Pagar resgate não chega: 4 em cada 10 PME portuguesas perde os dados mesmo assim

Os ciberataques com ransomware afetaram cerca de um terço das PME portuguesas no último ano e, apesar de 79% das empresas admitir ter pago um resgate, 31% das organizações acabaram por ver os seus dados divulgados.

Nos últimos anos, as PME em Portugal têm estado cada vez mais expostas a ciberataques que ameaçam a sua operação, a segurança dos seus dados e a confiança dos seus clientes. Entre os tipos de ataques mais preocupantes e de importância crescente encontra-se o ransomware, que combina a encriptação de dados com a ameaça de os divulgar caso não seja pago um resgate. No entanto, os dados mostram que ceder às exigências dos cibercriminosos e pagar nem sempre implica a recuperação da informação sensível.

De acordo com o Relatório de Ciberpreparação 2025 da Hiscox, menos de 60% (59%) das PME portuguesas que pagaram um resgate na sequência de um ciberataque de ransomware nos últimos 12 meses conseguiram recuperar alguns ou todos os seus dados.

Ainda assim, apesar de terem pago o resgate, 31% das PME portuguesas acabaram por ver a sua informação sensível divulgada, evidenciando que o risco de exposição continua elevado. Adicionalmente, 19% das empresas descobriu que a chave de recuperação fornecida pelos cibercriminosos não funcionava, enquanto 28% sofreu um novo ataque após o incidente inicial, demonstrando a persistência e sofisticação destas ameaças.

Ao mesmo tempo, em 22% dos casos, os atacantes exigiram pagamentos adicionais e 25% das empresas foram obrigadas a reconstruir totalmente os seus sistemas, mesmo depois de terem recebido uma chave válida. No final, apenas 28% das PME confirmou que os seus dados não foram divulgados, deixando claro que depender apenas do pagamento não garante nem segurança nem tranquilidade e não compensa o risco latente de exposição de informação sensível.

O estudo indica também que, de um modo geral, o ransomware afetou cerca de um terço das PME portuguesas nos últimos 12 meses, confirmando que este tipo de ataque se consolidou como uma ameaça persistente para estas empresas. Neste contexto, e muitas vezes sem conhecer plenamente as consequências do pagamento, as PME encontram vários motivos para ceder às exigências dos cibercriminosos.

Por um lado, 79% das empresas afirma ter pago um resgate para evitar a publicação de informação sensível, enquanto a mesma percentagem (79%) o fez com o objetivo específico de recuperar os seus dados. No entanto, estas medidas raramente são suficientes por si só: 84% das PME optou também por reconstruir a informação que ficou vulnerável e 89% procurou restaurar dados a partir de cópias de segurança disponíveis.

Consequências dos ciberataques vão muito além do ransomware

Para além do ransomware, as PME portuguesas enfrentam múltiplas consequências resultantes de ciberataques. A perda de dados não encriptados – podendo envolver informação pessoal ou de clientes – é o impacto mais frequente, afetando 43% das empresas. Seguem-se os ataques de negação de serviço distribuído (DDoS), reportados por 41%, e as perdas financeiras causadas por fraude por desvio de pagamentos, que atingem 40% das organizações.

O uso indevido de recursos de TI – como a utilização da infraestrutura para mineração de criptomoedas, integração em botnets ou alojamento de malware -, foi ainda identificado por 33% das PME. A perda de dados encriptados sem exposição de informação também surge em 33% dos casos, bem como surtos de vírus não associados a ransomware em 29%.

65% das PME portuguesas a favor da obrigação de notificar o pagamento de resgates

A nível internacional, a transparência é cada vez mais vista como uma ferramenta para reforçar a cibersegurança e melhorar a resposta a incidentes. Em Portugal, embora ainda não exista uma obrigação legal específica para a divulgação dos pagamentos de resgates, o tema ganha relevância: 65% das PME considera que as empresas deveriam ser obrigadas a comunicar quanto pagaram a cibercriminosos após um ataque de ransomware.

Entre as empresas que apoiam esta medida, 56% acredita que a partilha desta informação ajudaria as autoridades a gerir melhor os incidentes, 55% considera que permitiria oferecer a clientes e partes interessadas uma visão mais clara da saúde financeira da empresa e 52% defende que ajudaria a reduzir o estigma associado ao pagamento.

Por outro lado, 35% das PME posicionam-se contra esta obrigatoriedade. Entre os principais motivos apontados, 59% considera que a divulgação poderia incentivar mais ciberataques a envolverem esquemas de ransomware e 58% defende que as empresas privadas não deveriam ser obrigadas a divulgar publicamente as suas finanças.