O verão é, há muito, a época preferida dos cibercriminosos. Enquanto as equipas de TI e segurança operam com menos elementos e as organizações abrandam o ritmo, os atacantes intensificam a actividade, aproveitando tempos de resposta mais lentos, cadeias de decisão interrompidas e sistemas por actualizar. Os dados mais recentes confirmam o padrão: as estatísticas apontam para um aumento de 40% nos ciberataques durante períodos de férias, sendo os meses de verão particularmente vulneráveis. Para as empresas portuguesas — e em particular para as PME —, ignorar este ciclo sazonal é um risco que o enquadramento legal vigente já não permite.
O calendário dos atacantes
A lógica é simples, mas as consequências são complexas. O panorama de ameaças não pausa para as férias de verão. Se algo há, os atacantes procuram activamente períodos em que as organizações operam com cobertura reduzida. Investigação da KPMG sublinha que os períodos de férias, incluindo o verão e a época festiva entre outubro e dezembro, são frequentemente oportunidades privilegiadas para ciberataques. Enquanto os colaboradores se afastam das secretárias, os agentes de ameaça continuam a sondar vulnerabilidades, a lançar campanhas de phishing e a procurar sinais de tempos de resposta mais lentos.
A táctica não é nova, mas tornou-se mais sofisticada. Os atacantes estabelecem acesso inicial semanas antes, através de um e-mail de phishing ou de uma vulnerabilidade por corrigir, e depois aguardam. Activam a carga maliciosa numa tarde de sexta-feira antes de um fim de semana prolongado, quando os recursos humanos estão no mínimo e os tempos de resposta são os mais longos. O Semperis 2025 Ransomware Holiday Risk Report concluiu que 78% das empresas reduzem os recursos dos seus centros de operações de segurança em 50% ou mais durante feriados e fins de semana, sendo que 6% eliminam completamente a cobertura de segurança nesses períodos.
Phishing potenciado por IA e o efeito do “fora do escritório”
O risco não reside apenas no aumento de volume dos ataques. O perigo real não é apenas que os ataques aumentem durante os períodos de férias. É que equipas mais reduzidas tornam ataques comuns, como o phishing e o Business Email Compromise (BEC), mais difíceis de detectar e mais fáceis de executar.
A inteligência artificial amplifica este risco de forma dramática. O Relatório de Segurança de E-mail Kaseya 2026 concluiu que, à medida que os atacantes utilizam crescentemente a IA para tornar os ataques de phishing mais convincentes e escaláveis, os sinais de alerta tradicionais estão a tornar-se menos fiáveis, tornando os pedidos fraudulentos mais difíceis de identificar. A IBM descobriu que a IA generativa reduziu o tempo necessário para criar um e-mail de phishing eficaz de 16 horas para apenas 5 minutos.
As respostas automáticas de ausência do escritório, aparentemente inofensivas, transformam-se em vectores de ataque. As respostas automáticas de fora do escritório fornecem aos atacantes pistas sobre quem está ausente, facilitando o escalonamento de ataques ou a engenharia social dos colaboradores que ficam. Com cadeias de aprovação interrompidas e decisores-chave fora do escritório, os colaboradores estão menos propensos a verificar pedidos urgentes ou a questionar e-mails suspeitos. Isto cria oportunidades para os atacantes se fazerem passar por executivos, fornecedores ou contactos de confiança para roubar credenciais ou desviar fundos.
O problema do “dwell time” e os ciclos de patching interrompidos
Quando um ataque não é detectado de imediato, o custo cresce exponencialmente. Em segurança, este fenómeno designa-se “dwell time”. Quanto mais tempo os atacantes permanecem dentro de uma rede, mais oportunidades têm para roubar credenciais, aceder a dados sensíveis, movimentar-se lateralmente ou lançar um ataque de ransomware.
O atraso nos ciclos de actualização de software é outro factor crítico. As lacunas de pessoal criam estrangulamentos operacionais em toda a organização. Os ciclos de patching ficam atrasados, as vulnerabilidades permanecem sem ser tratadas por períodos mais longos e as investigações podem não receber atenção imediata. A realidade é que as vulnerabilidades conhecidas são frequentemente exploradas rapidamente — por vezes nas horas seguintes à sua divulgação pública. Estima-se que 32% dos ciberataques têm início numa vulnerabilidade por corrigir, e muitas equipas de segurança informática aguardam pelo fim da época de férias para aplicar patches.
As PME são o alvo preferencial
A época de férias de verão é um pico de ciberataques, e as pequenas e médias empresas, com equipas mais reduzidas e menos recursos de monitorização contínua, são especialmente vulneráveis a phishing, ransomware e acessos não autorizados. O problema agrava-se com a entrada de estagiários e colaboradores temporários sem formação adequada em segurança. O pessoal temporário carece frequentemente de formação adequada em consciencialização para a segurança e é mais susceptível a ataques de phishing.
Em Portugal, o panorama de ameaças já é preocupante fora do verão. Em 2024, o país registou um recorde de 2.758 incidentes, reflectindo um crescimento de 36% num único ano e um aumento acumulado superior a 716% desde 2019. O phishing, o smishing e outras formas de engenharia social mantêm-se entre as ameaças mais recorrentes, e 90% das entidades inquiridas pelo CNCS percepcionam um risco acrescido de sofrer um incidente em 2025. Este contexto torna a sazonalidade estival um multiplicador de risco que não pode ser desconsiderado.
Respostas práticas: automação, planos de cobertura e acesso controlado
As organizações mais bem preparadas para estes riscos sazonais não são as que pedem aos colaboradores que abdiquem das férias. São as que constroem operações de segurança resilientes, capazes de manter visibilidade, detectar ameaças e responder de forma consistente independentemente dos níveis de pessoal — reduzindo a dependência de processos manuais, automatizando tarefas de segurança de rotina e garantindo que as funções críticas continuam a operar mesmo quando o pessoal-chave está ausente.
As medidas concretas incluem: rever, antes do início dos períodos de férias, quem recebe notificações, quem toma decisões de resposta e quem assume responsabilidades quando os colaboradores-chave estão indisponíveis — com estas funções documentadas antecipadamente, os incidentes podem continuar a ser tratados mesmo com níveis reduzidos de pessoal. Adicionalmente, impõe-se exigir VPN, autenticação multifactor e protecção de endpoint para qualquer colaborador que aceda a ficheiros de trabalho remotamente; realizar simulações de phishing para testar a sensibilização; e rever quem tem acesso a sistemas sensíveis, limitando permissões durante os períodos de férias.
A gestão automatizada de patches fecha vulnerabilidades de forma contínua e programada, independentemente de quem está ou não no escritório. Para PME sem recursos para manter equipas de segurança próprias a tempo inteiro, a contratação de um fornecedor de serviços de segurança geridos (MSSP) ou a subscrição de um serviço de monitorização contínua podem ser a diferença entre detetar um ataque em horas ou só semanas depois.
Porque é que isto importa
O quadro legal português já não admite lacunas sazonais na gestão de risco de cibersegurança. Portugal deu um passo decisivo na aplicação prática da directiva europeia NIS2 com a publicação do regulamento que concretiza as disposições do novo Regime Jurídico da Cibersegurança, na sequência da entrada em vigor, em dezembro de 2025, do Decreto-Lei n.º 125/2025. O regulamento, aprovado pelo Centro Nacional de Cibersegurança (CNCS), estabelece as regras de funcionamento da futura plataforma electrónica nacional de cibersegurança, define os níveis de conformidade exigidos às entidades abrangidas e fixa as medidas mínimas de segurança obrigatórias para organizações consideradas essenciais, importantes ou públicas relevantes.
Após a transposição através do Decreto-Lei n.º 125/2025, o incumprimento pode acarretar multas avultadas e medidas administrativas severas supervisionadas pelo CNCS. Um dos aspectos mais críticos é que a norma não sanciona apenas a empresa, mas aponta directamente aos seus líderes: os órgãos de gestão devem aprovar e supervisionar as medidas de gestão de riscos, e se se demonstrar negligência, podem enfrentar sanções individuais segundo a normativa portuguesa. A sazonalidade do verão, com as inevitáveis ausências e a redução de cobertura operacional, não pode ser invocada como justificação para falhas de monitorização ou de resposta a incidentes. O RGPD, por seu turno, impõe prazos de notificação de violações de dados que não se suspendem durante agosto. A resiliência cibernética, em suma, não tem época de férias.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela BleepingComputer, Semperis, KPMG, Kaseya, Centro Nacional de Cibersegurança (CNCS) e Decreto-Lei n.º 125/2025.
