Quais são as principais ameaças de cibersegurança que surgem com o uso da inteligência artificial no ambiente empresarial?
As empresas estão a investir fortemente em Inteligência Artificial (IA) com o objetivo de melhorar processos e definir use-cases que lhes permitam investigar e desenvolver sistemas de IA. É certo que a IA pode trazer vários benefícios, mas também desafios e/ou ameaças, diretamente relacionadas com a cibersegurança. Na minha opinião, as maiores ameaças estão relacionadas com:
- Utilização de IA para clonar a voz e phishing:
A clonagem da voz de uma pessoa, pode permitir efetuar contactos fictícios, levando outros a partilhar informação relevante que permita aos criminosos aceder a sistemas, dados bancários e cometer fraude. Além disso, de forma simples e rápida, podemos assistir à criação de campanhas de phishing, muito sofisticadas e difíceis de detetar.
- Criação de código malicioso:
A utilização de IA permite criar código malicioso com o intuito de penetrar nos sistemas de informação das organizações. Vejamos o caso do WormGPT, uma IA que não contempla filtros éticos permitindo a criação de código malicioso. Este software foi desenhado de forma semelhante a um motor de busca avançado, como o Google, mas com a diferença de permitir que os utilizadores solicitem informações sobre atividades ilícitas, incluindo a criação de malware, sem qualquer tipo de filtro ou restrição.
- Deteção de falhas em código:
A revisão de linhas de código com recurso a IA, pode agora ser efetuada de forma automática e célere, o que até aí só seria possível com recurso a especialistas informáticos. Esta situação vem permitir ao “comum mortal” identificar fragilidades e falhas de segurança em softwares e telemóveis, assim como, indicação de como pode agir para tomar partido dessas fragilidades identificadas.
- Utilização de IA em sistemas de segurança críticos:
A utilização de IA em sistemas de segurança críticos, caso a mesma não tenha sido codificada adequadamente, pode dar abertura a que aprenda e tome decisões de forma autónoma, dando indicações inadequadas. Nos dias de hoje, encontramo-nos numa rede global com acesso direito a sistemas, pelo que a cibersegurança é uma temática de extrema relevância. Tomemos como exemplo uma IA que interage com o sistema de trânsito e modifica os sinais provocando acidentes rodoviários, ou insere-se na rede de tráfego aéreo e controla um avião em piloto automático a longa distância. Os riscos das decisões autónomas de IA, são amplamente debatidas em fóruns internacionais, tendo já dado origem à criação do AI Act, na tentativa de minimizar os seus impactos negativos. A IA deve ser utilizada de forma cautelosa e a União Europeia está ciente dos seus riscos para o tecido empresarial e população em geral. O AI Act é um grande avanço no controlo desta tecnologia, apesar dos seus aspetos negativos na competição pela evolução com outras potências a nível mundial, como os EUA, Rússia ou China.
- Compatibilidade da IA com os sistemas existentes:
Nos últimos anos, temos assistido a um crescente investimento em sistemas de informação nas organizações portuguesas, no entanto, ainda não foi suficiente para repor o parque aplicacional, pelo que uma grande parte dos ativos ainda são sistemas antigos (Legacy). A compatibilidade dos sistemas de IA com os sistemas Legacy é reduzida, e exige grande esforço por parte das equipas.
- Roubo e Má interpretação de dados:
Por último, como todos os sistemas, também a IA pode ter falhas. É por isso que a confiança no trabalho desenvolvido pela IA, pode levar a más decisões por parte do tecido empresarial. Tomemos como exemplo os sistemas de IA que efetuam análise de dados estruturados e não estruturados, que permitem aos quadros executivos tomar decisões estratégicas, estas podem ser efetuadas por interpretações incorretas por parte do sistema levando a perdas de milhares de euros.
Com a crescente adoção da inteligência artificial, como avalia o nível de preparação das empresas portuguesas em termos de cibersegurança?
O nível de preparação das empresas portuguesas em termos de cibersegurança face à crescente adoção da inteligência artificial (IA) varia significativamente conforme o setor e o tamanho da organização. As grandes empresas partem com um avanço significativo, uma vez que já lidam com os requisitos de conformidade como a DORA, NIS e RGPD, enquanto as PMEs sofrem com a falta de recursos e conhecimento especializado. Segundo os “Relatórios sobre os Setores dos Operadores de Serviços Essenciais” (OSE) publicado pela CNCS em fevereiro de 2025, o tecido empresarial dos OSE é constituído, na sua maioria, por grandes empresas (empresas com mais de 250 colaboradores), representando estas 52% entre os OSE. As médias empresas representam 39% dos OSE, distribuindo-se os remanescentes 9% pelas micro e pequenas empresas (4% e 5%, respetivamente).
Neste relatório é possível analisar alguns pontos que nos permite avaliar o nível de preparação das empresas portuguesas, nomeadamente:
- Nível de formação dos recursos:
Apenas 65% dos OSE inquiridos disponibilizam formação em cibersegurança aos colaboradores nos diversos setores. Importa notar que nos setores da banca e das infraestruturas do mercado financeiro (IMF), todos os OSE indicaram disponibilizar formação em cibersegurança aos seus colaboradores.
- Boas práticas de cibersegurança por parte dos colaboradores:
De um modo geral, cerca de 69% dos operadores percecionam a adoção de boas práticas de cibersegurança por parte dos seus colaboradores. Sendo que os setores da Energia, Transportes, Bancário e Infraestruturas do Mercado Financeiro (IMF) apresentam valores acima dos 88%.
- Profissionais qualificados para a área de cibersegurança:
A vasta maioria dos OSE inquiridos (91%) considera haver um cenário de escassez de profissionais de cibersegurança e áreas relacionadas no mercado de trabalho. Especificamente, nos setores da banca e das infraestruturas do mercado financeiro, todos os OSE inquiridos consideram que há falta de profissionais na área.
- Processos que recorrem a IA:
A utilização ou o recurso à IA é ainda reduzido entre os OSE. Apenas 15% dos inquiridos referem já utilizar ou recorrer a IA dentro das suas organizações. No caso da energia, a quantidade de operadores a utilizar IA já ultrapassa os 30%.
Apenas no setor das infraestruturas do mercado financeiro não se registaram operadores a recorrer à Inteligência Artificial. As funções identificadas em que se utiliza IA são no geral associadas a machine learning para análise de dados (61%), automatização de workflows e tomada de decisão (36%) e conversão de linguagem (14%).
- Medidas de proteção contra ameaças de cibersegurança:
De forma geral, as medidas de segurança mais utilizadas pelos operadores são a utilização de Firewall/WAF/Webfilter, utilização de VPN, palavras-passe de autenticação forte, aplicação de patches de segurança, a atualização dos softwares e backups de dados em diferentes localizações nos vários setores. Verifica-se, também, que a aplicação de medidas como a autenticação multifator, criptografia, ou de manutenção de logs para análise pós-incidente é feita por menos de 50% dos operadores inquiridos. Há que destacar, no entanto, a vasta utilização das medidas de segurança mencionadas no setor bancário, com quase 90% dos operadores a fazer uso da maioria das medidas indicadas. Já as medidas de proteção segurança de rede em cloud, ter uma equipa de especialistas em cibersegurança e controlos biométricos para identificação e autenticação de utilizadores são medidas menos utilizadas pelos operadores, com menos de 25% destes a implementá-las.
Tendo em conta estes dados, e usando como base os OSE, é possível afirmar que o tecido empresarial português tem ainda um longo caminho pela frente relativo à utilização da IA, assim como, na maturidade de cibersegurança, uma vez que ainda vemos gaps relevantes (>50%) na utilização de medidas recomendadas de proteção contra ameaças de cibersegurança. Como seria de esperar, é importante ressalvar o bom desempenho nos dois setores da área financeira (bancário e IMF) que estão num nível mais elevado comparativamente com ou outros setores de atividade.
Em Portugal, a legislação e as políticas públicas estão a acompanhar os desafios da cibersegurança impulsionados pela IA? Há lacunas a serem preenchidas?
Eis uma questão interessante e que pode ter várias interpretações. Na minha opinião Portugal tem dado os passos necessários em linha com as orientações da União Europeia (UE), no entanto a instabilidade política que se faz viver no país, durante os últimos anos, tem prejudicado e muito os compromissos a nível europeu. A nível político observou-se uma preocupação acrescida com a juventude e a modernização dos serviços do estado, com a criação do Ministério da Juventude e Modernização (MJM). Este ministério foi criado em 2024 pelo primeiro-ministro, Luís Montenegro, sendo a primeira titular deste ministério Margarida Balseiro Lopes, representando uma clara aposta na juventude e futuro do nosso país. Ao longo dos últimos anos, tem sido possível observar 3 grandes programas e iniciativas para apoiar a cibersegurança em Portugal, nomeadamente:
- Programas de Apoio Financeiro
Portugal 2030: Este programa disponibiliza incentivos a fundo perdido que financiam até 50% das despesas relacionadas com a inovação organizacional e a digitalização, incluindo investimentos em cibersegurança.
Plano de Recuperação e Resiliência (PRR): No âmbito deste plano, foram criados centros em várias regiões do país, como por exemplo o Centro de Competências em Cibersegurança (CCC- Centro), que apoia entidades na adoção de boas práticas de cibersegurança, sem custos adicionais.
- Iniciativas e Estratégias Nacionais
Estratégia Nacional de Segurança do Ciberespaço: Esta estratégia visa reforçar a segurança dos sistemas de informação e promover uma utilização segura e eficiente do ciberespaço em Portugal.
C-Hub: Cybersecurity Digital Innovation Hub: Iniciativa que promove a formação e o desenvolvimento de competências em cibersegurança, visando aumentar a segurança das organizações portuguesas e divulgar os riscos e benefícios das novas tecnologias.
- Papel do Centro Nacional de Cibersegurança (CNCS)
O CNCS atua como a autoridade nacional responsável por promover a utilização segura do ciberespaço, oferecendo recursos, formações e certificações para melhorar continuamente a cibersegurança nacional.
Estas iniciativas refletem o compromisso do governo português em fortalecer a cibersegurança, apoiando organizações na adoção de medidas eficazes para proteger os seus sistemas e dados. Contudo, através da análise do relatório sobre os setores dos OSE, é possível concluir que estamos ainda aquém das necessidades, uma vez que:
- Dos 8 reguladores inquiridos, apenas metade dizem ter capacidade para realizar a supervisão aos operadores, o que é uma clara fragilidade para o país;
- Destes dois deles indicaram não ter recursos orçamentais suficientes;
- Dois mencionaram insuficientes recursos tecnológicos;
- Três insuficiente maturidade em cibersegurança;
- Três entendem não ter os recursos humanos suficientes para tal.
Importa ressalvar que a rejeição da moção de confiança pelo Governo no dia 11 de março de 2025 resultou na caducidade da autorização legislativa necessária para a transposição da NIS2. Este facto criou um vazio no processo legislativo, impossibilitando o avanço da transposição nesta legislatura. Os impactos desta situação podem ser bastante significativos, uma vez que o atraso na transposição da NIS2 coloca Portugal em risco de sofrer penalizações por parte da União Europeia, devido ao incumprimento dos prazos estabelecidos para a implementação da diretiva. Além disso, criam uma incerteza elevada no tecido empresarial português, uma vez que as organizações que seriam abrangidas pela NIS2 encontram-se num vazio de informação quanto às obrigações legais e aos prazos de conformidade, dificultando a implementação de medidas de cibersegurança alinhadas com a diretiva.
O setor empresarial português está a investir o suficiente em cibersegurança ou ainda existe uma cultura de subestimação dos riscos?
Apesar de na própria UE, este orçamento surgir apenas em 2023, no âmbito do Programa Europa Digital, com um orçamento global de 1,3 mil milhões de euros, dos quais 375 milhões são dedicados à cibersegurança para o biénio 2023-2024, seria de esperar que o tecido empresarial português já tivesse adotado uma estratégia semelhante, tendo um orçamento dedicado que lhes permitisse alocar investimento à identificação dos riscos de cibersegurança e consequentes medidas que lhes permitam endereçar e monitorizar esses riscos. Conseguimos concluir claramente que persiste ainda uma cultura de subestimação dos riscos de cibersegurança, evidenciada pela falta de orçamento, investimento em formação e insuficientes recursos humanos com conhecimento especializado sobre esta temática.
De acordo com os “Relatórios sobre os Setores dos Operadores de Serviços Essenciais” publicados pela CNCS em fevereiro de 2025, o setor empresarial português ainda enfrenta desafios significativos no que diz respeito ao investimento em cibersegurança, especialmente entre as pequenas e médias empresas (PMEs).
Praticamente dois terços dos operadores inquiridos (66%) não possuem orçamento específico para a área de cibersegurança. Além disso, dos operadores que possuem orçamento específico para a cibersegurança, as áreas onde estes são mais comumente aplicados são a capacitação em tecnologia (73%), a formação dos colaboradores (67%), a gestão de vulnerabilidades (72%), análises de segurança (77%), Risk & Compliance (50%), segurança das redes (89%), aquisição de software (81%) e aquisição de hardware (81%).
Pequenas e médias empresas tendem a ser mais vulneráveis a ciberataques devido a recursos limitados. Que estratégias podem adotar para reforçar a sua segurança sem comprometer o orçamento?
É verdade que as PMEs tendem a ser mais vulneráveis devido aos orçamentos de pequena dimensão e subdimensionamento das equipas, no entanto, são também por norma, empresas com infraestruturas mais reduzidas e menos complexas, o que lhes permite gerir os riscos de cibersegurança de uma forma, mais simplificada. Felizmente, o regulador para a cibersegurança em Portugal tem distribuído várias diretrizes para apoiar estas organizações, como o Quadro Nacional de Referência para a Cibersegurança (QNRCS) que permite às organizações reduzir o risco associado às ciberameaças, disponibilizando as bases para que qualquer entidade possa cumprir os requisitos mínimos de segurança das redes e sistemas de informação. Dito isto, a melhor estratégia para as PMEs é seguir as recomendações do Centro Nacional para a Cibersegurança (CNCS), garantindo os requisitos mínimos e certificar-se com “O Selo de Maturidade Digital – Cibersegurança” promovido pela Secretaria de Estado para a Transição Digital e contido no plano de ação Portugal Digital, criado para todas as organizações, setores de atividade, tipologias e dimensões, com especial enfoque nas micro, pequenas e médias empresas (PME).
Quais são os erros mais comuns que as empresas cometem quando implementam soluções de IA sem considerar os riscos de cibersegurança?
A IA encontra-se numa fase embrionária, pelo que existem ainda muitos erros na sua implementação, não obstante gostaria de focar-me naquelas que para mim são as principais categorias, nomeadamente:
- Realização de Assessment aos Riscos de Segurança: a não existência de um Gap Assessment na implementação de IA, que efetue um levantamento de todos os riscos, permite muitas vezes a manutenção de vulnerabilidades em aberto que podem provocar a exploração por parte de hackers e a perda de dados sensíveis da organização. É importante ressalvar, que muitas das vezes não são efetuados os testes de segurança adequados antes da sua implementação.
- Conformidade regulatória: A não aplicação de regulamentação e diretivas como o AI Act, Dora, NIS2 e/ou RGPD, pode ter consequências severas com impactos financeiros relevantes.
- Gestão de Dados: A seleção dos dados utilizados para treinar a IA não é robusta e cuidada, o que faz com que estes não estejam produzidos ou encontrem-se “contaminados”. Além disso, muitas vezes o armazenamento destes dados é descurado o que expõe informações sensíveis a ataques por parte de hackers.
- Controlo de acessos: Os sistemas de IA tratam grandes volumes de dados sensíveis, mas muitas empresas não implementam um controlo de acessos robusto nem uma monitorização contínua, permitindo acessos não autorizados e indevidos.
O que é que a diretiva europeia NIS2 traz?
A Diretiva SRI 2 estabelece um quadro jurídico unificado para defender a cibersegurança em 18 setores críticos em toda a UE. Apela igualmente aos Estados-Membros para que definam estratégias nacionais de cibersegurança e colaborem com a UE na reação e aplicação transfronteiriças. A Diretiva 2022/2555, também conhecida por SRI 2, substituiu a sua antecessora, a Diretiva 2016/1148 ou SRI 1. A SRI 2 tem como objetivo aumentar o nível de maturidade da UE em matéria de cibersegurança, através do aumento do âmbito de aplicação, de regras mais claras e de instrumentos de supervisão mais sólidos. Em suma, esta diretiva tem como principais alterações:
- Abrangência de setores: Mais setores e empresas abrangidas a nível europeu;
- Ampliação de medidas: Requisitos mais rigorosos para gestão de risco e reporte de incidentes;
- Responsabilização: Responsabilização das administrações das empresas;
- Coimas e penalizações: Coimas mais severas em caso de inconformidade.
Com a nova diretiva europeia NIS2 a entrar em vigor, que mudanças as empresas portuguesas terão de fazer para cumprir os novos requisitos de segurança digital?
Com a entrada em vigor da NIS2, teremos dois grupos de empresas: as que já estavam no âmbito da antiga SRI 1 e os que não se encontravam em âmbito. O esforço para o primeiro grupo deverá ser menor, uma vez que já deveriam estar em conformidade com a antiga diretiva. Não obstante, as grandes mudanças estarão relacionadas com as medidas de gestão de riscos e segurança operacional, a notificação obrigatória às entidades reguladoras de incidentes graves, até 24 horas, a possibilidade de sanções severas por não conformidade (multas que podem ascender até €10 Milhões ou 2% do volume de negócios da organização) e responsabilização da gestão de topo da organização, incluindo diretores e até administradores.
Será necessário olhar para dentro de organização, rever os processos e tomar decisões que permitam endereçar as novas necessidades regulatórias, sendo até importante ponderar a criação de novas equipas que se possam dedicar à conformidade legal e regulatória com conhecimento na área de cibersegurança, algo que até aqui não tinha sido ponderado, pelo que os impactos serão significativos, tanto a nível financeiro como organizacional. De ressalvar que a responsabilização da gestão de topo, vem trazer um novo paradigma que até aqui não era visto, e que poderá ter como consequência, o aumento de awareness por parte dos quadros de administração para a temática da cibersegurança, deixando de reagir aos problemas (ataques de cyber) focando os esforços na prevenção dos mesmos.
Os ataques de ransomware continuam a crescer. Como é que a inteligência artificial pode ajudar na deteção e mitigação destes ataques?
Segundo o último “Relatório Riscos e Conflitos” lançado pela CNCS em outubro de 2024, em 2023, o número de incidentes registados pelo CERT.PT estabilizou relativamente ao ano anterior, fixando-se nos 2025 incidentes. Desta forma, reforça-se a tendência que se verifica desde 2021 para que o crescimento anual no número de incidentes se torne menos acentuado.
Destes, o ransomware foi a ciberameaça com maior relevância, sobretudo pelo elevado impacto e pelo tipo de organização afetada, como, por exemplo, a Administração Pública Local – todavia, o CERT.PT e a Comissão Nacional de Proteção de Dados (CNPD) registaram menos casos de ransomware em 2023 face ao ano anterior, o que reforça a importância de uma análise que considere, além do número, o impacto dos ciberataques.
Estes dados sublinham a necessidade urgente de reforçar as medidas de cibersegurança no país, incluindo investimentos em processos, ferramentas e capacitação de pessoal, para proteger serviços e infraestruturas digitais.
A utilização de inteligência artificial quando bem aplicada pode ajudar a minimizar os riscos de cibersegurança. Atualmente, já existem vários sistemas de IA que efetuam análise preditiva, permitindo prever ameaças, antecipar comportamentos suspeitos e atividades anómalas antes que estas se concretizem. A utilização de algoritmos de IA em sistemas de cibersegurança, permitem agregar funcionalidades de monitorização mais eficazes e eficientes, bem como, a automatização de ações de resposta em tempo real, facilitando e apoiando a tomada de decisão. A atualização contínua dos dados que são fornecidos à organização, podem ser avaliados pelos algoritmos, conferindo robustez aos processos e ajudando na identificação de falsos positivos, o que permite às equipas estarem focadas nas ameaças reais.
Estes sistemas adaptam-se continuamente às novas formas de ataque, garantindo uma defesa proativa e dinâmica na organização. Através da sua capacidade de análise de grandes volumes de dados em tempo real, geram respostas quase imediatas, que minimizam os impactos de possíveis incidentes de segurança. Com recurso a estes sistemas podemos verificar uma resposta eficaz em vários tipos de ataque de cibersegurança, incluindo o ransomware.
Olhando para o futuro, que tendências podemos esperar na interseção entre inteligência artificial e cibersegurança? O que será essencial para as empresas estarem preparadas?
No futuro, prevê-se uma evolução acentuada na utilização da IA por parte das organizações e população em geral. A IA será utilizada para descobrir vulnerabilidades no seio das organizações, como recurso para penetrar na infraestrutura, rede e comunicação das mesmas. A inovação trazida pela IA pode ser utilizada para defender ou atacar as nossas organizações, pelo que é essencial investir e preparar-se continuamente para os seus desafios. Algumas das iniciativas importantes na preparação das nossas organizações, são o levantamento dos riscos associados à utilização dos sistemas de IA e de cibersegurança, a sua classificação e avaliação de impacto, a identificação dos controlos que endereçam os riscos identificados, o reforço do investimento em recursos especializados, formação contínua aos colaboradores e investimento em ferramentas e sistemas de cibersegurança de última geração que recorrem a IA. Importa ressalvar, que a implementação do modelo das 3 linhas de defesa do The Institute of the Internal Auditors (IIA), será também importante para garantir que a componente de compliance e auditoria, enquanto 2º e 3º linha de defesa, respetivamente, efetuam o seu trabalho de forma efetiva, ajudando a organização a controlar e validar de forma independente que se encontram implementados os controlos devidos para a minimização dos riscos da introdução desta nova tecnologia na nossa vida pessoal, social e empresarial.
A IA e a Cibersegurança podem ser os melhores amigos ou piores inimigos, tudo depende da forma como as utilizamos e aplicamos. O futuro depende de nós.
