Lutando contra negações de seguros cibernéticos devido ao “fator humano”
Por Josué Ouro | Fonte: Risk Management Magazine - RIMS
O ataque de ransomware contra a Change Healthcare, subsidiária da United Healthcare, que congelou reivindicações e pagamentos médicos em todos os Estados Unidos durante semanas, deve servir como um alerta para todas as empresas e organizações, não apenas para maximizar as defesas cibernéticas, mas também para garantir que seus seguros as políticas responderão às perdas e responsabilidades decorrentes de um ataque cibernético. Os segurados devem saber que o “fator humano” não exclui a cobertura cibernética, apesar das companhias de seguros argumentarem rotineiramente que os sinistros são barrados ou limitados na cobertura quando funcionários, gestores ou outros seres humanos consideram as perdas sofridas devido a um incidente cibernético.
Por exemplo, um caso no início de 2024 envolvendo um programa de seguro cibernético “em camadas” vendido à Southwest Airlines não envolveu um hacker. Em vez disso, envolveu uma falha no sistema informático que o excesso de seguros cibernéticos da Liberty Insurance argumentou ser em parte devido às decisões de gestão da companhia aérea. Especificamente, após uma interrupção de três dias em 2016, a Southwest apresentou um pedido de cobertura cibernética de 77 milhões de dólares em perdas resultantes de enormes atrasos e interrupções nas suas operações.
A seguradora principal e três seguradoras excedentes pagaram o sinistro, mas a Liberty Insurance, a última camada da torre, objetou. A Southwest buscou cobertura para custos incorridos por meio de vários programas e iniciativas destinadas a ajudar quase meio milhão de clientes afetados por falhas no sistema, incluindo:
- Códigos promocionais FareSaver distribuídos a clientes com voos cancelados ou com atrasos superiores a duas horas
- Vouchers de viagem pagos a clientes com voos cancelados ou com atraso superior a duas horas
- Cobrir reembolsos feitos por agentes de atendimento ao cliente aos clientes mediante solicitação para compensar planos de viagem alternativos
- Pontos de recompensa distribuídos aos membros do programa de passageiro frequente da Southwest com voos cancelados ou com atraso de mais de duas horas
- Custos de publicidade para uma extensão de uma semana de uma venda que a companhia aérea vinha promovendo no momento da falha do sistema
A Liberty Insurance negou a reclamação da Southwest, dizendo que as decisões administrativas discricionárias da companhia aérea causaram as perdas. O tribunal federal concordou, concluindo que “os custos da Southwest não foram causados pela falha do sistema, mas sim o resultado de 'vários programas de recompensas, práticas e promoções de mercado puramente discricionários relacionados ao cliente'”. de Apelações do Quinto Circuito reverteu o tribunal de primeira instância e reenviou o caso para análise de causalidade.
As apólices cibernéticas primárias e excedentes da Southwest prometiam cobertura contra falhas do sistema para “todas as perdas… que um segurado incorra… exclusivamente como resultado de uma falha do sistema”. Liberty argumentou que “todas as cinco categorias de custos que a Southwest alegou não foram incorridas apenas como resultado da falha do sistema, mas sim o resultado de decisões comerciais subsequentes da Southwest”, acrescentando que “a Southwest reconhece[d] que esses custos foram o resultado de decisões de negócios.” A Southwest respondeu que tais decisões de negócios e as perdas que as acompanham não foram excluídas. O Quinto Circuito concordou com a Southwest que a cobertura de tais itens de custo não poderia ser negada por uma questão de lei sob um teste de causalidade “mas para” – isto é, se os custos em questão não teriam ocorrido “se não fosse” a interrupção do sistema. O tribunal de apelações devolveu o caso porque o tribunal de primeira instância não conseguiu determinar se a Southwest teria incorrido em algum desses custos se a interrupção do sistema não ocorresse. Além disso, o Quinto Circuito recusou-se a encontrar exclusões específicas de apólices de seguro aplicáveis ao sinistro, decidindo que a definição da Liberty de exclusão de “danos consequenciais” era tão ampla que tornaria efetivamente a cobertura ilusória.
A decisão do Sudoeste do Quinto Circuito tem certos paralelos com reivindicações de cobertura anteriores para perdas cibernéticas, incluindo a decisão frequentemente citada do Segundo Circuito de 2018 em Medidata Solutions v. Federal Insurance Company , na qual o painel de apelação se recusou a concordar com a seguradora Chubb que as ações de certos funcionários cortou a cadeia de causalidade sob uma análise de causa imediata. O tribunal rejeitou o argumento da Chubb de que a confirmação oral por um funcionário era uma das várias causas intervenientes para cortar a cobertura de fraude informática ao segurado. Da mesma forma, no caso G&G Oil Co. de Indiana v. Continental Western Insurance Co. de 2021 , a Suprema Corte de Indiana rejeitou o argumento de uma companhia de seguros de que não havia cobertura sob uma apólice de seguro criminal para um ataque de ransomware em que o executivo do segurado “voluntariamente” fez um pagamento em criptomoeda aos hackers. O tribunal observou que o pagamento do resgate ao hacker não foi voluntário, mas feito sob coação e, portanto, não impediu a cobertura do seguro.
A decisão de 2016 do Oitavo Circuito no caso State Bank of Bellingham v. BancInsure Inc. apresenta outro exemplo de um tribunal que rejeitou o argumento de uma companhia de seguros de que decisões humanas ou erros humanos impediram a cobertura de uma perda cibernética. O tribunal considerou que o banco tinha direito à cobertura de seguro, apesar do argumento da companhia de seguros de que a perda do banco foi causada pela entrada de um vírus no sistema como resultado da violação dos protocolos de segurança informática por um funcionário do banco.
Todos estes casos destacam que os segurados cibernéticos devem aceitar qualquer argumento de que as ações, decisões ou omissões dos funcionários de alguma forma rompem a
cadeia de causalidade necessária para demonstrar a cobertura do seguro com cautela. Pode haver cobertura mesmo quando os segurados praticam uma higiene de segurança cibernética abaixo do ideal ou tomam decisões destinadas a mitigar perdas. As violações cibernéticas catastróficas são graves e caras, tornando especialmente imperativo que as organizações se preparem para encontrar cobertura para enfrentar essas tempestades.
Joshua Gold é acionista do escritório de Anderson Kill em Nova York, presidente do grupo de recuperação de seguros cibernéticos de Anderson Kill e copresidente do grupo da indústria de carga marítima da empresa. Ele é coautor com Daniel J. Healy de Cyber Insurance Claims, Case Law, and Risk Management , publicado em 2022 pelo Practicing Law Institute.
---------------------------------------------------------
Parceria ABGR e ENS - Escola de Negócios e Seguros - Desconto aos Associados!
Mais informações em: www.abgr.com.br- comunicados
Curso Preparatório e Certificação Profissional Internacional em Gestão de Riscos
Associados ABGR têm desconto para inscrições antecipadas. Solicite mais informações através do e-mail: abgr@abgr.com.br
Acesse as edições mais recentes das publicações do Mercado de Seguros:
Revista Apólice: https://revistaapolice.com.br/2024/04/apolice-296/
Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-edicao-262/#1
Revista Insurance Corp: https://insurancecorp.com.br/pt/content/pdf/ic_ed53_2024.pdf
Revista Seguro Total : https://revistasegurototal.com.br/2024/04/01/ed-240-transporte-de-cargas-perigosas-protecao-nas-estradas-e-seguranca/
Revista Segurador Brasil: https://revistaseguradorbrasil.com.br/edicao-183/
Revista de Seguros: https://cnseg.org.br/publicacoes/revista-de-seguros-n-928
Conjuntura CNseg: https://cnseg.org.br/publicacoes/conjuntura-c-nseg-n-101
Revista Insurtalks: https://www.insurtalks.com.br/revista/revista-insurtalks-9
Revista Brasil Energia: https://brasilenergia.com.br/flip/1074
Portal CQCS: https://cqcs.com.br/
