September 30, 2025
Em Portugal, o phishing além de uma ameaça, cada vez mais se estavelece como uma epidemia digital. Segundo o relatório Cibersegurança em Portugal – Riscos e Conflitos 2025 do Centro Nacional de Cibersegurança (CNCS), o phishing foi a categoria de incidente mais reportada, representando mais de metade de todas as ocorrências. Para uma empresa, isto não é apenas uma estatística, é um risco direto à continuidade do negócio, à reputação da marca e pode resultar em coimas do RGPD que ascendem a milhares de euros.
Durante anos, combatemos o risco humano com formações passivas, mas a verdade é que saber a teoria não cria o reflexo de defesa. Existe uma perigosa lacuna entre a perceção de segurança e a realidade. Este artigo explica como pode fechar essa lacuna, transformando a sensibilização em defesa, e a incerteza em dados concretos.
A tecnologia de defesa é essencial, mas os atacantes sabem que o caminho de menor resistência é o ser humano. O relatório de Riscos e Conflitos do CNCS é inequívoco: casos associados à exploração do fator humano tiveram muita importância em 2024. A Engenharia Social foi a tipologia de incidente que registou o maior aumento, tornando-se a segunda mais observada pelo CERT.PT.
Mais revelador ainda, dados da Comissão Nacional de Proteção de Dados (CNPD) incluídos no relatório mostram que as origens mais frequentes de notificação de violação de dados pessoais foram a falha humana (30%) e o phishing ou engenharia social (15%). Somadas, estas causas diretamente ligadas ao fator humano representam quase metade dos incidentes reportados.
Isto significa que o ataque não começa, na maioria das vezes, com uma falha de software, mas com um clique humano. Uma apresentação anual não prepara ninguém para a sofisticação crescente das burlas. A sensibilização passiva informa, a defesa ativa, através de simulações ou casos reais, protege.
Fig. 1 - Variação do número de incidentes pelo CERT.PT relativamente a 2023 e 2024 - Riscos e Conflitos CNCS
A única forma de saber se a sua equipa clicaria é através de testes de phishing realistas e controlados. Uma campanha de simulação de phishing funciona como um espelho, refletindo a verdadeira postura de segurança da sua organização num ambiente 100% seguro e controlado.
Imagine o impacto de um email fraudulento que simula na perfeição uma comunicação da Autoridade Tributária em janeiro, ou uma notificação da Via Verde sobre portagens por pagar. São estes cenários, adaptados à realidade portuguesa, que testam verdadeiramente a prontidão de uma equipa.
Quando um colaborador clica num link simulado, não está a falhar, mas sim a participar num momento de aprendizagem extremamente poderoso. A experiência de cair numa armadilha controlada, seguida de feedback imediato sobre os sinais ignorados (como um domínio suspeito ou um sentido de urgência artificial), cria uma memória muscular e um sentido crítico que nenhuma apresentação consegue replicar.
A beleza da simulação reside nos dados que ela gera e que ajuda a sua organização a avaliar corretamente a sua postura de segurança. Estes incluem por exemplo:
Fig. 2 - Dashboard da plataforma CyberHook
A verdadeira força destes dados não está no dashboard, mas na estratégia que permitem desenhar. Uma taxa de cliques elevada no departamento financeiro a um email simulado sobre faturas? Isso justifica uma sessão de formação micro-focada nesse vetor de ataque. Uma baixa taxa de denúncia geral? Isso indica a necessidade de simplificar o processo de denúncia de emails suspeitos. A simulação transforma a incerteza do 'fator humano' num problema de otimização claro e gerível.
Então, a sua equipa clicaria? Em Portugal, esta já não é uma pergunta hipotética. Os dados do CNCS mostram que é uma inevitabilidade estatística. A questão estratégica não é se a sua equipa será alvo, mas quão resiliente será a sua organização quando isso acontecer. Deixar a resposta ao acaso não é uma estratégia de segurança, é uma aposta de alto risco. Ao adotar uma abordagem de defesa ativa, alimentada por simulação e formação baseada em dados, deixa de adivinhar e passa a saber qual o seu verdadeiro nível de risco humano.