Rússia, Ucrânia, Seguro Cibernético e Exclusão de Guerra

O recente conflito entre a Rússia e a Ucrânia e os ataques cibernéticos potencialmente relacionados aumentaram o foco nas exclusões de guerra nas apólices de seguro cibernético. A aplicabilidade da exclusão a qualquer sinistro depende inteiramente da linguagem da apólice e das circunstâncias factuais do ataque. É impossível prever antecipadamente se uma exclusão de guerra será aplicada. No entanto, o conhecimento de como as exclusões de guerra foram interpretadas no passado pode ser útil para avaliar a aplicabilidade da exclusão nas circunstâncias atuais.

EXCLUSÕES DE GUERRA INTERPRETADAS

As exclusões de guerra vêm de muitas formas diferentes e fazem parte de muitas apólices de seguro, incluindo apólices de seguro cibernético.

Não há redação padrão de exclusão de guerra nas apólices de seguro cibernético, mas o seguinte é ilustrativo:

Baseado ou resultante de:

Guerra, incluindo guerra não declarada ou civil;

Ação bélica por uma força militar, incluindo ação para impedir ou defender contra um ataque real ou esperado, por qualquer governo, autoridade soberana ou outra autoridade usando militares ou outros agentes; ou insurreição, rebelião, revolução, poder usurpado ou ação tomada por autoridade governamental para impedir ou defender contra qualquer um desses.

Para evitar dúvidas, esta exclusão não se aplica ao ciberterrorismo.

Uma definição típica de ciberterrorismo é:

Ciberterrorismo significa o uso de atividades disruptivas direto ou indiretamente contra um sistema de computador por um indivíduo ou grupo de indivíduos, ou a ameaça explícita por um indivíduo ou grupo de indivíduos de usar tais atividades, com a intenção de causar danos sociais, ideológicos, objetivos religiosos, políticos ou similares, ou para intimidar qualquer pessoa(s) em prol de tais objetivos. O ciberterrorismo não inclui nenhuma dessas atividades que façam parte ou apoiem qualquer ação militar, guerra ou operações bélicas.

As exclusões de guerra são litigadas nos tribunais há décadas. Que seja do conhecimento da Lockton, nenhum tribunal considerou a exclusão em uma apólice de Risco Cibernético. No entanto, as decisões de outras apólices são instrutivas sobre como as seguradoras e os tribunais podem interpretar a exclusão.

As decisões dos EUA que interpretam as exclusões de guerra adotaram duas abordagens analíticas diferentes. A primeira, e mais antiga, abordagem é técnica, focando se um conflito específico é uma guerra formalmente declarada. A segunda abordagem, que é usada pelos tribunais hoje, é interpretar “guerra” como o que as pessoas comuns pensam que significa.

Os tribunais analisam o contexto factual de um conflito e procuram indícios de guerra, como se os combatentes usavam uniformes, a organização dos combatentes e os tipos de armas usadas. Os tribunais também analisam o ato que causou a perda. Nos EUA, essa abordagem de “significado comum” é vista como mais consistente com a exigência legal de que as apólices de seguro sejam interpretadas de acordo com as expectativas razoáveis das pessoas que as compram.

Os tribunais dos EUA forneceram orientações úteis sobre o que eles acreditam constituir “guerra” na mente das pessoas comuns. Em Pan American World Airways, Inc. v. Aetna Cas. & Sur. Co.1 um voo da Pan Am foi sequestrado no ar sobre Londres e embora os sequestradores tenham permitido que os passageiros saíssem do avião, o avião foi destruído no Cairo com explosivos obtidos em Beirute. A Pan Am relatou um sinistro de acordo com suas apólices de aviação “All Risks”.

As seguradoras negaram cobertura com base na aplicação de exclusões de guerra. A Pan Am também informou um sinistro conforme apólices de risco de guerra. As seguradoras de risco de guerra assumiram a posição de que a cobertura não estava disponível porque as exclusões de guerra nas apólices de todos os riscos não se aplicavam.

O tribunal concordou com as seguradoras de risco de guerra. Constatou que as exclusões de guerra nas apólices “All Risks” não se aplicavam porque “a guerra é um curso de hostilidade engajado por entidades que têm pelo menos atributos significativos de soberania” e que os sequestradores “eram os agentes de um grupo político radical, em vez de um governo soberano.” O tribunal argumentou que as exclusões não se aplicavam porque os atos dos sequestradores eram criminosos e não militares.

Mais recentemente, em Merck & Co., Inc., et al. v. ACE American Ins. Co.,2 a empresa farmacêutica processou sua seguradora de Riscos Corporativos por perdas sofridas como resultado de um ataque cibernético. A Merck foi vítima do malware NotPetya supostamente lançado contra a Ucrânia por partes afiliadas às forças armadas russas. Como resultado do ataque, as operações da Merck foram interrompidas globalmente porque não foi possível produzir vacinas e atender pedidos de produtos, resultando em perdas de US$ 1,4 bilhão (USD). A seguradora negou a alegação, argumentando que a exclusão de guerra se aplicava porque o NotPetya “era um instrumento da Federação Russa como parte de suas hostilidades em andamento contra a nação da Ucrânia”.

O tribunal discordou. O tribunal decidiu que a exclusão de guerra não se aplicava porque não incluía claramente os ataques cibernéticos. Nessas circunstâncias, a Merck “tinha todo o direito de antecipar que a exclusão se aplicava apenas às formas tradicionais de guerra”. Seguradoras de Riscos Cibernéticos certamente considerarão se um ataque cibernético contra alvos na Ucrânia ou na Rússia desencadeia uma exclusão de guerra à luz dessas e de outras decisões judiciais. No entanto, é importante notar que as decisões dos EUA podem ter pouco ou nenhum valor de precedência em outros países. A Lockton acredita que o raciocínio dos tribunais dos EUA é sólido e esperamos que as seguradoras de outras jurisdições o adotem quando um sinistro for apresentado.

A análise de uma seguradora de um sinistro e a exclusão de guerra dependerá muito dos fatos.

Nem sempre é fácil estabelecer a responsabilidade por um ataque cibernético, principalmente com o anonimato que o ciberespaço proporciona.

A atribuição depende de muitos fatores diferentes que podem não ser conclusivos. O processo de atribuição pode levar muito tempo. As seguradoras, portanto, não podem invocar a exclusão por medo de terminar em litígios onerosos com seus segurados, nos quais não podem ser confiantes em ganhar.

Vimos terceiros realizando ataques cibernéticos contra a Rússia e a Ucrânia. Por exemplo, o grupo de hackers Anonymous twittou que está envolvido em uma guerra cibernética com a Rússia. Uma exclusão de guerra se aplicaria a um ataque de um terceiro que simpatiza com um lado do conflito?

Embora a melhor interpretação deva ser que a exclusão não se aplica porque o Anonymous não é uma entidade com “atributos significativos de soberania”, resta saber qual posição as seguradoras tomarão.

Pode-se argumentar fortemente que a exclusão da guerra não é desencadeada por ataques cibernéticos que afetam as partes que são estranhas ao conflito e que não fizeram nada para se colocar em perigo. Como o tribunal da Merck observou (com base em decisões anteriores dos tribunais federais dos EUA e dos tribunais ingleses), as consequências remotas das hostilidades não suportam a aplicação de uma apólice de seguro de risco de guerra e, por extensão, uma exclusão de guerra. Esse raciocínio parece sustentar argumentos de que uma exclusão de guerra não se aplica a terceiros inocentes que são inadvertidamente prejudicados por um ataque cibernético dirigido contra uma das partes de um conflito militar.

Vale a pena repetir que a aplicabilidade de uma exclusão de guerra é extremamente dependente dos fatos de uma situação particular. Embora fortes argumentos possam ser apresentados de que um ataque cibernético no contexto de hostilidades militares não necessariamente desencadeia uma exclusão de guerra em uma apólice de Riscos Cibernéticos, cada conflito e cada reivindicação são únicos. Por essas razões, não é surpreendente que os subscritores estejam adotando uma abordagem de esperar para ver, para avaliar então a aplicabilidade da exclusão.

A aplicabilidade das exclusões de guerra pode mudar no futuro. As seguradoras nos informaram que estão analisando as exclusões existentes e avaliando se são necessárias alterações.

PREPARANDO-SE PARA O PIOR

A Agência de Segurança Cibernética e Segurança de Infraestrutura (Cybersecurity & Infrastructure Security Agency - CISA) do Departamento de Segurança Interna dos EUA emitiu um aviso “Shields Up” à luz do conflito na Ucrânia. A CISA recomenda que “as organizações – independentemente do tamanho – adotem uma postura redobrada quando se trata de segurança cibernética e proteção de seus ativos mais críticos” e cumpriu com um catálogo de serviços gratuitos para auxiliar as organizações. O Centro Nacional de Segurança Cibernética do Reino Unido também emitiu um guia de orientações.

De acordo com a orientação governamental, as organizações preocupadas com ataques contra suas operações na Rússia ou na Ucrânia ou ataques que se espalham e atingem operações fora desses países precisam garantir que sua higiene cibernética e defesas cibernéticas sejam o mais fortes possível. O conflito atual é uma boa oportunidade para revisar se os controles essenciais estão em vigor. Esses incluem:

• Patching de software em tempo hábil;

• Garantir que políticas e procedimentos de backup fortes estejam em vigor, incluindo o teste de backups regularmente;

• Implantação de fortes recursos de detecção e resposta internamente ou por meio de terceiros;

• Construir em redundância de sistemas críticos. As organizações também devem revisar seus planos de resposta a incidentes e resiliência de negócios para garantir que eles possam ser implementados de forma rápida e transparente se ocorrer um ataque. Não há como determinar antecipadamente se uma exclusão de guerra em uma apólice cibernética será aplicada antes que um ataque aconteça. No entanto, com a preparação adequada e conhecimento dos fatos e preocupações que podem afetar a aplicabilidade da exclusão, as organizações estarão bem-posicionadas para gerenciar o evento e quaisquer problemas de seguro cibernético, caso se concretizem.

Se sua organização estiver sujeita a um ataque cibernético, entre em contato imediatamente com seu corretor de seguros para que sua seguradora possa ser notificada. O envolvimento das seguradoras desde o início é essencial para garantir o acesso à cobertura do seguro cibernético.

Para mais informações, contate:

Maurício Bandeira

mauricio.bandeira@lockton.com