Seguro cibernético: o que cobre, o que não cobre e como se qualificar

Maio 10, 2026
George Rouse
Seguro cibernético

De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 44% dos MSPs relatam que pelo menos 10% de seus clientes sofreram um ataque cibernético em 2025. Esse número explica por que o seguro cibernético deixou de ser opcional para se tornar essencial para a maioria das empresas e para todos os MSPs que as atendem.

O mercado passou por um ciclo dramático. Os prêmios aumentaram 73% em 2021 e mais de 50% em 2022, à medida que as perdas decorrentes de ransomware se acumulavam. A pressão competitiva, por sua vez, fez com que as taxas caíssem ao longo de 2023, 2024 e grande parte de 2025. No início de 2026, essa desaceleração está estagnando: analistas da WTW e da S&P Global projetam um aumento nos prêmios de 15% a 20% nos próximos 12 meses, impulsionado pela crescente gravidade dos ataques de ransomware e pela pressão do resseguro. O mercado global de seguros cibernéticos atingiu aproximadamente US$ 16 bilhões em 2025 e deve ultrapassar US$ 23 bilhões até 2026.

As questões mais complexas não são se se deve contratar um seguro cibernético, mas sim que tipo de cobertura buscar, como se qualificar em um mercado onde as seguradoras se tornaram significativamente mais rigorosas e como evitar as exclusões que deixam as organizações desprotegidas justamente no momento em que mais precisam da apólice. A plataforma da Kaseya auxilia os MSPs a orientar seus clientes exatamente nessa questão, e este guia aborda o que todo MSP e equipe de TI precisa entender.

O que o seguro cibernético cobre

As apólices de seguro cibernético variam significativamente entre as seguradoras, mas as apólices mais abrangentes incluem cobertura em várias categorias.

Os custos diretos são despesas que a organização segurada incorre diretamente em consequência de um incidente: serviços de investigação forense e resposta a incidentes, recuperação de dados e restauração de sistemas, perdas decorrentes da interrupção das atividades durante o tempo de inatividade, comunicação de crise e relações públicas, além de assessoria jurídica.

A responsabilidade civil perante terceiros cobre reclamações de clientes, parceiros ou outras partes cujos dados tenham sido comprometidos ou cujos sistemas tenham sido afetados por uma violação originada no ambiente do segurado. Isso é particularmente relevante para os MSPs, cujo comprometimento do ambiente pode se propagar para os ambientes dos clientes e gerar um risco agregado de responsabilidade civil.

Os custos relacionados ao ransomware incluem a resposta a incidentes, serviços de negociação de resgate e, em algumas apólices e jurisdições, o próprio pagamento do resgate, nos casos em que tal pagamento seja legalmente permitido e operacionalmente necessário. Observe que os pagamentos de resgate se tornaram juridicamente complexos: as sanções do OFAC dos EUA se aplicam a pagamentos a determinados grupos de agentes maliciosos, sendo essencial a consultoria jurídica antes de qualquer decisão de pagamento.

A cobertura para defesa regulatória e multas abrange custos jurídicos e acordos relacionados a investigações regulatórias decorrentes de uma violação. Isso é fundamental para organizações sujeitas à HIPAA, PCI DSS, CCPA ou outras normas com consequências significativas em termos de fiscalização.

A extorsão cibernética vai além do ransomware, abrangendo ameaças de divulgação de dados, extorsão por meio de ataques DDoS e outras táticas de pressão que não chegam a envolver a criptografia total dos dados.

A fraude por engenharia social e transferência de fundos abrange ataques de comprometimento de e-mails corporativos (BEC) que resultam em transferências bancárias fraudulentas. Essa cobertura não é universalmente incluída e, muitas vezes, está sujeita a sublimites específicos significativamente inferiores ao limite principal da apólice.

O que o seguro cibernético não cobre

Compreender as exclusões é tão importante quanto compreender a cobertura. Mais de 40% dos pedidos de indenização de seguros cibernéticos em 2026 não resultam em pagamento, e as exclusões são o motivo mais comum.

Violações pré-existentes. Incidentes que tiveram início antes da data de vigência da apólice são normalmente excluídos. Muitos operadores de ransomware obtêm acesso semanas ou meses antes de lançar a carga maliciosa, criando uma lacuna significativa na cobertura caso a invasão inicial tenha ocorrido antes da data de início da apólice.

Vulnerabilidades conhecidas e não corrigidas. As apólices excluem cada vez mais incidentes atribuíveis a vulnerabilidades conhecidas que o segurado tinha motivos razoáveis para corrigir. Se uma violação explorar um CVE que tenha sido divulgado publicamente e estivesse corrigível seis meses antes do incidente, a cobertura poderá ser negada. Essa exclusão torna o gerenciamento de patches uma obrigação direta do seguro, e não apenas uma prática recomendada de segurança.

Ataques perpetrados por Estados-nação. Historicamente, as exclusões relacionadas à guerra abrangiam a guerra convencional. A Lloyd’s of London atualizou seus requisitos de mercado em 2023 para excluir formalmente as perdas decorrentes de ataques cibernéticos apoiados por Estados em muitas apólices independentes. As organizações que atuam em infraestruturas críticas, serviços financeiros e na cadeia de suprimentos da defesa enfrentam a maior exposição a esse risco. A redação varia significativamente entre as apólices e merece uma análise jurídica cuidadosa.

Eventos não dolosos. As apólices de seguro cibernético cobrem eventos dolosos. Falhas de hardware, erros humanos sem intenção dolosa e exposição acidental de dados geralmente se enquadram em diferentes tipos de cobertura, como erros e omissões.

Sublimites. Muitas categorias de cobertura apresentam sublimites significativamente inferiores ao limite total da apólice. Interrupção de atividades, engenharia social e cryptojacking são categorias comuns sujeitas a sublimites. Uma apólice com um limite de US$ 5 milhões pode ter um sublimite de US$ 250.000 para perdas decorrentes de engenharia social. Compreender os sublimites é essencial para qualquer avaliação realista da cobertura.

Como mudou o processo de subscrição

A subscrição de seguros cibernéticos tornou-se significativamente mais restritiva entre 2020 e 2022. A frequência e a gravidade dos incidentes envolvendo ransomware geraram perdas significativas para as seguradoras, o que levou a aumentos nos prêmios, reduções na cobertura e requisitos de segurança substancialmente mais rigorosos antes da emissão da apólice.

O mercado passou por uma fase de flexibilização entre 2022 e 2025, à medida que a pressão competitiva entre as seguradoras levou à redução das taxas e ao aumento da capacidade. Essa flexibilização não resultou em uma diminuição dos requisitos de segurança. As seguradoras que reduziram os prêmios mantiveram ou aumentaram seus requisitos de controle, criando um mercado em que a cobertura está mais acessível, mas os critérios de qualificação não foram flexibilizados.

A partir de 2026, o rigor na análise de subscrição está se intensificando novamente. As seguradoras estão concentrando-se cada vez mais em evidências da implementação de controles, em vez de meras declarações. Os programas de gestão de riscos de terceiros estão se tornando um requisito, e não mais um diferencial. As organizações que não conseguem demonstrar uma postura de segurança atualizada e documentada estão enfrentando a indisponibilidade de cobertura ou preços proibitivos.

A mudança na prática: organizações que antes seriam aprovadas com uma declaração de uma página agora precisam responder a questionários detalhados de segurança, cumprir requisitos técnicos obrigatórios e, em alguns casos, passar por avaliações externas de segurança antes que as apólices sejam emitidas. As seguradoras tornaram-se, na prática, um mecanismo de pressão baseado no mercado para garantir o cumprimento das normas básicas de segurança.

O que as seguradoras exigem atualmente

A maioria das seguradoras cibernéticas de renome exige os seguintes controles de segurança básicos antes de emitir a cobertura.

Autenticação multifatorial em todos os acessos remotos, e-mails e contas privilegiadas. A violação de segurança da Change Healthcare em 2024, na qual um portal Citrix desprotegido e sem autenticação multifatorial foi explorado, resultando no pagamento de um resgate de US$ 22 milhões e em custos de resposta imediata de US$ 872 milhões, tornou-se a referência padrão do setor para demonstrar por que a autenticação multifatorial é imprescindível. Atualmente, muitas seguradoras perguntam especificamente sobre a cobertura de autenticação multifatorial para cada aplicativo, em vez de aceitar uma resposta genérica afirmativa.

A detecção e resposta em terminais (EDR) é implantada em todos os terminais, e não apenas nos servidores. Os antivírus tradicionais já não são suficientes para a maioria das políticas. Algumas seguradoras agora perguntam se o EDR é gerenciado ou não, sendo que o EDR gerenciado (MDR) recebe condições mais favoráveis.

Gerenciamento de acesso privilegiado com autenticação multifatorial (MFA) e controles de acesso “just-in-time” em contas administrativas. A separação entre o acesso diário e o acesso privilegiado tem se tornado cada vez mais uma questão específica de avaliação de risco.

Gerenciamento de patches com um processo documentado e comprovação de prazos razoáveis para a correção de vulnerabilidades críticas. As seguradoras estão deixando de se limitar a perguntar se existe um gerenciamento de patches para passar a exigir métricas: tempo médio para corrigir CVEs críticas e porcentagem de terminais em conformidade com a política de patches.

Backups testados e isolados. Backups que existem, mas que ficam na mesma rede que os sistemas de produção e são acessíveis a ransomware, não oferecem nenhum valor de recuperação nem benefício de seguro. As seguradoras exigem comprovação de backups isolados da rede ou offline, armazenamento imutável e resultados documentados de testes de recuperação. Backups que nunca foram testados são cada vez mais considerados como se não existissem.

Treinamento de conscientização sobre segurança com comprovação da realização e, em muitos casos, resultados de simulações de phishing. Algumas seguradoras exigem comprovação de que o treinamento seja realizado pelo menos trimestralmente, em vez de anualmente.

Plano de resposta a incidentes com comprovação de testes realizados por meio de simulações. Um plano documentado que nunca foi testado constitui uma evidência menos sólida do que um plano testado com resultados documentados.

Os controles de segurança que determinam a cobertura e o prêmio

A relação entre os controles de segurança e a economia dos seguros é bidirecional.

Organizações com controles de segurança sólidos e documentados têm direito a uma cobertura mais ampla, limites mais altos e prêmios mais baixos. O investimento em segurança gera um retorno financeiro mensurável na forma de redução dos custos com seguros, além do benefício principal de diminuir o risco de incidentes.

Organizações com controles fracos ou não documentados enfrentam prêmios mais altos, limites mais baixos, mais sublimites, franquias mais elevadas e, em alguns casos, a indisponibilidade de cobertura. Um MSP que auxilia um cliente a documentar sua postura de segurança para uma renovação não está apenas prestando um serviço de conformidade. Ele está melhorando diretamente a economia do seguro desse cliente.

O histórico de sinistros afeta significativamente as condições de renovação. Uma organização que tenha sofrido uma violação grave pode enfrentar condições de cobertura substancialmente alteradas na renovação, independentemente das melhorias implementadas após o incidente. Os 12 meses seguintes a um sinistro grave costumam ser o período de seguro mais caro para uma empresa.

Do ponto de vista de um MSP, ajudar os clientes a atingir e documentar os requisitos mínimos de segurança exigidos pelas seguradoras representa tanto um valor agregado na prestação de serviços quanto uma função de gestão de riscos. Isso reduz os custos de seguro do cliente, diminui a exposição do próprio MSP a responsabilidades decorrentes de incidentes envolvendo o cliente e fortalece o posicionamento do MSP como consultor.

Seguro cibernético para MSPs

Os MSPs têm duas considerações distintas em relação ao seguro cibernético: a cobertura interna para suas próprias operações e a função de assessoria aos clientes, ajudando-os a obter e manter a cobertura.

A cobertura interna deve refletir o perfil de risco específico das operações dos MSPs. O acesso com privilégios elevados a diversos ambientes de clientes gera um risco de responsabilidade civil que é fundamentalmente diferente do encontrado em uma função de TI de uma única organização. Uma violação de segurança em um MSP pode se propagar simultaneamente para dezenas de ambientes de clientes, gerando uma responsabilidade civil agregada perante terceiros que uma apólice cibernética comercial padrão provavelmente não cobrirá de forma adequada. As apólices cibernéticas para MSPs devem incluir cobertura específica para responsabilidade civil perante clientes terceiros e limites proporcionais ao valor agregado da carteira de clientes.

A oportunidade de consultoria é significativa e está em crescimento. Cada vez mais, os MSPs são solicitados a ajudar os clientes a documentar controles de segurança para questionários de subscrição, garantir que os serviços prestados estejam em conformidade com os requisitos das apólices e assessorar sobre a adequação da cobertura. Trata-se de uma extensão natural da oferta de serviços de segurança gerenciados e gera uma oportunidade de receita: os serviços de consultoria em conformidade e de preparação para seguros são cada vez mais cobrados a taxas premium.

A harmonização contratual é fundamental. Os contratos de prestação de serviços de MSP devem abordar claramente a responsabilidade por incidentes de segurança, as obrigações de notificação de violações e o âmbito da responsabilidade pela proteção dos dados do cliente. O seguro cibernético e os termos contratuais devem ser analisados em conjunto. Um MSP cujo contrato limite a responsabilidade a três meses de honorários, mas cuja violação de dados do cliente gere US$ 2 milhões em indenizações a terceiros, apresenta uma lacuna de cobertura que precisa ser identificada antes que um incidente a provoque.

Como a Kaseya ajuda os MSPs a cumprir os requisitos das seguradoras

Kaseya 365 em uma única plataforma os controles de segurança que as seguradoras agora exigem, oferecendo aos MSPs tanto a proteção quanto o registro de evidências que os subscritores solicitam.

O Datto EDR oferece detecção e resposta em terminais em todos os terminais gerenciados, com recursos de detecção e resposta gerenciadas (MDR) para organizações que necessitam de uma camada de SOC monitorada. A comprovação da implantação do EDR e da resposta a alertas é uma questão padrão no processo de subscrição.

BullPhish ID oferece treinamento em conscientização sobre segurança e simulação de phishing em todos os ambientes dos clientes, com relatórios que documentam a frequência de entrega e os resultados dos funcionários para fins de documentação de subscrição.

Dark Web ID monitora continuamente credenciais comprometidas nos domínios dos clientes, detectando credenciais expostas antes que sejam exploradas. O monitoramento de credenciais é um requisito de subscrição cada vez mais comum.

A Inky oferece segurança de e-mail e proteção contra phishing com tecnologia de IA, combatendo o vetor de ameaças de engenharia social responsável pela maioria dos eventos de acesso inicial.

O Datto SIRIS oferece backup isolado e imutável com verificação automatizada por captura de tela, gerando os registros documentados dos testes de recuperação que as seguradoras exigem cada vez mais como prova de que os backups são realmente restauráveis.

Compliance Manager GRC gera a documentação sobre a postura de segurança e o histórico de evidências de conformidade exigidos pelos questionários de subscrição, para vários clientes a partir de uma única plataforma.

Para os MSPs que se qualificam, o programa Kaseya Cyber Insurance Fast Track, disponível através KaseyaOne parceria com a Cysurance, oferece cobertura pré-aprovada de responsabilidade cibernética de até US$ 1,5 milhão para MSPs e seus clientes que tenham implementado a suíte de segurança da Kaseya. Os MSPs qualificados têm acesso à cobertura a taxas significativamente inferiores aos preços padrão do mercado, com um processo de inscrição simplificado através do KaseyaOne .

Conheça Kaseya 365 para MSPs

Pontos principais

  • O seguro cibernético cobre custos de incidentes próprios, responsabilidade civil, defesa em processos regulatórios e despesas relacionadas a ransomware, mas as exclusões relativas a ataques perpetrados por Estados-nação, violações pré-existentes e vulnerabilidades conhecidas e não corrigidas costumam invalidar os pedidos de indenização. Compreender as exclusões é tão importante quanto compreender a cobertura.
  • Os requisitos de subscrição não se tornaram menos rigorosos, ao contrário do que aconteceu com os prêmios. Atualmente, as seguradoras exigem comprovação documentada de MFA, EDR, backups testados, gerenciamento de patches e testes do plano de resposta a incidentes antes de formalizar a cobertura. A simples declaração já não é suficiente.
  • Os investimentos em segurança e a economia dos seguros estão diretamente ligados. Controles sólidos e documentados resultam em melhor cobertura, prêmios mais baixos e tramitação mais fácil dos sinistros. Controles não documentados ou deficientes produzem o efeito contrário, independentemente do que o questionário indique.
  • Para os MSPs, a consultoria em seguros cibernéticos — que auxilia os clientes a documentar controles, alinhar serviços aos requisitos das apólices e se qualificar para a cobertura — é uma linha de serviços em expansão e faturável que fortalece o relacionamento com os clientes e o posicionamento competitivo dos MSPs.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Obter uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e support dedicado support o seu negócio.

Conheça o Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSPs em 2026

Obtenha insights sobre MSPs para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter-se competitivo.

Faça o download agora

Explore as categorias

O que é a autenticação multifator (MFA), por que ela é importante e seu papel fundamental na segurança cibernética

A autenticação multifatorial (MFA) é um elemento essencial para a verificação de identidade e a segurança cibernética, no qual os usuários confirmam suas identidades utilizando mais de um método.

Leia a postagem do blog

Por que é tão difícil obter um seguro cibernético e o que fazer a respeito?

Descubra por que pode ser difícil obter um seguro cibernético e como o novo Programa Fast Track da Kaseya ajuda a eliminar esses obstáculos.

Leia a postagem do blog

Por que você precisa falar sobre seguro cibernético com as PMEs

Nos últimos anos, temos observado que os cibercriminosos têm como alvo, cada vez mais, as pequenas e médias empresas, enquanto muitos proprietários de pequenas empresas ainda acreditam que

Leia a postagem do blog