PME portuguesas elegem a formação como principal escudo contra ciberataques

Mais de metade das pequenas e médias empresas em Portugal já foi alvo de pelo menos um ciberataque nos últimos doze meses. Por isso, a aposta na capacitação dos colaboradores tornou-se a resposta prioritária das empresas face a uma ameaça que não dá sinais de abrandar.

Os dados são do Relatório de Ciberpreparação da Hiscox 2025, que este ano inquiriu 5.750 empresas em sete mercados, Reino Unido, Estados Unidos, França, Alemanha, Espanha, Irlanda e Portugal. O estudo, realizado entre julho e agosto de 2025 pela Wakefield Research, ouviu os responsáveis pela estratégia de cibersegurança de organizações com entre um e 249 colaboradores, e revela uma realidade exigente para as PME portuguesas: 54% foram alvo de ciberataques nos últimos doze meses, com mais de um terço a registar perda de dados não encriptados.

90% das PME portuguesas inquiridas investiu em formação adicional em cibersegurança especificamente dirigida a colaboradores em regime de teletrabalho, com o objetivo de reduzir as vulnerabilidades criadas pela descentralização dos postos de trabalho. Um número que reflete uma mudança de paradigma, com a segurança digital a deixar de ser um problema exclusivamente tecnológico para se tornar uma responsabilidade partilhada por toda a organização.

A formação à frente da tecnologia

A hierarquia das prioridades também se alterou. Segundo o relatório, 74% das empresas portuguesas apontou a atualização dos programas de formação em cibersegurança como a medida mais urgente para reforçar a sua ciber-resiliência à frente do investimento em software de segurança, referido por 64%, e da contratação de especialistas adicionais, mencionada por 61%.

Esta lógica é acompanhada pelos dados globais recolhidos pelo estudo. À escala dos sete países analisados, 60% das empresas inquiridas está a atualizar os programas de formação em cibersegurança para os colaboradores, e 70% prevê contratar pessoal adicional para reforçar a resiliência digital. Portugal aparece entre os mercados com maior intenção de aumentar significativamente o investimento nesta área.

Há também um padrão que o relatório torna evidente em que as empresas que já sofreram ataques investem mais em formação do que as que ainda não foram afetadas. Globalmente, 87% das organizações que experienciaram um ciberataque nos últimos doze meses está a investir em formação, contra 68% das que não registaram qualquer incidente. A experiência, mesmo que traumática, catalisa a mudança.

Capacidade de resposta a incidentes

Apesar do reforço das estratégias de prevenção, a capacidade de resposta a incidentes continua a ser um ponto crítico. 99% das empresas portuguesas considera que uma maior consciencialização poderia melhorar significativamente o tempo de reação a ciberataques. 68% das organizações acredita que um conhecimento prévio mais aprofundado das ameaças potenciais permitiria acelerar a resposta quando um ataque ocorre. Já 61% considera necessário melhorar a capacidade dos colaboradores para reconhecer os sinais de um ataque em tempo real, antes que os danos se tornem irreversíveis.

Outros pontos de pressão verificam-se na percentagem das empresas identifica a necessidade de clarificar os processos internos de reporte de incidentes (56%); e nas que consideram que uma liderança mais decisiva durante uma crise contribuiria para uma gestão mais eficaz dos incidentes (44% ). No plano global, 96% das empresas que já sofreram ataques partilha esta convicção: uma maior consciencialização é determinante para melhorar os tempos de resposta. Estes números revelam que, mesmo nas organizações que já investem em formação, persistem lacunas procedimentais e de cultura interna que comprometem a resposta quando o pior acontece.

Ransomware e as consequências financeiras de um ataque

O cenário de ameaças é complexo e os seus efeitos ultrapassam largamente a esfera técnica. Globalmente, 27% das PME inquiridas admite ter sofrido um ataque de ransomware nos últimos doze meses, mas reconhece que pagar o resgate não garante a recuperação dos dados. Entre as que optaram por pagar, 60% recuperou os dados total ou parcialmente, mas 31% viu os atacantes exigir mais dinheiro, e 27% sofreu um ataque adicional na sequência do pagamento.

O impacto financeiro e reputacional é igualmente significativo. Um terço das empresas afetadas foi alvo de coimas suficientemente graves para afetar a sua saúde financeira. Além disso, 30% reportou menor desempenho nos indicadores de negócio, 29% registou um aumento dos custos de notificação de clientes, e igual percentagem declarou maior dificuldade em atrair novos clientes. Perda de parceiros, danos à reputação da marca e baixas por stress entre os colaboradores completam um quadro que vai muito além do incidente informático em si.

IA é aliada e ameaça em simultâneo

«O relatório deste ano revela de que forma a inteligência artificial está verdadeiramente a transformar o panorama das ameaças cibernéticas. Mas, para além disso, destaca o papel dual desta tecnologia: se, por um lado, está a emergir como um ativo estratégico para reforçar a ciber-resiliência das empresas, por outro tornou-se também uma ferramenta ao serviço dos cibercriminosos, aumentando a sofisticação e a complexidade dos ataques», afirma Ana Silva, Cyber Lead de Hiscox Ibéria.

À escala global, 65% dos responsáveis de segurança das PME considera a IA mais um ativo do que uma vulnerabilidade e Portugal destaca-se como o mercado mais otimista nesta dimensão, com 86% das empresas a ver a IA como um recurso de segurança, contra apenas 58% nos Estados Unidos e 59% no Reino Unido. Ainda assim, os riscos emergentes associados à IA são reconhecidos. As três principais ameaças identificadas para os próximos cinco anos são os ataques de engenharia social potenciados por IA, o malware e o phishing baseados em IA, e o controlo de dados empresariais por sistemas autónomos, cada uma delas apontada por 60% das empresas inquiridas.

Para fazer face a este cenário, 37% das organizações planeia garantir que as suas apólices de seguro cobrem riscos associados à IA, e 36% prevê formar os colaboradores especificamente para a deteção de ameaças geradas por inteligência artificial.

Portugal na vanguarda regulatória

O relatório revela ainda que Portugal e a Irlanda são os países onde as empresas demonstram maior confiança na capacidade de adaptação às exigências regulatórias em cibersegurança. 86% das empresas portuguesas afirma estar bem posicionada para cumprir os novos requisitos normativos, face a 76% nos Estados Unidos. No que respeita à divulgação obrigatória de pagamentos de resgate, um modelo que a Austrália já legislou e que obriga as empresas a reportarem às autoridades, num prazo de 72 horas, o valor de qualquer resgate pago, 65% das empresas portuguesas apoia o conceito, encarando-o como uma forma de remover o estigma associado ao pagamento e de reforçar a transparência junto de clientes e parceiros.

---