O passivo invisível que destrói valor

A pergunta que CEOs, CFOs e membros de conselho precisam responder não é mais "nossa empresa pode ser atacada?", mas "quanto estamos dispostos a perder antes de agir?" O custo médio de uma violação de dados atingiu US$ 4,9 milhões em 2024 (IBM). Empresas listadas perdem em média 8% de capitalização de mercado nos trinta dias após a divulgação de um incidente grave. Para uma companhia com R$ 10 bilhões em market cap, isso são R$ 800 milhões destruídos, valor suficiente para financiar anos de proteção robusta.

O que os dados de 2025 revelam

O relatório da Acronis Threat Research Unit, baseado em mais de um milhão de endpoints monitorados de janeiro a junho de 2025, documenta uma virada: os atacantes abandonaram a força técnica bruta e passaram a explorar comportamento humano e confiança organizacional. O phishing domina agora 52% dos vetores de acesso inicial, ante 30% em 2024.

Ataques em aplicativos de colaboração como Microsoft Teams saltaram de 9% para 30,5%, um crescimento de 239% em doze meses. O Business Email Compromise cresceu de 20% para 25,6% e gerou perdas globais superiores a US$ 2,9 bilhões em 2023 (FBI IC3), com potencial de responsabilidade pessoal de diretores por falha de controles internos.

Um dado que deveria paralisar qualquer reunião de governança: em análise de backups do Microsoft 365, a Acronis encontrou 200.000 e-mails com anexos maliciosos em arquivos que as próprias organizações julgavam seguros. Quarenta por cento das URLs nesses backups eram phishing.

"O problema não é mais tecnológico, é de governança. E o custo da omissão já aparece no balanço."

A aritmética que ninguém contabiliza

A indústria manufatureira concentrou 15% de todos os ataques de ransomware no H1 2025, com custo médio de US$ 2,73 milhões por incidente e 21 dias médios de paralisação (Sophos).

No Brasil, 11% dos clientes monitorados tiveram malware bloqueado em maio de 2025, segundo lugar global, atrás apenas da Índia (12,4%) e à frente dos EUA (4,8%). Para investidores com exposição ao mercado brasileiro, esse dado deve constar nas análises de due diligence.

As vulnerabilidades não corrigidas cresceram de 23% para 27% como vetor de ataque. O abuso de credenciais válidas, alimentado por infostealers que extraem senhas e tokens silenciosamente, manteve-se em 13% dos casos.

Credenciais comprometidas são negociadas em marketplaces da dark web por meses antes de serem usadas, um passivo contingente que não aparece em nenhuma linha do balanço.

A equação que a liderança precisa resolver

Implementar autenticação multifator robusta e gestão de acessos privilegiados custa entre US$ 50 mil e US$ 500 mil por ano. O custo médio de uma violação é US$ 4,9 milhões, sem contar multas regulatórias, a LGPD prevê até 2% do faturamento anual, erosão de contratos e queda de market cap.

O Gartner estima retorno de 3 a 5 vezes em programas maduros de gestão de identidade. A prova de que o investimento funciona já existe: a adoção de MFA reduziu ataques via RDP de 24% para 3% em um único ano.

Em 2026, IA generativa tornará o phishing mais barato e volumoso, reguladores como NIS2, DORA e SEC elevarão a responsabilidade fiduciária de conselheiros, e seguradoras cibernéticas passarão a exigir controles de identidade como pré-requisito de cobertura.

Organizações que tratam a segurança de identidade como gestão de risco e não como custo de TI protegerão valor. As que não o fizerem pagarão a conta em 2026. A decisão é de governança, e ela precisa ser tomada agora.

Leia mais...