A cibersegurança deixou de ser apenas uma questão tecnológica para passar a ocupar um lugar central na competitividade, na confiança e na continuidade do negócio. Segundo o relatório Cybersecurity Considerations 2026, da KPMG, 79% dos CEO globais apontam o cibercrime e a insegurança digital como a maior ameaça à prosperidade das empresas.
A sofisticação crescente dos ciberataques está a obrigar as organizações a mudar a forma como olham para o risco digital. Mais do que reagir ao impacto de um incidente, as empresas são chamadas a antecipar vulnerabilidades, reforçar mecanismos de governação e integrar a segurança desde a conceção dos seus processos, tecnologias e relações com terceiros.
Esta é uma das principais conclusões do relatório “Cybersecurity Considerations 2026″, da KPMG, que reúne contributos de mais de 20 especialistas globais e dados de vários estudos internacionais. O documento identifica oito áreas prioritárias para preparar as organizações para um contexto em que a inteligência artificial, a fragmentação geopolítica, a pressão regulatória e a dependência de ecossistemas digitais alargados estão a redefinir o perfil de risco das empresas.
De acordo com o relatório, 79% dos líderes empresariais consideram o cibercrime e a insegurança digital como a maior ameaça à prosperidade dos negócios, acima da pressão regulamentar, apontada por 69%, e dos conflitos geopolíticos, referidos por 57%.
“A confiança digital é hoje um diferencial competitivo. À medida que a IA amplia capacidades – tanto de atacantes como de defensores – é essencial gerir o risco associado a identidades não humanas em toda a cadeia de valor. Segurança e compliance não têm de ser um travão à inovação, pelo contrário, podem ser um catalisador já que garantem resiliência digital”, afirma Sérgio Martins, Cybersecurity Partner da KPMG Portugal.
IA acelera inovação, mas também o risco
A inteligência artificial surge no relatório como um dos principais fatores de transformação do ciberespaço. A mesma tecnologia que permite às organizações detetar ameaças em tempo real, automatizar respostas e reforçar a capacidade de defesa está também a ser utilizada por atacantes para escalar operações, recorrer a IA generativa e desenvolver agentes autónomos capazes de explorar vulnerabilidades de forma mais rápida e sofisticada.
Segundo a KPMG, 92% dos executivos do setor tecnológico acreditam que gerir agentes autónomos de IA será uma competência essencial nos próximos cinco anos, o que mostra a velocidade com que estas soluções estão a entrar no núcleo das operações empresariais. Ao mesmo tempo, 54% da população mundial afirma ainda desconfiar da utilização de IA, reforçando a necessidade de modelos sólidos de governação, segurança e transparência.
Entre as mudanças estruturais destacadas pela KPMG está o crescimento exponencial das chamadas identidades não humanas, como contas de serviço, máquinas, aplicações, sistemas automatizados e agentes de IA. Em muitas organizações, estas identidades já superam largamente o número de utilizadores humanos, criando uma nova superfície de ataque.
O relatório alerta que a próxima grande falha de segurança poderá não resultar de um erro humano, mas de uma máquina ou aplicação a operar com permissões excessivas e sem controlo adequado. A ligação ao ecossistema de fornecedores agrava este desafio: 59% das empresas admitem ter sido vítimas, no último ano, de uma violação de segurança causada por um terceiro.
Regulação e geopolítica obrigam a repensar a resiliência
A pressão regulatória e a instabilidade geopolítica estão também a alterar a forma como empresas e entidades públicas desenham as suas arquiteturas tecnológicas, escolhem fornecedores e definem a localização dos seus dados.
Na União Europeia, diretivas e regulamentos como a NIS2, a DORA e a CER estão a deslocar o foco da proteção da informação para a resiliência operacional. As organizações, em particular nos setores críticos da energia, telecomunicações, saúde e banca, terão de demonstrar capacidade para resistir, responder e recuperar de incidentes cibernéticos.
Neste contexto, o papel do Chief Information Security Officer está também a evoluir. O CISO deixa de ser visto apenas como responsável técnico pela segurança da informação e passa a assumir uma função mais estratégica, próxima do Conselho de Administração, com responsabilidade na integração da cibersegurança na inovação, na adoção de IA e no crescimento do negócio.
A dependência crescente de fornecedores de serviços cloud, software, inteligência artificial e serviços digitais está a transformar a cadeia de abastecimento numa extensão direta do risco cibernético das organizações. A KPMG sublinha que a resiliência da cadeia de abastecimento é atualmente o principal fator a influenciar decisões empresariais a curto prazo, ultrapassando os custos ou a eficiência.
Ainda assim, 45% das organizações afirmam que o risco regulamentar associado a terceiros aumentou significativamente, pressionando os modelos tradicionais de auditoria. Em resposta, as empresas estão a evoluir para mecanismos de monitorização contínua e baseados no risco, capazes de acompanhar de forma mais dinâmica a exposição dos seus ecossistemas digitais.
A conclusão do relatório é clara: num contexto de incerteza tecnológica, geopolítica e regulatória, a cibersegurança deixou de ser apenas uma função defensiva. Passou a ser um ativo económico, um fator de diferenciação e uma condição essencial para a confiança digital.
