando a norma exige auditoria independente, planos de continuidade testados e liderança formalmente responsável, ela está dizendo, na prática, que o tema passa a alcançar o patamar do nível estratégico das organizações, em que a falta de conhecimento pela liderança executiva deixou de ser uma desculpa aceitável.

Há ainda um segundo ponto, menos evidente, mas talvez mais relevante: a ampliação da responsabilidade para além das fronteiras da empresa. A resolução reforça a ideia de que o risco não está apenas dentro da instituição, mas em toda a cadeia de fornecedores tecnológicos. Em um ambiente em que diferentes instituições dependem dos mesmos prestadores, uma falha isolada pode gerar efeitos sistêmicos.

O seguro cibernético, nesse cenário, cumpre um papel adicional. Ele não apenas protege financeiramente, mas também induz comportamento. Ao exigir padrões mínimos de segurança para a concessão de cobertura, o mercado segurador passa a funcionar como uma camada adicional de controle, pressionando empresas a elevar seu nível de disciplina e maturidade.

Esse é o ponto em que a discussão deixa de ser regulatória e passa a ser estratégica. Empresas que enxergam o seguro apenas como custo tendem a reagir de forma defensiva, buscando cumprir o mínimo necessário. Já aquelas que o incorporam como parte da governança passam a operar com outra lógica: a de resiliência.

A diferença é significativa. Em um cenário de incidentes inevitáveis e cada vez mais frequentes, o que separa organizações vulneráveis das resilientes não é a ausência de falhas, uma vez que qualquer empresa está sujeita a isso. A pergunta real não é “se” um incidente irá surgir, mas o que a organização é capaz de fazer nas primeiras horas depois que ele acontece. Essa capacidade de resposta operacional, financeira e de comunicação é o que a regulação está, no fundo, tentando construir.

A Resolução 498, portanto, não trata apenas de conformidade. Ela redefine o que significa estar preparado para operar em um ambiente digital. Ao fazer isso, transforma o seguro cibernético em algo maior do que proteção: um dos pilares da governança contemporânea.

* Eduardo Bezerra é superintendente de Seguros Cibernéticos da Wiz Corporate.