Quase metade das pequenas e médias empresas (PME) portuguesas foi alvo, no último ano, de pelo menos um ciberataque relacionado com o uso de tecnologia de inteligência artificial (IA).
Segundo o relatório de Ciberpreparação da Hiscox 2025, divulgado esta segunda-feira, “a realidade cibernética das empresas portuguesas é cada vez mais exigente: 54% das empresas foram alvo de pelo menos um ataque nos últimos 12 meses, sendo que mais de metade registou entre um e dez incidentes”.
No que diz respeito a ataques ligados a vulnerabilidades associadas à IA, “48% das empresas portuguesas confirmam ter sido alvo de pelo menos um ciberataque nos últimos 12 meses”, o que indica que “os cibercriminosos estão a explorar ativamente as fragilidades geradas pela rápida adoção desta tecnologia”.
Entre os vetores mais frequentes de ataque, o estudo identifica os dispositivos IoT (Internet of Things ou Internet das Coisas) corporativos, presentes em equipamentos industriais, sensores e infraestruturas conectadas, que afetaram 33% das empresas. Seguem-se os servidores internos das empresas (30%) e os dispositivos móveis dos colaboradores, como portáteis e telemóveis (29%).
O relatório destaca ainda ataques direcionados a colaboradores através de phishing ou engenharia social (28%), dispositivos móveis da própria empresa (27%), compromissos de email corporativo (27%), falhas na cadeia de fornecimento (26%), servidores na cloud (24%), serviços de acesso remoto como VPN (24%) e ataques de negação de serviço (DDoS) (23%). As próprias ferramentas ligadas à IA surgem também como porta de entrada destes ataques, afetando quase um quarto (24%) das empresas.
Apesar do agravamento das ameaças, as empresas portuguesas mantêm uma visão maioritariamente positiva sobre a inteligência artificial. Segundo o relatório, para 86% das PME a IA “é sobretudo um ativo fundamental para a inovação e competitividade”.
No entanto, persistem fragilidades. Cerca de 26% das empresas consideram que o seu software e sistemas podem apresentar falhas, 25% apontam a infraestrutura de rede como possível via de entrada de ameaças, 18% reconhecem que os colaboradores podem ser alvo de ataques de phishing ou engenharia social e 17% identificam riscos associados às instalações físicas ou a falhas em serviços públicos. Já 14% alertam para vulnerabilidades relacionadas com parceiros ou terceiros com acesso a dados ou sistemas da empresa.
O uso de IA generativa traz novos desafios para a cibersegurança das PME. O estudo indica que 22% das empresas antecipam, nos próximos cinco anos, ataques de engenharia social potenciados por IA, enquanto 21% apontam riscos associados à utilização de dados comprometidos ou modelos de IA adulterados. Cerca de 19% receiam que a IA venha a assumir controlo sobre dados empresariais e 18% identificam vulnerabilidades em ferramentas de IA de terceiros, como o ChatGPT.
Perante este cenário, as PME portuguesas apontam como principais prioridades de investimento a formação e sensibilização dos colaboradores, considerada essencial por 46% das empresas para reforçar a resiliência face aos riscos associados à IA. A mesma percentagem planeia ainda “garantir que as suas apólices de ciberseguro incluem riscos associados à IA”.
“O relatório deste ano mostra como a IA se tornou uma ferramenta com grande potencial para as PME portuguesas, mas também uma nova ameaça para a sua cibersegurança”, afirma a cyber lead da Hiscox Portugal e Espanha, Ana Silva, citada em comunicado.
O estudo foi realizado pela Hiscox em parceria com a consultora Wakefield Research, com base em entrevistas a 5.750 profissionais responsáveis pela estratégia de cibersegurança nos Estados Unidos, França, Alemanha, Espanha, Reino Unido, Irlanda e Portugal, todos a trabalhar em empresas com menos de 250 colaboradores.
