Por Henrique Zalaf
A segurança digital no Brasil enfrenta um desafio persistente: o fator humano continua sendo o elo mais vulnerável, com falhas que geram consequências jurídicas e financeiras significativas. É crucial ir além das meras “falhas” e reconhecer que, muitas vezes, estão sendo deixados de lado os aspectos dolosos e intencionais de vazamento de informações. Casos notórios, como os amplamente veiculados pela imprensa envolvendo a empresa C&M, evidenciam que o problema transcende a desatenção ou o erro, adentrando o campo da má-fé e da ação deliberada para expor dados, com impactos ainda mais devastadores.
Dados do primeiro quadrimestre de 2025 mostram que 73% dos incidentes reportados à ANPD decorrem de erros humanos — como cliques em links maliciosos, senhas fracas ou envio equivocado de arquivos. Esse perfil se repete em diferentes setores: mesmo com tecnologias avançadas, a engenharia social permanece o vetor predominante de ataques cibernéticos.
Com 77 incidentes registrados entre janeiro e abril, a ANPD constatou que 55 ocorreram no setor privado, com destaque para os estados de São Paulo (26 casos) e Distrito Federal (16). Entre os principais vetores de risco estão o roubo de credenciais, ataques por ransomware e sequestro de dados, todos agravados pela falta de preparo dos usuários e pela ausência de políticas internas eficazes de prevenção e resposta.
A combinação de infraestrutura tecnológica com comportamento humano despreparado é, hoje, o ponto de maior exposição das organizações.
O caso da XP Investimentos, ocorrido em março de 2025, ilustra com clareza esse cenário. Um incidente envolvendo um fornecedor terceirizado resultou na exposição de dados sensíveis de clientes, como saldos e limites de crédito. A falha de segurança — ainda que externa — gerou não apenas um enorme desgaste reputacional, mas também possíveis ações judiciais e a instauração de procedimento pela ANPD. A responsabilidade das empresas sobre os dados de seus usuários, mesmo quando armazenados ou tratados por terceiros, é objetiva e direta à luz da Lei Geral de Proteção de Dados (LGPD).
A legislação brasileira prevê multas de até R$ 50 milhões por infração, além da obrigação de reparação individual às vítimas. Para mitigar esses riscos, empresas têm recorrido cada vez mais a seguros cibernéticos, que oferecem suporte em resposta a incidentes e coberturas que vão desde investigações técnicas até a defesa jurídica. No entanto, o seguro não substitui uma boa governança: ele atua como escudo complementar, e não como substituto da prevenção.
No setor público, a vulnerabilidade também é evidente. O INSS foi alvo de vazamento de dados de aposentados. Além da possibilidade de responsabilização Judicial, o órgão foi obrigado pela ANPD a divulgar amplamente o incidente, o que demonstra o impacto regulatório e de imagem que tais falhas acarretam.
Os impactos reputacionais de um vazamento de dados vão muito além das sanções administrativas. Especialistas alertam que, após esses episódios, aumentam exponencialmente os golpes e fraudes direcionados aos clientes afetados. As empresas, então, veem-se obrigadas a investir rapidamente em medidas de contenção, reforço de autenticação e campanhas de comunicação — quase sempre em caráter reativo, quando o dano já foi consumado. Em um mercado competitivo, a perda de confiança pode ser mais letal que qualquer sanção financeira.
Diante desse panorama, o investimento em treinamento e conscientização dos colaboradores é urgente e estratégico. Programas de capacitação contínua, simulações de phishing, canais internos de denúncia e políticas claras de segurança da informação são instrumentos fundamentais para reduzir a exposição humana. A criação de uma cultura organizacional voltada à responsabilidade digital é o único caminho sustentável para reduzir a incidência de falhas e aumentar a resiliência das instituições.
A segurança da informação é, hoje, um dos principais pilares da sustentabilidade empresarial, e o fator humano ocupa papel central nessa equação. Embora as soluções tecnológicas avancem rapidamente, nenhuma infraestrutura é capaz de proteger uma organização da negligência, distração ou desconhecimento de seus próprios colaboradores. A segurança digital começa — e termina — nas pessoas. O desafio das empresas não é apenas técnico, mas profundamente humano: transformar a cultura interna e tornar cada usuário um agente ativo de proteção e responsabilidade no ambiente digital.