As possibilidades para reaver prejuízos causados a empresas pelo apagão cibernético desta sexta-feira (19) ainda não são claras. Enquanto seus sistemas são gradualmente reestabelecidos, elas calculam as potenciais perdas relacionadas à paralisação de operações e as possibilidades de redução das perdas.
A atualização de um produto da empresa de segurança cibernética CrowdStrike está sendo apontada como o gatilho para o apagão, afetando clientes que usam o sistema operacional Windows, da Microsoft (MSFT34). A Microsoft disse que o problema já foi corrigido.
Ocorre que contratos com grandes companhias de tecnologia costumam implicar em uma responsabilidade bastante limitada para eventos como o desta segunda-feira, e até os seguros disponíveis normalmente não englobam situações desse tipo, apontam fontes ouvidas pelo InfoMoney.
Continua depois da publicidade
Os contratos com a Microsoft, por exemplo, ocorrem por meio de SLA (Service Level Agreement, ou acordo de nível de serviço, em tradução livre). São compromissos assumidos pela prestadora para garantir que, caso determinadas aplicações não funcionem ou sua paralisação não seja resolvida em um prazo específico, ela deve ressarcir a contratante.
A ação da Microsoft hoje foi razoavelmente rápida, segundo fontes. No Brasil, pela manhã, o problema já estava resolvido, o que deve reduzir o caso de companhias brasileiras reivindicando o ressarcimento, normalmente feito por meio de créditos de desconto no pagamento em meses seguintes.
Os seguros cibernéticos que tem se popularizado entre grandes corporações, como companhias aéreas e bancos em busca de proteção contra ciberataques, também não devem dar conta de amortizar as perdas. “A maioria das apólices cibernéticas não cobrem responsabilidades decorrentes de falha do sistema, portanto, as exposições podem ser inferiores ao previsto”, diz Marta Schuh, diretora de Cyber e Tech Insurance na Howden.
Continua depois da publicidade
Processos de consumidores
Pelos próximos dias, companhias ainda devem enfrentar ações de danos aos consumidores afetados pela paralização. Ainda que sejam apenas contratantes dos serviços de Microsoft e Crowdstrike, não estão imunes a obrigações de ressarcimento.
Em nota à imprensa, o Procon-SP afirma que “o Código de Defesa do Consumidor resguarda os direitos de quem eventualmente tiver prejuízos, bem como estabelece deveres para os fornecedores igualmente impactados, os quais precisam prestar aos seus clientes informações claras e precisas sobre quais as condutas mais adequadas que o consumidor deve adotar”.
Segundo o sócio da área de Proteção de Dados e Cybersecurity do BMA Advogados, Felipe Palhares, é possível que essas empresas sejam condenadas ao pagamento de ressarcimento aos consumidores. “No nosso sistema, o Código de Defesa do Consumidor é bem abrangente e coloca toda a cadeia de fornecimento como responsável, em tese, por um determinado evento”, diz.
Continua depois da publicidade
Em função das declarações da própria CrowdStrike e as repercussões do caso durante o dia, parece “razoavelmente fácil” comprovar que a falha foi causada por um terceiro, mas ainda não é possível ter certeza quanto às possíveis decisões judiciais.