As pequenas e médias empresas portuguesas estão mais expostas a ciberataques do que a média mundial — e a adoção acelerada da inteligência artificial está a agravar essa vulnerabilidade. É esta a principal conclusão de um novo estudo internacional que coloca Portugal abaixo da média global em vários indicadores de cibersegurança.
O estudo: 100 PME portuguesas numa amostra global
Os dados resultam do relatório “SMBs in the Age of AI: Navigating cyber complexity and building resilience”, conduzido pela consultora IDC a pedido da Sage. O inquérito abrangeu 2.210 PME em oito países, incluindo uma amostra de 100 empresas portuguesas, e procurou avaliar o estado de preparação destas organizações face às ameaças digitais, num momento em que a IA transforma tanto os negócios como os métodos de ataque.
Portugal abaixo da média global
O retrato nacional é menos favorável do que o panorama internacional. Enquanto a nível global mais de metade das empresas (54%) não registou qualquer incidente de cibersegurança no último ano, em Portugal essa percentagem desce para os 43%. Por outras palavras, mais de metade das PME nacionais foi afetada por algum tipo de ataque nos últimos doze meses.
As consequências também são mais severas em território nacional. Segundo o estudo, 39% das empresas portuguesas enfrentaram incidentes menores, mas resolvidos com rapidez, enquanto 16% registaram incidentes que causaram disrupções significativas no negócio — um valor acima da média global de 11%.
A IA: vantagem competitiva e nova superfície de ataque
O relatório sublinha o paradoxo central que as PME enfrentam: a inteligência artificial é encarada como um motor de inovação e competitividade, mas amplia simultaneamente a superfície de exposição a ataques. O nível de maturidade da segurança aplicada à IA é, em Portugal, particularmente baixo — apenas 1% das PME nacionais considera ter um nível “maduro” nesta área, contra 6% a nível global.
O patamar mais comum é o “básico”, que abrange cerca de um terço das empresas portuguesas, e uma fração relevante admite não ter implementado qualquer mecanismo de proteção específico para aplicações de IA. Entre os principais obstáculos apontados está a falta de competências e de especialização interna em segurança de IA.
Falhas estruturais na gestão da cibersegurança
Mais do que uma questão de tecnologia, o estudo identifica um problema de execução e de estrutura de gestão. Apenas cerca de um quarto das empresas portuguesas adota uma abordagem verdadeiramente proativa de cibersegurança, abaixo da média global. Especialistas citados no relatório alertam que muitas PME continuam a acreditar, erradamente, que não são um alvo prioritário — quando, na realidade, as ameaças são cada vez mais generalizadas e automatizadas.
O que as PME podem fazer
As recomendações que emergem do estudo alinham-se com as boas práticas internacionais e são, em larga medida, acessíveis a qualquer organização:
- Integrar a cibersegurança nas iniciativas de IA desde o início, e não como uma camada adicionada à posteriori
- Definir uma política clara de utilização de IA na organização
- Recorrer apenas a ferramentas de IA aprovadas e dotadas de controlos administrativos
- Realizar testes de segurança antes do lançamento de novas ferramentas
- Adotar uma abordagem transversal a toda a organização para a ciber-resiliência
Num contexto em que o novo Regime Jurídico da Cibersegurança (que transpõe a Diretiva NIS2) aumenta as exigências sobre as organizações, reforçar a maturidade de segurança deixou de ser opcional para as PME portuguesas — sobretudo as que operam em setores ou cadeias de fornecimento considerados essenciais.
Esta informação tem caráter noticioso e baseia-se nos dados do estudo “SMBs in the Age of AI”, da IDC para a Sage, divulgados publicamente.