Ataques cibernéticos deixam de ser um tema restrito às equipes de TI e passam a figurar entre as maiores preocupações estratégicas do mercado de seguros e, especialmente, de resseguros. A combinação entre ataques mais sofisticados, forte interconectividade entre sistemas e dependência crescente de fornecedores externos cria um cenário de risco com potencial de efeito cascata, capaz de atingir não apenas a operação, mas também a reputação, o valor de mercado e a continuidade dos negócios.
O episódio recente envolvendo o envio de um alerta extremo da Defesa Civil para celulares, registrado em um sábado (20), reacendeu o debate sobre a segurança de sistemas públicos críticos. Embora a maior parte das discussões sobre cibersegurança ainda se concentre no setor privado, estruturas governamentais que armazenam grandes volumes de dados e operam serviços essenciais – como segurança pública, saúde, infraestrutura, meios de pagamento e resposta a emergências – passaram a ser vistas como pontos de atenção prioritária. Uma falha, invasão ou indisponibilidade nesses ambientes tem potencial para causar impactos sistêmicos, afetando milhões de pessoas simultaneamente.
O mercado de resseguros observa com apreensão não apenas a frequência dos incidentes, mas principalmente a profundidade dos danos causados por ataques de grande escala. Estudo de uma corretora global, que avaliou 1.414 eventos cibernéticos no mundo, identificou 56 casos que evoluíram para crises com forte repercussão reputacional. Nessas situações, as empresas impactadas sofreram, em média, uma perda de 27% em seu valor de mercado. Os números evidenciam que o custo de um ataque vai muito além da recuperação de sistemas ou pagamento de resgates: ele se estende à confiança dos investidores, à percepção dos consumidores e à capacidade de a organização se manter competitiva.
Paralelamente, o segmento de seguros cibernéticos permanece inserido em um ambiente de acirrada competição. Dados de uma corretora global mostram que o mercado encerrou o primeiro trimestre de 2025 com redução média de 7% nas taxas cobradas, acumulando dez trimestres consecutivos de queda de preços. À primeira vista, esse movimento pode ser percebido como um benefício para empresas contratantes, mas para o universo de resseguro ele acende um sinal amarelo: a pressão por preços mais baixos não elimina o risco subjacente e, em muitos casos, pode mascarar uma subprecificação estrutural.
Especialistas destacam que o avanço dos controles de segurança não tem sido suficiente para neutralizar o aumento da complexidade dos ataques e da exposição. As ameaças evoluem em ritmo acelerado, e o risco cibernético deixa de ser um incidente isolado de tecnologia para se transformar em um vetor capaz de gerar perdas em massa, interromper cadeias inteiras de produção e serviços, comprometer marcas consolidadas e pressionar o capital disponível no mercado de seguros e resseguros.
Esse entendimento é reforçado pela presidente da Federação Nacional das Empresas de Resseguros (Fenaber), Rafaela Barreda. Para ela, o risco cibernético precisa ser encarado com uma visão ampliada e integrada. Segundo a executiva, não se trata apenas de cobrir incidentes pontuais, mas de avaliar o potencial de correlação entre empresas, setores e infraestruturas compartilhadas. Em outras palavras, um único ataque bem-sucedido pode reverberar por diversos atores da mesma cadeia, afetando, simultaneamente, múltiplas apólices e contratos de resseguro.
A dependência crescente de terceiros e de ambientes compartilhados é um dos fatores que tornam esse desafio ainda mais complexo. Estudo de mercado indica que os incidentes de ransomware reportados por clientes cresceram 24% em 2024, enquanto os riscos ligados a fornecedores externos continuam entre as maiores preocupações dos gestores de risco. Serviços em nuvem, plataformas de pagamentos, integradores de sistemas e provedores de software críticos se tornaram pontos de concentração de risco: quando um deles é comprometido, dezenas ou centenas de empresas podem ser afetadas ao mesmo tempo.
No contexto brasileiro, o ataque à C&M Software, empresa intermediária do sistema Pix, tornou ainda mais concreto o temor de um evento cibernético de grande impacto sobre a infraestrutura financeira. O caso, apontado em análises setoriais como um dos mais graves já registrados no país, envolveu o vazamento de 392 gigabytes de dados e prejuízos estimados em mais de R$ 1 bilhão. Além dos danos diretos, o episódio colocou em evidência o risco sistêmico associado a provedores que atuam em pontos sensíveis da engrenagem financeira nacional, como transferências instantâneas e serviços de liquidação.
Para o resseguro, eventos dessa natureza funcionam como um teste de estresse real. Eles colocam à prova modelos de precificação, limites de capacidade e metodologias de avaliação de correlação de riscos. De acordo com Rafaela Barreda, o cenário atual – que combina incidentes mais sofisticados com ciclos de redução de preços – exige rigor técnico máximo na análise de exposições. Na visão dela, é essencial diferenciar movimentos naturais de mercado, como ajustes pontuais de prêmio, de situações em que há um descompasso estrutural entre o risco assumido e o valor cobrado pelas coberturas.
A executiva aponta que, sem uma base de dados robusta, sem requisitos mínimos de segurança por parte dos segurados e sem uma leitura cuidadosa das interdependências entre setores e fornecedores, a capacidade do mercado pode ser corroída por eventos de baixa frequência, mas de altíssimo impacto. São os chamados eventos catastróficos cibernéticos, capazes de gerar perdas agregadas em diversas carteiras e comprometer o resultado de anos de operação.
Nesse contexto, o debate sobre efeito cascata torna-se central. Ao contrário de um sinistro tradicional, muitas vezes restrito a um único ativo físico ou a um evento localizado, o ataque cibernético moderno pode se propagar por meio de integrações digitais, uso compartilhado de plataformas, dependência de APIs, serviços de autenticação e de comunicação em nuvem. Um erro de configuração ou uma vulnerabilidade em um fornecedor crítico pode abrir portas para invasores atingirem, em uma única campanha, empresas de portes e setores diferentes, espalhadas por vários países.
Outro ponto sensível, frequentemente subestimado, é o dano reputacional. Em um ambiente no qual consumidores e investidores são cada vez mais sensíveis à proteção de dados e à continuidade dos serviços digitais, a forma como a empresa responde a um incidente é determinante para a extensão das perdas. Atrasos na comunicação, falta de transparência, respostas pouco coordenadas e ausência de planos de contingência e continuidade de negócio aumentam a percepção de fragilidade, potencializando a queda de valor de mercado identificada nos estudos globais.
Para mitigar esses riscos, resseguradoras e seguradoras têm intensificado exigências de governança de segurança cibernética como pré-requisito para a concessão de coberturas. Não se trata apenas de verificar a existência de firewalls ou antivírus, mas de avaliar processos de gestão de identidade, políticas de backup e recuperação, segmentação de redes, resposta a incidentes, auditoria de terceiros e maturidade em testes de intrusão e monitoramento contínuo. Em muitos casos, o seguro cibernético é condicionado a planos de melhoria, com cronogramas de adequação acompanhados pelas áreas técnicas.
Ao mesmo tempo, cresce a demanda por modelagens de risco mais sofisticadas. O setor de resseguros busca ferramentas que permitam simular cenários de eventos extremos, mapeando o potencial de propagação de ataques e o acúmulo de perdas em vários contratos. Isso inclui o uso de inteligência de ameaças, análise de big data, avaliação de concentrações em determinados provedores de nuvem ou em segmentos estratégicos, como infraestrutura financeira, saúde, energia e logística. A ideia é construir uma visão de portfólio que considere não apenas o risco isolado de cada segurado, mas o impacto agregado de um ataque coordenado.
Para as empresas contratantes, o momento também é de redefinição da forma como o risco cibernético é tratado internamente. Deixar esse tema apenas nas mãos de TI é, cada vez mais, uma estratégia insuficiente. Conselhos de administração, áreas de finanças, jurídico, comunicação e continuidade de negócios precisam atuar de maneira integrada na definição de apetite a risco, priorização de investimentos em proteção, gestão de crises e contratação de seguros e resseguros. O risco deixa de ser apenas técnico e passa a ser também financeiro, regulatório e de imagem.
No setor público, a responsabilidade é ainda maior. Órgãos governamentais que operam sistemas críticos – como meios de alerta à população, cadastros de benefícios sociais, plataformas de arrecadação de tributos, registros de saúde e sistemas eleitorais – precisam adotar padrões elevados de segurança e de governança digital. Em caso de falha ou ataque, as consequências podem incluir interrupção de serviços essenciais, desorganização de políticas públicas e perda de confiança da sociedade nas instituições.
O cenário atual, marcado por ataques frequentes e por incidentes de grande repercussão, coloca o risco cibernético no centro da agenda estratégica do mercado de resseguros. A tendência é que, nos próximos anos, aumente a exigência de transparência, de compartilhamento de informações sobre incidentes e de mensuração mais precisa das exposições. Ao mesmo tempo, organizações que investirem de forma consistente em cibersegurança, governança e planos de continuidade de negócios tendem a encontrar melhores condições de seguro, com coberturas mais adequadas e preços mais alinhados ao seu perfil real de risco.
Em síntese, os ataques cibernéticos deixaram de ser um problema “de bastidores” e passaram a representar um tema crítico para a estabilidade financeira, para a confiança nos mercados e para a resiliência das economias. Para o setor de resseguros, o desafio é conciliar competitividade na precificação com disciplina técnica, visão de longo prazo e capacidade de antecipar os efeitos em cascata que um único evento pode desencadear em um ecossistema cada vez mais digital e interconectado.
