6 Lições Jurídicas para Cobertura de Seguro Cibernético

23, Mai. 2022

Joshua Gold E Daniel J. Healy |

Fonte: RIMS Weekend Read

Lições de seguro cibernético

Atualmente, os segurados enfrentam o que pode ser o mercado de seguro cibernético mais difícil de todos os tempos. Para muitos, os requisitos aumentaram, os aumentos de prêmios foram astronômicos e obter a mesma qualidade de proteção para incidentes cibernéticos tornou-se mais difícil, mesmo para as organizações que possuem fortes proteções.

Apesar dessas condições, nem tudo é pessimismo para os compradores de seguros cibernéticos. Ao longo do ano passado, as decisões judiciais foram amplamente favoráveis ​​aos segurados que buscam reivindicações cibernéticas em produtos de seguro que não são específicos para cibersegurança. Esses sucessos destacam o fato de que a cobertura de seguro pode ser encontrada em todas as linhas de produtos após uma perda cibernética multifacetada. Os profissionais de risco devem considerar as seis lições a seguir sobre recuperação de seguro cibernético de casos legais recentes: 

1. A narrativa “cibernética silenciosa” de que a cobertura pode ser negada na ausência de uma política cibernética dedicada deve ser encarada com cautela.

Uma série de apólices de seguro comercial pode fornecer cobertura significativa para sinistros ou sinistros do segurado, incluindo D&O, E&O, responsabilidade geral/CGL, crime e propriedade. Por exemplo, na recente decisão da Suprema Corte de Indiana em G&G Oil Co. of Indiana, Inc. v. Continental Western Insurance Co. , o fato de o segurado ter se abstido de comprar um endosso específico de cobertura cibernética não nega a cobertura do seguro contra crimes comerciais para uma perda cibernética resultante de um ataque de ransomware. 

A Suprema Corte de Indiana rejeitou o argumento de que um contrato de seguro de cobertura de crime não poderia cobrir o segurado quando ele não conseguiu adquirir cobertura cibernética especializada sob uma apólice de pacote de negócios. Em vez disso, o tribunal decidiu expressamente que a cobertura deveria ser determinada com base na linguagem real da seguradora conforme escrita – não com base em conceitos externos, como quais outras opções de seguro poderiam ser vendidas no mercado. 

Os segurados não devem desconsiderar o fato de que seus produtos de crime, propriedade, CGL e outros produtos de seguro podem cobrir sinistros cibernéticos no todo ou em parte. Embora o seguro cibernético dedicado continue sendo um produto muito importante para proteção contra perdas cibernéticas, não é o único produto de seguro que pode fornecer cobertura. Em 2021, o Quinto Circuito apoiou ainda mais esse conceito, encontrando cobertura para sinistros cibernéticos no seguro D&O. Quando ocorre um incidente cibernético, é fundamental que os segurados considerem o envio de notificação e reclamação a todas as apólices de seguro relevantes para ajudar a preservar as opções de cobertura e maximizar as fontes potenciais de recuperação. 

2. Evidências suficientes são essenciais para fundamentar uma reivindicação de seguro.

Na G&G Oil , a Suprema Corte de Indiana não concedeu julgamento sumário à G&G porque não foi capaz de determinar se o segurado tinha direito à cobertura de seguro devido às evidências limitadas apresentadas. Em vez disso, o tribunal enviou o caso de volta ao tribunal de primeira instância para outras determinações factuais sobre se o segurado foi enganado para permitir que o ransomware entrasse em seu ambiente de computação. Para os segurados, a prisão preventiva ressalta a importância de garantir detalhes tecnológicos suficientes em torno do incidente cibernético e danos consequentes ao segurado.

Por outro lado, na decisão do tribunal de apelação de Ohio, EMOI Services, LLC v. Owners Ins. Co. , o tribunal rejeitou a moção da companhia de seguros para encerrar o caso alegando que o segurado não havia demonstrado perda física direta – que o dano ao seu software foi causado por um ataque de ransomware. O tribunal considerou que o depoimento do desenvolvedor de software e do gerente de TI do segurado afirmando que o ataque danificou o software e os dados da empresa foi suficiente para permitir que o processo de cobertura prosseguisse.

Por uma série de razões, incluindo suporte a reivindicações de cobertura, o resultado final é que uma organização que sofre um incidente cibernético deve proteger informações tecnológicas detalhadas sobre qualquer ataque, incluindo a forma de entrada, os sistemas e dados visados, o dano resultante, a duração do esse dano, e qualquer dano remanescente causado pelo incidente. Os relatórios forenses de computador também são úteis para tratar de consultas de reguladores e policiais após incidentes de segurança.

3. A afirmação frequente das seguradoras de que os ataques cibernéticos a sistemas de computador não acarretam “perda ou dano físico” à “propriedade coberta” nem sempre é correta.

O tribunal no caso EMOI rejeitou, entre outros argumentos, a afirmação de que a propriedade coberta inclui apenas “propriedade tangível”, observando que a suposta exigência de que a propriedade seja “tangível” não foi encontrada em nenhum lugar na linguagem da política de propriedade. De fato, o tribunal rejeitou os esforços para rotular a mídia e outros itens eletrônicos como propriedade descoberta, baseando-se em parte na decisão de 2020 de um tribunal de Maryland em National Ink and Stitch v. State Auto Property and Casualty Insurance Co. O EMOI e a National Inktribunais rejeitaram argumentos de que o seguro de propriedade não cobria danos ao sistema causados ​​por ataques de ransomware quando problemas de computação adversos persistiam após a tentativa de descriptografia dos arquivos afetados. O tribunal de Ohio concluiu que “a política contemplava que o software e a reprodução de dados da EMOI podiam ser fisicamente danificados, e [o gerente de TI] testemunhou que sim”.

4. O seguro de responsabilidade geral comercial (CGL) pode cobrir a responsabilidade por supostas violações de privacidade resultantes de violações de dados.

Em uma decisão de julho de 2021 na Landry's Inc. v. a Insurance Co. do Estado da Pensilvânia , o Quinto Circuito federal reverteu uma decisão do tribunal de primeira instância e encontrou cobertura para a Landry's, uma empresa de restaurante e hospitalidade multimarcas, por responsabilidade decorrente de um roubo de informações de cartão de pagamento por hackers em determinados locais de Landry. 

A Landry's foi processada em mais de US$ 20 milhões por seu banco comercial, Paymentech, depois que a Visa e a Mastercard avaliaram danos contra a Paymentech por cobranças de fraude de cartão de pagamento e despesas de substituição decorrentes do roubo do Landry. O titular da apólice afirmou que foi expressamente prometida a cobertura da CGL para a reclamação subjacente porque a Paymentech estava buscando danos decorrentes da “publicação oral ou escrita... de material que viola o direito de privacidade de uma pessoa”, para citar a apólice. 

A seguradora negou que o roubo constituísse “publicação”. Ao encontrar cobertura, o Quinto Circuito sustentou: “A reclamação da Paymentech alega claramente que a Landry's publicou as informações do cartão de crédito de seus clientes - isto é, as expôs à vista”. Dado que a apólice claramente cobria a responsabilidade decorrente de violações dos direitos de privacidade dos consumidores, o Quinto Circuito também rejeitou as “distinções de fatia de salame” da seguradora quanto à natureza da reclamação (alegando quebra de contrato em oposição a delito). 

5. É improvável que as companhias de seguros prevaleçam nas tentativas de negar a cobertura de violação de dados invocando exclusões por guerra ou terrorismo.

 Em uma decisão de dezembro de 2021 na Merck Co. Inc. et al. v. ACE American Insurance Co. et al. , um Tribunal Superior de Nova Jersey decidiu em julgamento sumário que uma exclusão de guerra não negava a cobertura solicitada pela Merck contra 15 companhias de seguros. A gigante farmacêutica sofreu perdas de US$ 1,4 bilhão decorrentes de uma infecção por malware que se espalhou para 40.000 de seus computadores. 

A Merck foi vítima do notório ataque NotPetya, que impactou inúmeras redes corporativas em todo o mundo e até causou interrupções na cadeia de suprimentos global. Os governos dos EUA e do Reino Unido acusaram a Rússia de ser a responsável final pelo ataque e, com base nisso, as seguradoras consideraram o malware, conforme descrito na decisão, “um instrumento da Federação Russa como parte de suas hostilidades em andamento contra a nação. da Ucrânia.” 

Em uma apólice de todos os riscos como a da Merck, “o ônus da prova é da seguradora para mostrar que uma exclusão de apólice se aplica”, observou o juiz Thomas J. Walsh. Ele escreveu: “A Merck mantém seu entendimento razoável dessa exclusão envolvendo o uso de forças armadas, e toda a jurisprudência sobre a exclusão de guerra apóia essa interpretação”. O juiz concordou com a Merck que “nenhum tribunal aplicou uma exclusão de guerra (ou atos hostis) a qualquer coisa remotamente próxima aos fatos aqui descritos”. Ele enfatizou ainda que a linguagem da exclusão não mudava há anos e que, se as seguradoras desejassem excluir expressamente tipos específicos de ataques cibernéticos, poderiam fazê-lo.

A decisão da Merck reforça a realidade de que é muito difícil para uma seguradora cumprir seu ônus da prova ao atribuir um ataque de malware a um ator estatal. Os cibercriminosos ocultam suas verdadeiras identidades, motivos e ferramentas de hackers, quase sempre usando engano e desinformação no processo de um ataque. Apesar das alegações do governo, a proveniência de um ataque geralmente permanece contestada.

6. Os segurados devem buscar cobertura para sinistros biométricos e estar preparados para lutar por ela. 

Ações judiciais por violações da Lei de Privacidade de Informações Biométricas de Illinois (BIPA) ou estatutos estaduais semelhantes geralmente alegam falha em divulgar adequadamente a coleta de dados biométricos ou a venda ou compartilhamento ilegal de tais dados. Até o momento, a maioria dos processos baseados no BIPA não envolve uma violação cibernética. Algumas seguradoras negaram cobertura de responsabilidade para tais reclamações, citando uma exclusão que normalmente trata da cobertura de certas reclamações declaradas sob a Lei de Proteção ao Consumidor Telefônico (TCPA) ou a Lei CAN-SPAM de 2003, que criam um direito privado de ação para destinatários de telemarketing. A exclusão citada às vezes faz referência a qualquer outro estatuto semelhante à Lei TCPA e CAN-SPAM.

Em 2021, a Suprema Corte de Illinois decidiu que a linguagem de exclusão não se aplicava ao BIPA. Em West Bend Mutual Insurance Company, v. Krishna Schaumburg Tan, Inc. , a seguradora processou por uma declaração de que as reivindicações do BIPA contra seu segurado foram impedidas de cobertura com base nessa exclusão. West Bend argumentou que a regulamentação da BIPA sobre o uso e armazenamento de informações biométricas era semelhante à regulamentação de chamadas telefônicas e faxes da TCPA e à regulamentação de e-mails da Lei CAN-SPAM. A Suprema Corte de Illinois aplicou a doutrina do ejusdem generis(“do mesmo tipo ou classe”) para descobrir que o BIPA não era o mesmo tipo de estatuto e exigia que a seguradora fornecesse cobertura de defesa. Como o BIPA é um estatuto de Illinois, a decisão da Suprema Corte de Illinois tem um peso significativo.

Em março de 2022, um tribunal federal de Illinois seguiu o precedente da Suprema Corte estadual em West Bend , encontrando cobertura para o segurado em uma ação judicial alegando violações de dados biométricos. O tribunal em Citizens Insurance Company of America et al. v. Thermoflex Waukegan LLC et al. rejeitou a aplicação da seguradora não apenas da exclusão do TCPA, mas também de uma exclusão relativa ao material confidencial, porque nenhum dos materiais listados estava dentro do escopo do que o BIPA protege.

Os segurados devem continuar a buscar cobertura para possíveis responsabilidades BIPA em todas as apólices aplicáveis, incluindo apólices de responsabilidade geral, e estar preparados para resistir a recusas. A decisão de West Bend deve ser persuasiva fora de Illinois, pois o BIPA é o estatuto principal e muitas outras leis estaduais comparáveis ​​são baseadas nele.

Joshua Gold é acionista da Anderson Kill e co-presidente do grupo de recuperação de seguros cibernéticos da empresa. Daniel J. Healy é sócio da Anderson Kill e co-presidente do grupo de recuperação de seguros cibernéticos da empresa. Gold e Healy também são coautores de Cyber ​​Insurance Claims, Case Law e Risk Management , agora disponível no Practicing Law Institute.


Matéria na Revista Insurance Corp Edição 41, pág 38 - Capacitação em alto nível- Parceria ABGR e QSP

A Edição 41 da Revista Insurance Corp traz na pág 38, matéria sobre a parceria ABGR e QSP – Centro da Qualidade, Segurança e Produtividade em prol do desenvolvimento educacional em Gestão de Riscos. Informações sobre o Curso de Capacitação em Gestão de Riscos, que além de capacitar os participantes na norma ISO 31000:2018 também é um curso preparatório para o Exame para obtenção da Certificação Profissional Internacional C31000. O curso preparatório lançou sua 51ª turma em abril, com o exame nacional realizado no dia 27. Uma próxima turma será aberta de 16 a 23 de maio, das 8h30 às 11h30. O exame acontecerá no dia 25 de maio. Outras informações por meio do e-mail abgr@abgr.com.br. Associados ABGR têm desconto para inscrições antecipadas.

Ed. 41 Revista IC: http://insurancecorp.com.br/pt/content/pdf/ic_ed41_2022.




Curso Preparatório e Certificação Profissional Internacional em Gestão de Riscos.

Associados ABGR têm desconto para inscrições antecipadas. Solicite mais informações através do

e-mail: abgr@abgr.com.br 



A ABGR apoia o XVI Fórum IBEF Oil, Gas & Energy 2022 . Participe!

ASSOCIADO ABGR INSCREVA-SE COM DESCONTO CLICANDO EM

https://agenda.ibefrio.org.br/curso/xvi-forum-ibef/?parceiros=ibefrio



 A ABGR participou de cerimônia de posse da CNseg e Federações.