As PME portuguesas ainda não levam a cibersegurança a sério. E está a custar-lhes caro.

Neste 27 de junho, o mundo celebra o Dia Internacional das Micro, Pequenas e Médias Empresas. Em Portugal, isso significa celebrar 99,9% do tecido empresarial. Mais de um milhão de empresas que empregam milhões de portugueses e sustentam uma fatia significativa do PIB nacional. São empresas resilientes, criativas, que sobreviveram a crises financeiras, a uma pandemia e a uma inflação feroz.

Mas há uma ameaça para a qual muitas ainda não estão preparadas. E ao contrário das anteriores, esta não avisa antes de chegar.

Trabalho há mais de duas décadas com PMEs da região de Lisboa. Empresas de 10, 20, 50 colaboradores, em sectores tão diversos como o direito, a logística, o retalho ou a saúde. São empresas bem geridas, com donos que conhecem o seu negócio melhor do que ninguém. E, no entanto, quando falo de cibersegurança, a resposta que ouço com mais frequência ainda é: “Isso é para as grandes empresas. Nós não somos um alvo.”

É precisamente esse raciocínio que torna as PME num alvo.

Os ataques de ransomware, phishing e comprometimento de email empresarial não são operações cirúrgicas dirigidas a multinacionais. São campanhas automatizadas e massificadas que varrem a internet à procura de sistemas desatualizados, passwords fracas e backups inexistentes. Uma PME com cinquenta utilizadores e sem autenticação multifator ativa é, do ponto de vista de um atacante, uma oportunidade mais fácil do que um banco com uma equipa de segurança dedicada. Os números confirmam esta realidade de forma brutal: mais de metade das PMEs portuguesas foram alvo de pelo menos um ciberataque no último ano. E os ciberataques em Portugal multiplicaram-se de forma alarmante ao longo da última década. Não estamos a falar de uma tendência emergente. Estamos a falar de uma epidemia silenciosa que já chegou.

Quanto custa perder toda a informação da sua empresa? Faça este exercício: imagine que amanhã de manhã liga o computador e não há nada. O email não abre. Os ficheiros estão encriptados. Os registos de clientes, os contratos, as propostas, a faturação dos últimos anos, tudo bloqueado. E do outro lado aparece uma mensagem a pedir dinheiro, muitas vezes dezenas de milhar de euros, para devolver o acesso. O pagamento médio de resgate passou de 200 mil euros para 1,5 milhões de euros em 2024. Mas o resgate é apenas o início. Uma grande parte das PMEs afetadas fica com sistemas completamente bloqueados e perde dados de forma irreversível. Há a paragem operacional, que pode durar dias ou semanas. Há os clientes que não voltam. Há os parceiros que deixam de confiar. Há as coimas do RGPD quando dados pessoais são comprometidos. E há, muitas vezes, algo que nenhuma seguradora cobre: a reputação destruída de uma empresa construída ao longo de anos. Para muitas PMEs, um ataque grave não é uma crise. É o fim.

Em 2026, os ataques cibernéticos tornaram-se o principal risco identificado pelas empresas portuguesas, e as PMEs sentem-no com ainda mais intensidade do que as grandes empresas, precisamente porque têm menor capacidade para investir em proteção robusta. A consciência do problema existe. O que continua a faltar é a ação.

A boa notícia é que proteger uma PME não exige um orçamento de multinacional. O que exige é método, consistência e um parceiro de confiança. Na prática, a grande maioria dos ataques bem-sucedidos exploram falhas básicas: ausência de autenticação multifator, sistemas sem atualizações, backups que nunca foram testados, colaboradores que nunca receberam formação sobre phishing. Não são vulnerabilidades de dia-zero nem ataques sofisticados de Estado, são portas abertas que qualquer script automatizado consegue atravessar. Um plano de cibersegurança adequado para uma PME de quarenta utilizadores pode ser implementado por algumas centenas de euros por mês, menos do que o custo de um único dia de paragem operacional.

O que os gestores de PMEs precisam de perceber é que a cibersegurança não é um produto, é um processo. Não basta instalar um antivírus e considerar o assunto encerrado. É preciso rever acessos regularmente, testar backups, formar colaboradores, monitorizar a rede. O fator humano continua a ser a principal vulnerabilidade. A tecnologia ajuda, mas a cultura de segurança dentro da empresa é insubstituível. E ter um plano de resposta a incidentes antes de precisar dele faz toda a diferença. Saber o que fazer nas primeiras horas após um ataque, quem contactar, o que isolar, como comunicar com clientes, pode ser a diferença entre uma crise gerível e uma catástrofe empresarial.

E depois há a inteligência artificial. Nos últimos dois anos, a IA entrou no vocabulário de praticamente todos os gestores de PMEs. Mas entrou, na maior parte dos casos, como curiosidade, não como estratégia. A adoção de IA pelas PMEs portuguesas ainda está muito abaixo da média europeia, num contexto em que Bruxelas quer que a grande maioria das empresas integre IA nas suas operações até 2030. O fosso é enorme. E o tempo para o fechar é mais curto do que parece.

A IA traz oportunidades reais para as PMEs: automação de processos repetitivos, atendimento ao cliente mais ágil, análise de dados que antes exigia equipas dedicadas. Mas traz também riscos novos que poucos estão a considerar. Os mesmos criminosos que lançam campanhas de ransomware estão agora a usar IA para criar emails de phishing indistinguíveis dos legítimos, para automatizar ataques em escala e para identificar vulnerabilidades com uma velocidade que não tem precedentes. Quem adota IA nos seus processos sem reforçar simultaneamente a segurança está a aumentar a superfície de ataque sem aumentar a capacidade de defesa. É como abrir uma janela nova numa casa sem fechaduras.

A hesitação face à IA é compreensível. Os líderes empresariais preocupam-se com as implicações éticas, legais e operacionais, e muitos admitem não se sentir preparados para a implementar de forma segura e sustentável. Mas hesitar não é uma estratégia. É uma escolha de ficar para trás.

O Dia Internacional das PMEs é uma oportunidade para reconhecer a espinha dorsal da nossa economia. Mas celebração sem ação é apenas ruído. Se é gestor ou dono de uma PME e ainda não tem uma estratégia de cibersegurança definida, use esta data como ponto de partida. Não para comprar um software. Para fazer a pergunta certa ao seu parceiro de IT: “Se amanhã formos atacados, o que acontece? E se a nossa informação toda desaparecer, conseguimos sobreviver?” Se não souber responder a essas perguntas com confiança, a conversa já devia ter acontecido.

A ameaça não espera. E o custo de não agir é sempre maior do que o custo de agir.