IA e regulação redefinem estratégias de cibersegurança

A cibersegurança está a assumir um papel cada vez mais central na estratégia das organizações, deixando de ser apenas uma questão tecnológica para se tornar um elemento determinante para a competitividade, a confiança e o crescimento económico. A conclusão consta do relatório “Cybersecurity Considerations 2026”, da KPMG, que identifica a antecipação dos riscos como um fator crítico para enfrentar um cenário digital cada vez mais complexo.

O estudo, que reúne contributos de mais de 20 especialistas internacionais e dados de diversos estudos globais, destaca que os ciberataques começam frequentemente muito antes de qualquer impacto visível, explorando vulnerabilidades que funcionam como portas de entrada para ameaças mais sofisticadas.

Neste contexto, a KPMG defende uma abordagem mais integrada e preventiva à segurança digital, numa altura em que a aceleração da Inteligência Artificial (IA), a crescente fragmentação geopolítica e o reforço dos requisitos regulamentares estão a alterar profundamente o perfil de risco das organizações.

Segundo o relatório, 79% dos líderes empresariais consideram o cibercrime e a insegurança digital como a principal ameaça à prosperidade das empresas, superando preocupações relacionadas com a pressão regulamentar (69%) e os conflitos geopolíticos (57%).

“A confiança digital é hoje um diferencial competitivo. À medida que a IA amplia capacidades — tanto de atacantes como de defensores — é essencial gerir o risco associado a identidades não humanas em toda a cadeia de valor. Segurança e compliance não têm de ser um travão à inovação; pelo contrário, podem ser um catalisador porque garantem resiliência digital”, afirma Sérgio Martins, Cybersecurity Partner da KPMG Portugal, em comunicado.

A inteligência artificial surge como um dos principais fatores de transformação do panorama da cibersegurança. O relatório refere que os atacantes recorrem cada vez mais à automação, à IA generativa e a agentes autónomos para escalar ataques, enquanto as organizações utilizam as mesmas tecnologias para reforçar a deteção de ameaças e acelerar a resposta a incidentes.

De acordo com a análise, 92% dos executivos do setor tecnológico acreditam que a gestão de agentes autónomos de IA será uma competência essencial nos próximos cinco anos, refletindo a rápida integração destas tecnologias nas operações empresariais.

Apesar disso, a confiança do público continua a ser um desafio. Mais de metade da população mundial (54%) afirma desconfiar da utilização da IA, reforçando a necessidade de mecanismos robustos de segurança, transparência e governação.

Uma das principais transformações apontadas pela KPMG é o crescimento exponencial das chamadas identidades não humanas, que incluem contas de serviço, aplicações, máquinas e agentes de IA.

Estas identidades já superam amplamente o número de utilizadores humanos dentro das organizações, aumentando significativamente a superfície de ataque. O relatório indica que 59% das empresas sofreram, no último ano, uma violação de segurança causada por terceiros, muitas vezes através da exploração de credenciais de máquinas com permissões excessivas. A consultora alerta que as próximas grandes falhas de segurança podem resultar não de erro humano, mas de sistemas automatizados sem mecanismos de controlo adequados.

O estudo destaca ainda o impacto crescente da geopolítica e da regulamentação na definição das estratégias de segurança. As organizações são cada vez mais obrigadas a rever fornecedores, arquiteturas tecnológicas e a localização dos seus dados.

Na União Europeia, regulamentações como a NIS2, o DORA e a CER estão a deslocar o foco da proteção da informação para a resiliência operacional, exigindo que as organizações demonstrem capacidade para resistir, responder e recuperar de incidentes cibernéticos.

Esta exigência é particularmente relevante para setores considerados críticos, como energia, telecomunicações, saúde e banca.

Perante este novo contexto, o papel do responsável pela segurança da informação (CISO) está também a evoluir. Segundo a KPMG, estes profissionais estão a assumir funções cada vez mais estratégicas, participando ativamente na transformação digital das organizações. Além da proteção dos sistemas, os CISO passam a ter responsabilidades na integração da segurança em iniciativas de inovação, IA e crescimento empresarial.

O relatório chama ainda a atenção para a crescente exposição ao risco através dos ecossistemas digitais. A dependência de fornecedores de serviços cloud, software, inteligência artificial e serviços digitais está a transformar a cadeia de fornecimento numa extensão direta do risco cibernético das organizações.

A resiliência da cadeia de abastecimento surge atualmente como o principal fator a influenciar decisões empresariais de curto prazo, ultrapassando preocupações relacionadas com custos ou eficiência.

Contudo, 45% das organizações afirmam que o risco regulamentar associado a terceiros aumentou significativamente, pressionando os modelos tradicionais de auditoria e acelerando a adoção de mecanismos de monitorização contínua baseados no risco.