Faz um mês que o Brasil foi palco de um dos maiores ataques cibernéticos do mundo. As investigações ainda estão em andamento, mas um ponto já é evidente e concluso: a fragilidade da gestão de riscos de terceiros — fornecedores e parceiros da cadeia de valor. Foi justamente esse o vetor explorado na invasão do ambiente digital da C&M, responsável pela maior quantia já desviada em golpes ao sistema financeiro do nosso país, e comprometeu dados, operações e a confiança de milhões de clientes.
De acordo com o Panorama do Risco Cibernético no Brasil 2025, estudo inédito realizado pela VULTUS junto a 117 médias e grandes empresas de 13 setores, apenas 20% delas possuem um processo estruturado para gestão de riscos que inclua fornecedores e parceiros. Ou seja, quatro em cada cinco companhias estão expostas a vulnerabilidades originadas fora de seus muros.
O setor financeiro, apesar de apresentar o maior nível de maturidade em segurança da informação entre os setores analisados, e também a menor probabilidade de sofrer incidentes, ainda assim foi vítima do maior ataque cibernético já registrado no Brasil. Como? O nível de impacto de uma invasão — também mensurado pelo Panorama — é o mais alto dentre todos os setores. Os dois principais motivos disso são: os incidentes no sistema financeiro têm o ativo “dinheiro” como alvo; e geram um efeito dominó, afetando diversas camadas (do banco ao cliente passando por fornecedores) e, consequentemente, a economia como um todo.
Mas esse grau de vulnerabilidade não é exclusivo do setor financeiro, ainda mais no contexto da transformação digital acelerada nos negócios de todos os segmentos e tamanhos. Nossa projeção indica que, caso as empresas brasileiras não adotem parâmetros robustos de segurança cibernética, os prejuízos acumulados com ataques podem chegar a R$ 2,2 trilhões nos próximos três anos. E essa estatística abarca, inclusive, as organizações que já possuem todos os controles implementados. Isso porque não aplicam testes de invasão de alta complexidade e, assim, não identificam riscos residuais. Outro gargalo ainda muito presente nas empresas brasileiras é a falta de priorização de riscos de acordo com a estratégia do negócio. Assim, mesmo com um plano de segurança digital qualificado, a execução acaba incompleta e ineficiente.
Um ponto crítico em todo esse contexto é que a gestão de riscos de terceiros (TPRM — Third-Party Risk Management) ainda não é tratada como prioridade estratégica por muitas companhias. Fornecedores de tecnologia, prestadores de serviço, parceiros logísticos e até consultorias especializadas podem ser portas de entrada para cibercriminosos. Sem um processo estruturado para avaliar, monitorar e corrigir vulnerabilidades nessa rede externa, os negócios continuam expostos.
O recente ataque ao sistema financeiro no Brasil deixou um alerta claro: a segurança da informação precisa ultrapassar as fronteiras da empresa. A blindagem deve envolver todo o ecossistema de negócios. Isso inclui políticas rigorosas de due diligence, auditorias periódicas e monitoramento contínuo de fornecedores críticos.
Por fim, vale lembrar que segurança cibernética não é apenas um investimento em tecnologia. É um compromisso de governança, de continuidade de negócios e de proteção da sociedade como um todo. Os dados estão aí para provar: ignorar essa agenda pode custar muito, muito caro.
Por Rodrigo Gava, CTO e Co-CEO da VULTUS
