O aumento do potencial de perdas, as ameaças impulsionadas pela IA e a exposição à tecnologia legada estão forçando seguradoras e compradores a repensar os limites cibernéticos, o desenho da cobertura e o monitoramento de riscos.
O risco cibernético não é mais definido por um único cenário de violação ou um conjunto restrito de controles. À medida que os agentes de ameaças se multiplicam e as técnicas de ataque se tornam mais sofisticadas, as empresas enfrentam uma realidade mais difícil: a escala de perdas potenciais aumentou e muitos programas de seguro cibernético existentes não estão mais calibrados para essa exposição.
Para Andy Lea [na foto], diretor de seguros para linhas profissionais da Embroker, a mudança mais significativa que vê é estrutural, e não teórica. “Com o aumento das exposições, dos agentes de ameaças, dos vetores de ameaças e das exposições, as empresas precisam de mais limites para serem adequadamente protegidas”, disse. “Elas certamente precisam das formas e coberturas de apólices mais recentes para serem adequadamente protegidas.”
Essa pressão por limites mais altos está se desenrolando juntamente com uma reavaliação mais ampla de como as apólices cibernéticas interagem com o risco profissional, especialmente à medida que a inteligência artificial se torna incorporada aos fluxos de trabalho diários das empresas.
Limites aumentam conforme perdas se tornam mais difíceis de limitar
Durante grande parte da última década, a compra de seguros cibernéticos foi impulsionada por listas de verificação focadas em ransomware, interrupção dos negócios e resposta a violações. Lea disse que a conversa mudou para escala e agregação.
À medida que as ferramentas baseadas em IA reduzem a barreira para os invasores, as perdas se movem mais rapidamente e se espalham mais amplamente. A clonagem de voz, o phishing automatizado e a engenharia social habilitada por IA facilitam a exploração do comportamento humano em alta velocidade. “As empresas precisam de mais limites”, disse Lea, não apenas porque os ataques são mais frequentes, mas porque as consequências financeiras podem se agravar rapidamente.
Ao mesmo tempo, a redação das apólices está sob maior escrutínio. Formulários mais antigos muitas vezes não contemplam vetores de ataque mais recentes ou fatores de custo emergentes, deixando os segurados expostos de maneiras sutis, mas significativas. Como resultado, a atualidade da cobertura é tão importante quanto o preço.
A engenharia social muda o foco dos sistemas para as pessoas
A engenharia social habilitada por IA surgiu como uma das áreas de risco mais graves, com Lea enfatizando que a disciplina do processo é tão importante quanto a tecnologia.
“As seguradoras e os corretores desempenham um papel importante”, disse ele. Os corretores geralmente permanecem mais próximos dos clientes, ajudando-os a entender como se apresentar como riscos sólidos do ponto de vista da subscrição. As seguradoras, por sua vez, apoiam cada vez mais essas conversas por meio de serviços pré-violação e orientação sobre riscos.
Dívida tecnológica surge como exposição subestimada
Uma das divisões mais acentuadas que Lea observa na experiência com sinistros é entre as empresas de tecnologia mais novas e as organizações mais estabelecidas. As startups, disse ele, muitas vezes se beneficiam da ausência de dívida tecnológica.
“Os clientes com quem lidamos são pequenas empresas de tecnologia que não têm nenhuma dívida tecnológica”, disse ele. “Elas estão na nuvem, usando as melhores e mais recentes ferramentas de proteção de rede e segurança cibernética. Elas têm menos sinistros e, quando os têm, não são tão grandes.”
Os sistemas legados contam uma história diferente. Redes e aplicativos mais antigos são mais difíceis e caros de defender, criando vulnerabilidades que são difíceis de quantificar, mas afetam significativamente o risco cibernético. Lea disse que muitas organizações subestimam o custo real dessa exposição. “Do ponto de vista da segurança cibernética, elas estão subestimando o custo dessa tecnologia”, disse ele. Atualizar a infraestrutura, acrescentou, é tanto uma decisão de risco quanto uma decisão tecnológica.
IA complica fronteira entre risco cibernético e risco profissional
À medida que a IA se torna incorporada aos serviços profissionais, Lea alertou que o seguro cibernético por si só muitas vezes é insuficiente. “Quando uma empresa usa IA em seus serviços profissionais, a cobertura que as apólices cibernéticas oferecem é, na verdade, bastante limitada”, disse ele.
Para empresas que prestam serviços usando IA, a cobertura contra erros e omissões se torna crítica. Lea disse que muitas vezes há uma “cobertura silenciosa” para IA nas apólices profissionais, mas esse silêncio cria incerteza. Exclusões explícitas continuam relativamente raras, mas existem.
A Embroker respondeu elaborando um endosso que torna a cobertura relacionada à IA mais explícita. “As empresas que oferecem IA em seus serviços profissionais precisam garantir que tenham uma apólice de responsabilidade profissional verdadeira, além da cibernética, e que ela não tenha exclusões de IA”, disse Lea.
Subscrição caminha para o monitoramento contínuo
Olhando para o futuro, Lea espera que a IA desempenhe um papel cada vez mais importante não apenas na criação de riscos, mas também na própria subscrição. Os processos de envio, as ferramentas de monitoramento e os sinais de risco estão se tornando cada vez mais automatizados. “Haverá cada vez mais uso de IA na subscrição”, disse ele, incluindo o monitoramento ampliado ao longo do prazo da apólice.
Para empresas em fase de crescimento, essa mudança traz implicações práticas. Entender como as seguradoras avaliam e monitoram os riscos está se tornando tão importante quanto
Para empresas em fase de crescimento, essa mudança traz implicações práticas. Entender como as seguradoras avaliam e monitoram os riscos está se tornando tão importante quanto adquirir a cobertura em si. Em um mercado moldado pela IA em ambos os lados da equação, a mensagem é clara: a proteção depende de limites adequados, cobertura moderna e uma visão realista de como as escolhas tecnológicas moldam os riscos.
