O ano de 2025 não foi apenas mais um marco no calendário tecnológico – foi o ano de uma mudança de paradigma profunda. As fronteiras entre cibersegurança e inteligência artificial dissolveram-se por completo. A IA deixou de ser uma ferramenta paralela para se tornar o amplificador supremo tanto das ameaças como das defesas. Amplificou ataques clássicos como phishing, fraude e extorsão em escala, qualidade e velocidade inéditas, enquanto reforçou deteção, triagem e resposta automatizadas. E assim nasceu o “efeito tesoura”: uma maior pressão ofensiva e uma dependência defensiva cada vez mais arriscada na automação, que, quando falha, gera riscos sistémicos ampliados.

“Os números do Global Cybersecurity Outlook 2025 do Fórum Económico Mundial são elucidativos: 72% das organizações reportaram aumento do risco cibernético, com quase 47% a identificar avanços adversários potenciados por GenAI como a principal preocupação. Ransomware e engenharia social mantiveram-se no topo das ameaças”, começa por referir Paulo Vieira, membro do Advisory Board da CIONET e country manager da Netskope Portugal.

Para o responsável da CIONET, este ano deixou uma lição inescapável: não existe transformação digital – cloud, API, SaaS, DevOps, agentes IA – sem uma transformação paralela do risco. E a IA acelerou precisamente o lado mais perigoso dessa equação.

No panorama de ameaças, o ransomware evoluiu de mera encriptação para o controlo da narrativa, com modelos de dupla ou tripla extorsão (encriptação + exfiltração de dados + ameaça de publicação ou assédio). Recuperar backups tornou-se necessário, mas insuficiente perante a perda de confiança e exposição de dados.

As cadeias de dependência – cloud, identidades, integrações, parceiros – normalizaram-se como vetor crítico. Um ponto fraco num fornecedor propaga falhas em cascata. A pergunta deixou de ser “estamos seguros?” para “quais as nossas dependências críticas, que permissões concedemos a automações e como monitorizamos fornecedores e identidades não humanas?”

Paulo Vieira prossegue e explica que, do lado ofensivo, a GenAI tornou phishing e a engenharia social quase perfeitos: mensagens personalizadas, sem erros, com vozes e scripts sintéticos. Aumentaram drasticamente casos de business email compromise, fraudes em pagamentos e campanhas multicanal.

Quando LLM (Large Language Models – aprendizagem dos modelos IA) ganharem acesso a ferramentas – email, CRM, consolas cloud –, surgirá uma nova classe de vulnerabilidades. A resposta passa por arquiteturas de contenção: mínimos privilégios, AI gateways, auditoria rigorosa e aprovação humana para ações sensíveis.

Na defesa – continua o membro do Advisory Board da CIONET –, a “segurança de IA” afirmou-se como disciplina autónoma, abrangendo proteção de dados de treino, resistência a poisoning, red teaming contínuo e observabilidade. “Infelizmente, a maturidade média permanece muito baixa”, sublinha.

É-nos ainda explicado que 2025 foi também o ano regulatório europeu por excelência. DORA entrou em vigor a 17 de janeiro, impondo resiliência operacional no setor financeiro. NIS2 alargou âmbito e responsabilidade. O EU AI Act iniciou a rampa: obrigações iniciais em fevereiro e agosto de 2025, aplicação plena em agosto de 2026, forçando prova concreta de governação, auditoria e controlo de risco em sistemas IA.

Cinco lições de 2025 e os desafios de 2026

Paulo Vieira aponta cinco lições duras que 2025 nos legou:

A identidade – humana e não humana – é o novo perímetro de segurança;

Prevenção não basta; resiliência (deteção rápida, isolamento, planos testados) é imperativa;

Cadeias de fornecimento exigem programas vivos de monitorização e teste;

A IA não elimina trabalho – desloca-o para governação, testes e controlo;

E modelos com ferramentas, transformam-se em superutilizadores que necessitam de travões rigorosos.

Olhando para 2026, os desafios prometem intensificar-se. Estes, segundo o membro do Advisory Board da Cionet, são:

Ataques a agentes IA autónomos via prompt injection e tool misuse;

Prompt injection como risco estrutural crónico, exigindo policy engines externas;

Fraudes multicanal com deepfakes, tornando verificação forte indispensável;

Conformidade plena com o AI Act, alinhando engenharia, risco e jurídico;

Risco de concentração em fornecedores, com potencial para falhas em cascata.

“A principal lição de 2025 não é tecnológica, é estratégica. Num contexto em que a Inteligência Artificial acelera decisões, automatiza processos e redefine cadeias de valor, a forma como as organizações gerem o risco digital passou a ser um fator direto de competitividade”, informa, Paulo Vieira.

Empresas que não controlam as suas dependências, identidades e sistemas automatizados “tornam-se mais lentas a reagir, mais expostas a disrupções e menos confiáveis para clientes, parceiros e reguladores”, avisa o responsável da CIONET. Pelo contrário, prossegue, organizações que investem em governação da automação, resiliência operacional e controlo efetivo do risco “ganham agilidade”. “Conseguem inovar mais depressa, responder melhor a incidentes e adaptar-se a exigências regulatórias sem travar o negócio”, assegura.

Para concluir, Paulo Vieira acredita que no próximo ano, a confiança deixará de ser apenas um ativo reputacional e passará a ser um ativo operacional. Será construída através de processos robustos, decisões auditáveis e capacidade demonstrada de resistir a falhas – internas ou externas. Num mercado cada vez mais interligado, essa confiança será determinante para ganhar clientes, manter parcerias e aceder a novos ecossistemas digitais.

“A cibersegurança e a governação da IA deixam, assim, de ser centros de custo ou temas exclusivamente técnicos. Tornam-se alavancas de competitividade. As organizações que souberem equilibrar velocidade com controlo, inovação com responsabilidade e automação com supervisão estarão mais bem posicionadas para crescer num ambiente em que a agilidade depende, cada vez mais, da confiança”, termina Paulo Vieira.