Uma das mensagens que Warren Buffett e o principal executivo de seguros da Berkshire Hathaway, Ajit Jain, enviaram aos investidores durante a crise da empresa assembleia anual de acionistas em Omaha no mês passado foi que o seguro cibernético, embora atualmente lucrativo, ainda tem muitas incógnitas e riscos para que a Berkshire, um grande player no mercado de seguros, se sinta totalmente confortável em subscrever.
O seguro cibernético tornou-se “um produto muito na moda”, disse Jain na reunião anual. E tem gerado dinheiro para as seguradoras, pelo menos até agora. Ele descreveu a rentabilidade actual como “bastante elevada” – pelo menos 20% do prémio total acabando nos bolsos das seguradoras. Mas na Berkshire, a mensagem enviada aos agentes é de cautela. A principal razão é a dificuldade em avaliar como as perdas de uma única ocorrência não se transformam numa agregação de potenciais perdas cibernéticas. Jain deu o exemplo hipotético de quando a plataforma de um grande provedor de nuvem “paralisa”.
“Esse potencial de agregação pode ser enorme, e não poder ter uma lacuna no pior caso é o que nos assusta”, disse ele.
“Não há lugar onde esse tipo de dilema seja mais importante do que o cibernético”, disse Buffett. “Você pode ter uma agregação de riscos com os quais nunca sonhou, e talvez pior do que algum terremoto acontecendo em algum lugar.”
Berkshire está no negócio de seguros cibernéticos
Os analistas do setor geralmente dizem que, embora parte da cautela da Berkshire seja justificada, o estado geral do mercado de seguros de segurança cibernética está se estabilizando à medida que se torna lucrativo. E Gerald Glombicki, diretor sénior do grupo segurador norte-americano da Fitch Rating, salienta que a Berkshire Hathaway está a emitir políticas de cibersegurança, apesar da cautela de Buffett. De acordo com a análise da Fitch, a Berkshire Hathaway é o sexto maior emissor dessas apólices. A Chubb, na qual a Berkshire revelou recentemente um grande investimento, e a AIG são as maiores.
“Agora mesmo [cybersecurity insurance] ainda é um modelo de negócios viável para muitas seguradoras”, disse Glombicki. Ainda é um mercado pequeno, representando apenas um por cento de todas as apólices emitidas, de acordo com Glombicki. Como o negócio de segurança cibernética é tão pequeno, dá às seguradoras liberdade para implementar vários políticas para ver o que está funcionando e o que não está, sem uma enorme exposição.
A Berkshire, assim como a Chubb e a AIG, não quiseram comentar.
“Há um elemento de imprevisibilidade que é muito perturbador, e eu entendo onde [Buffett] está vindo, mas acho que é realmente difícil evitar totalmente o risco cibernético”, disse Glombicki. Ele acrescentou, porém, que ainda não houve nenhum litígio significativo que atribua culpabilidade ou teste os limites das políticas, e até que os tribunais ouçam alguma culpabilidade casos, algumas seguradoras podem proceder com mais cautela.
‘Poderia quebrar a empresa’, diz Buffett
Os principais executivos da Berkshire Warren Buffett (L), Greg Abel (C) e Ajit Jain (R) durante a Assembleia Anual de Acionistas da Berkshire Hathaway em Omaha, Nebraska, em 4 de maio de 2024.
CNBC
O problema de redigir muitas apólices, mesmo com um limite de US$ 1 milhão por apólice, é se um “evento único” afetar 1.000 apólices. “Você escreveu algo pelo qual não estamos conseguindo o preço adequado e que pode quebrar a empresa”, disse Buffett.
Embora alguns líderes notáveis, como o antigo chefe da Segurança Interna, Michael Chertoff – que agora dirige uma empresa global de gestão de riscos de segurança – tenham apelado a algum tipo de apoio governamental à segurança cibernética, a maioria dos especialistas não acredita que isso seja necessário neste momento. Glombicki diz que, embora os federais estejam analisando o papel que podem desempenhar, a intervenção provavelmente não acontecerá até que um incidente a provoque.
Qualquer envolvimento do governo “provavelmente acontecerá após um grande e caro incidente cibernético”, disse ele. “Depois do 11 de Setembro, o governo montou um programa de risco terrorista. Na área cibernética, ainda não vimos um ataque dessa escala. Ainda estamos na fase de pensar sobre possíveis abordagens.”
Dados de seguros cibernéticos mostram crescimento e confiança do mercado
Embora o número de políticas de segurança cibernética em elaboração seja pequeno atualmente, os analistas não esperam que continue assim.
“As taxas estão caindo, o que mostra estabilidade no mercado”, disse Mark Friedlander, porta-voz do Insurance Information Institute. De acordo com os seus dados, estima-se que os prémios cibernéticos dupliquem na próxima década. Em 2022, os prêmios totalizaram US$ 11,9 bilhões. Até 2025, diz Friedlander, espera-se que dupliquem para 22,5 mil milhões de dólares e aumentem para 33,3 mil milhões de dólares até 2027.
“Este é claramente um dos segmentos de seguros que mais cresce. Mais empresas estão a elaborar apólices de segurança cibernética do que nunca”, disse Friedlander, atribuindo a confiança entre as seguradoras a taxas de subscrição e estabilização mais sofisticadas. Ele citou uma queda de 6% nas taxas de seguro de cibersegurança no primeiro trimestre de 2024, após uma queda de 3% em 2024, como um sinal claro de que as seguradoras se sentem mais confiantes em entrar no negócio.
“A maioria dos seguros comerciais, como automóveis, residências e seguros de vida, têm aumentado, então o declínio é significativo. É um sinal de estabilidade e um declínio na gravidade dos sinistros”, disse Friedlander.
E mais seguradoras estão entrando no mercado porque possuem as ferramentas e os dados para precificar o risco. “Se você puder fazer isso com bons preços, você escreverá essa cobertura”, disse Friedlander.
‘Você está perdendo dinheiro’
Buffett e seu principal assessor de seguros não concordam. É o “custo de perda” do seguro – qual poderia ser o custo dos produtos vendidos – que colocou a Berkshire em cima do muro com uma mudança maior em direção ao seguro cibernético. Jain disse que as perdas foram “bastante bem contidas” até o momento – não ultrapassando 40 centavos por dólar nos últimos quatro a cinco anos – mas acrescentou: “não há dados suficientes para poder pendurar o chapéu e dizer qual é o seu objetivo. o verdadeiro custo da perda é.”
Jain disse que, na maioria dos casos, os agentes da Berkshire são desencorajados a contratar seguros cibernéticos, a menos que precisem contratá-los para satisfazer necessidades específicas do cliente. E mesmo que o façam, Jain deixa-lhes esta mensagem: “Não importa quanto você cobre, você deve dizer a si mesmo que cada vez que assina uma apólice de seguro cibernético, você está perdendo dinheiro. Podemos discutir sobre quanto dinheiro você ‘ estamos perdendo, mas a mentalidade deveria ser que você não está ganhando dinheiro com isso… E então devemos partir daí.
Google Cloud diz que os riscos estão sendo exagerados
Existe uma perceção de que o risco cibernético está a mudar rapidamente e, portanto, é demasiado imprevisível para ser subscrito de forma sistemática, afirma Monica Shokrai, responsável pelo risco empresarial e seguros da Google Cloud. Mas ela acrescentou que a percepção não corresponde à realidade e que o risco pode ser largamente gerido.
“Não temos a mesma opinião de Warren Buffet sobre o assunto”, disse ela. Na opinião do Google, a maioria das perdas cibernéticas pode ser evitada ou mitigada através de higiene cibernética básica.
“Ao compreender a segurança, você pode chegar a um ponto onde seus controles estão muito melhores, onde o risco é mais gerenciável”, disse Shokrai. Entretanto, os ataques devastadores dos Estados-nação estão numa categoria separada e têm sido raros. As seguradoras já estão se vacinando contra riscos potenciais, fazendo exclusões para certos eventos catastróficos. Muitas políticas de segurança cibernética oferecem isenções de cobertura para ataques de estados-nação.
“O que eles estão tentando fazer é permanecer resilientes e solventes no caso de um evento generalizado; o que eles fizeram para administrar isso foi incluir exclusões”, disse Shokrai, e isso inclui infraestrutura crítica, guerra cibernética e outros eventos perturbadores generalizados. .
Ambiguidades e subjetividades permanecem. E se alguém for vítima de um ataque cibernético de uma gangue estrangeira que não esteja oficialmente ligada a um Estado-nação, mas que possa ter recebido algum apoio logístico auxiliar? Uma companhia de seguros pode invocar uma exclusão do Estado-nação? Shokrai diz que categorizar como atribuir um evento é tema de muito debate entre as seguradoras. “Esse é um grande debate entre as companhias de seguros; é uma distinção importante que precisa de clareza”, disse Shokrai.
Alguns especialistas dizem que é a ambiguidade em torno das margens do setor que assusta investidores como Buffett e empresas de seguros como a Berkshire. Mas até agora, o negócio provou ser sólido em geral. “Ainda é um modelo de negócio viável para muitas seguradoras”, disse Josephine Wolff, professora associada de política de segurança cibernética na Escola Fletcher da Universidade Tufts, que tem estudado o mercado em evolução nos últimos anos. Mas ela acrescentou que a crença de que o negócio é viável não significa que as coisas não estejam mudando constantemente, apontando para o recente aumento de ransomware nos últimos dois anos, que viu grandes pagamentos por parte das companhias de seguros – embora notavelmente ainda não sejam suficientes para tornar o negócio não rentável para a maioria dos emitentes.
O seguro cibernético ajuda a tornar todo o ecossistema mais seguro, de acordo com Steve Griffin, cofundador da L3 Networks, um provedor de serviços gerenciados com sede na Califórnia, especializado em segurança cibernética. As políticas exigem que as empresas cumpram determinados padrões cibernéticos para obter cobertura, e quanto mais empresas se inscreverem para a cobertura, mais seguro se tornará todo o sistema. E se uma empresa sabe que terá uma reclamação negada se não tiver algumas salvaguardas básicas de segurança cibernética em vigor, isso funciona como um incentivo para implementá-las.
A Berkshire acredita que o negócio crescerá, mas não tem certeza a que custo. “Meu palpite é que em algum momento isso poderá se tornar um grande negócio, mas poderá estar associado a enormes perdas”, disse Jain.
“Vou lhe dizer que a maioria das pessoas quer estar em qualquer coisa que esteja na moda quando subscrevem seguros. E o ciberespaço é uma questão fácil”, disse Buffett. “Você pode escrever muito. Os agentes gostam. Eles estão recebendo a comissão sobre cada apólice que escrevem. … Eu diria que a natureza humana é tal que a maioria das companhias de seguros ficará muito entusiasmada e seus agentes ficarão muito animado, e está muito na moda e é interessante, e como Charlie [Munger] diria, pode ser veneno de rato.”
Embora Griffin compreenda a cautela de Buffett, ele vê uma divisão geracional em relação às perspectivas de risco e está optimista em relação ao sector dos seguros de cibersegurança.
“Provavelmente Warren Buffet teria considerado o seguro de cibersegurança uma oportunidade quando era mais jovem”, disse ele.
