Quase metade das PME portuguesas sofreram ciberataques relacionados com IA no último ano

Quase metade das pequenas e médias empresas (PME) portuguesas sofreu pelo menos um ciberataque relacionado com Inteligência Artificial (IA) no último ano, revela o Relatório de Ciberpreparação da Hiscox 2025.

De acordo com o estudo, 48% das organizações identificaram ferramentas e softwares de IA como portas de entrada para ciberataques, refletindo como esta tecnologia, que impulsiona a eficiência e inovação, também amplia a superfície de exposição a riscos. Em termos gerais, 54% das empresas portuguesas foram alvo de pelo menos um ataque cibernético nos últimos 12 meses, com mais de metade dessas enfrentando entre um a dez incidentes.

O relatório destaca que os dispositivos IoT corporativos, como equipamentos industriais e sensores conectados, foram a via mais comum de ataque, afetando 33% das empresas. Outros vetores significativos incluem servidores internos (30%), dispositivos móveis de colaboradores, como portáteis e telemóveis (29%), ataques de phishing e engenharia social direcionados a colaboradores (28%) e dispositivos móveis da própria empresa (27%). Além destes, comprometimentos de email corporativo (27%), falhas na cadeia de fornecimento (26%), servidores na cloud (24%), serviços de acesso remoto como VPN (24%) e ataques de negação de serviço (DDoS) (23%) também foram identificados.

A IA surge assim como uma porta de entrada relevante para ataques, afetando 24% das empresas, o que evidencia que os cibercriminosos estão a explorar ativamente as vulnerabilidades da rápida adoção tecnológica.

Apesar do aumento das ameaças, 86% das empresas portuguesas mantêm uma visão positiva da IA, considerando-a um ativo fundamental para a inovação e competitividade. No entanto, cresce a preocupação face à segurança, com 26% das organizações a reconhecerem falhas potenciais nos seus softwares e sistemas, 25% a considerarem a infraestrutura de rede como possível via de entrada para ataques, e 18% a apontarem para os colaboradores como alvos de phishing ou engenharia social. Ainda, 17% sublinham riscos ligados às instalações físicas e falhas em serviços públicos, enquanto 14% identificam vulnerabilidades associadas a parceiros ou terceiros com acesso aos dados ou sistemas da empresa.

No horizonte dos próximos cinco anos, as PME portuguesas antecipam ameaças mais sofisticadas, nomeadamente ataques de engenharia social potenciados por IA (22%), utilização de dados comprometidos ou modelos de IA adulterados (21%), risco de a IA assumir controlo dos dados empresariais (19%) e vulnerabilidades em ferramentas de IA de terceiros, como o ChatGPT (18%). Esta antecipação revela uma maturidade crescente na avaliação dos riscos tecnológicos.

Para reforçar a resiliência face a estes desafios, as empresas estão a definir prioridades claras de investimento. A formação e sensibilização dos colaboradores lidera as medidas preferenciais, apontada por 46% das empresas. A inclusão dos riscos associados à IA nas apólices de ciberseguro é também uma prioridade para 46% das PME. Outras ações contemplam o reforço de políticas internas sobre IA (41%), o desenvolvimento de soluções próprias (39%), a contratação de consultores especializados em segurança de IA (39%), recrutamento de profissionais com conhecimento em IA (35%) e a realização de auditorias regulares do uso da IA nas organizações (31%).

Ana Silva, Cyber Lead da Hiscox Portugal e Espanha, afirma que "o relatório deste ano mostra como a IA se tornou uma ferramenta com grande potencial para as PMEs portuguesas, mas também uma nova ameaça para a sua cibersegurança. Verificámos que a IA não só abre portas de entrada a ciberataques, como também está a dar origem à evolução das ciberameaças, como o phishing potenciado por IA".

O relatório foi elaborado com base em entrevistas a uma amostra de 5.750 profissionais responsáveis pela estratégia de cibersegurança em vários países, incluindo Portugal, e abrange PME com menos de 250 colaboradores. A recolha de dados realizou-se entre 29 de julho e 8 de agosto de 2025.