João Miguel Mesquita
A cibersegurança deixou de ser um domínio exclusivamente técnico para assumir um papel central na estratégia das organizações. A aceleração da digitalização dos negócios, a adoção massiva de novas tecnologias e o endurecimento do enquadramento regulatório europeu estão a alterar a forma como empresas e gestores encaram o risco operacional, financeiro e reputacional.
Entre os fatores que mais contribuem para esta mudança está a expansão da Inteligência Artificial (IA) nos ambientes empresariais. Se, por um lado, a tecnologia aumenta a capacidade analítica, melhora a velocidade de resposta e reforça a eficiência operacional, por outro começa a introduzir novos vetores de risco associados à interação entre sistemas autónomos.
O foco das preocupações já não está apenas na ação humana ou em ataques externos, mas também na possibilidade de sistemas de IA influenciarem ou induzirem outros sistemas ao erro. Em ambientes altamente automatizados, onde diferentes modelos operam em simultâneo, surgem incidentes cuja origem pode resultar da própria dinâmica entre tecnologias autónomas.
A preocupação deixa de ser meramente teórica. Existem já casos em análise em que sistemas baseados em IA estiveram associados à origem de incidentes cibernéticos com impacto operacional. Um dos episódios mais mediáticos ocorreu em Hong Kong, em 2024, quando um colaborador da área financeira de uma multinacional realizou transferências bancárias após participar numa videoconferência com falsos executivos gerados por Inteligência Artificial. O prejuízo estimado rondou os 25 milhões de dólares.
O caso demonstrou como conteúdos produzidos por IA conseguem ultrapassar mecanismos tradicionais de controlo e influenciar decisões dentro de ambientes corporativos. A crescente sofisticação destas tecnologias está a criar um efeito potencialmente exponencial, em que a mesma capacidade de aprendizagem e resposta rápida pode também ser explorada para provocar interpretações erradas e decisões incorretas.
Na Europa, esta transformação tecnológica está a ocorrer em paralelo com um reforço significativo das obrigações regulatórias em matéria de cibersegurança. A diretiva NIS2 alarga o âmbito das exigências aplicáveis a empresas consideradas essenciais ou importantes e reforça as responsabilidades das administrações executivas na gestão do risco digital.
A NIS2 introduz uma abordagem mais exigente em matéria de governação, gestão de risco, reporte de incidentes e resiliência operacional, aproximando a cibersegurança das decisões estratégicas das empresas. Para muitas organizações portuguesas e europeias, isto significa deixar de tratar a segurança informática como uma função isolada do departamento de TI e integrá-la diretamente nos processos de gestão e continuidade do negócio.
A dimensão deste fenómeno ganhou destaque recente na RSA Conference, realizada em São Francisco, onde responsáveis de segurança, tecnologia e gestão de grandes empresas internacionais centraram parte significativa do debate nos riscos sistémicos associados à interação entre tecnologias autónomas.
Mais do que uma discussão sobre ferramentas de proteção, o encontro refletiu uma mudança de paradigma. Os responsáveis tecnológicos começam a encarar a cibersegurança como uma variável estratégica do negócio e não apenas como uma função operacional ou um centro de custo.
Nesse contexto, ganha força a adoção de modelos de quantificação de risco cibernético, conhecidos como Cyber Risk Quantification (CRQ). O objetivo passa por traduzir vulnerabilidades técnicas em impacto financeiro mensurável, permitindo às organizações enquadrar o risco digital numa lógica mais próxima da gestão empresarial e financeira.
A evolução acontece num momento em que a transformação tecnológica apresenta semelhanças com o período vivido durante a pandemia. Tal como aconteceu com a digitalização acelerada nessa fase, a adoção da Inteligência Artificial está a avançar mais rapidamente do que a capacidade de adaptação dos mecanismos tradicionais de controlo, proteção e enquadramento legal.
Historicamente, o mercado de seguros cibernéticos apoiou-se em modelos simplificados de avaliação de risco, frequentemente baseados em questionários padronizados. Embora esses processos tenham evoluído nos últimos anos, a velocidade da transformação tecnológica continua a ultrapassar os mecanismos convencionais de avaliação, sobretudo perante riscos associados à automação e à Inteligência Artificial.
As seguradoras começam agora a enfrentar a necessidade de adaptar as apólices a cenários que até há pouco tempo não eram considerados, incluindo riscos resultantes da interação entre sistemas autónomos e das novas exigências regulatórias europeias.
Ao mesmo tempo, outra tecnologia começa a ganhar espaço nas preocupações do setor. A evolução da computação quântica, impulsionada por iniciativas já apresentadas por empresas como a IBM, promete ganhos significativos de capacidade de processamento, mas levanta também novas dúvidas sobre a robustez dos atuais modelos de criptografia e proteção de dados.
O cenário que começa a desenhar-se é o de uma convergência entre inovação, risco e regulação, todos a evoluírem a um ritmo elevado. A Inteligência Artificial amplia capacidades operacionais, mas obriga igualmente empresas, seguradoras e responsáveis tecnológicos a reformular a forma como avaliam ameaças, cumprem obrigações legais e definem estratégias de resiliência.
A nova fase da cibersegurança passa menos pela defesa contra ameaças externas isoladas e mais pela gestão da complexidade criada pela própria interação entre tecnologias inteligentes, enquadrada por regras europeias cada vez mais exigentes. Ignorar essa mudança poderá significar repetir vulnerabilidades recentes num ambiente mais automatizado, regulado e difícil de controlar.
