Incidentes cibernéticos despontam como preocupação crítica de curto e longo prazo, segundo relatórios mais recentes do Fórum Econômico Mundial. A pauta vai muito além de fraudes e vazamentos de dados: ataques cibernéticos têm potencial para paralisar empresas, instituições e até países inteiros.
O impacto financeiro é alarmante. O custo direto e indireto dos ciberincidentes representa 14% do PIB global por ano (Fórum Econômico Mundial, 2024). No Brasil, esse valor pode chegar a 18% do PIB — o equivalente a R$ 2,3 trilhões, segundo o INCC. Em média, cada incidente custa US$ 4,8 milhões (IBM, 2024). Quando uma empresa de capital aberto sofre um ataque bem-sucedido, independentemente de sua performance anterior, o valor de suas ações tende a cair, em média, 7,5% (Harvard Business Review, 2023).
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Diante desse cenário, diversas estratégias vêm sendo apontadas como caminhos para a mitigação de riscos. Entre elas, destacam-se: a coordenação nacional de cibersegurança, pois a fragmentação entre diferentes stakeholders leva a respostas lentas e ineficazes diante do volume e da complexidade das ameaças; a harmonização regulatória, com a criação de um marco legal claro, equilibrado e baseado em risco, alinhado às melhores práticas internacionais e sem impor custos operacionais proibitivos; a implementação de um programa nacional de conscientização em cibersegurança, voltado a empresas e cidadãos, que também integre o tema aos currículos educacionais, desde o ensino básico até o superior.
No cenário internacional, a movimentação já começou há décadas. A Convenção de Budapeste sobre crimes cibernéticos foi adotada em 2001. A partir da segunda década dos anos 2000, a União Europeia aprovou a diretiva NIS, obrigando os 27 países do bloco a criarem legislações e estruturas nacionais de cibersegurança. Países como China, Rússia, Japão e Coreia do Sul também desenvolveram leis e órgãos específicos. Mais recentemente, a UE aprovou a NIS2, elevando ainda mais o nível de exigência.
No Brasil, os avanços têm sido tímidos. Apenas em 2023 o país promulgou sua adesão à Convenção de Budapeste. As exigências existentes são, em geral, setoriais e não harmonizadas. Leis como o Código Civil, o Código de Defesa do Consumidor, o Marco Civil da Internet, a Lei de Propriedade Industrial e a LGPD, por exemplo, contêm dispositivos relacionados ao tema, assim como regulações específicas para setores como o financeiro, telecomunicações, seguros e saúde. No entanto, falta um corpo normativo comum, além de outros setores sequer contarem com exigências mínimas em cibersegurança.
A ausência de um órgão regulador nacional e intersetorial compromete a implementação de normas transversais, recomendadas pelas boas práticas internacionais. Essa lacuna pode ajudar a explicar por que o Brasil figura entre os países mais atacados do mundo. Sem regras claras, a cibersegurança é frequentemente negligenciada — e os prejuízos só se evidenciam quando já é tarde demais.
Lembrando-se que 98% dos ataques cibernéticos poderiam ser evitados com medidas básicas de higiene digital, como uso de antimalware, atualização de sistemas, autenticação multifator, controle de acessos e governança de credenciais (Microsoft Digital Defense Report, 2022). Ou seja, um órgão central pautando a conscientização de empresas e pessoas, já seria suficiente para evitar boa parte dos incidentes.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
Embora a criação de uma estrutura nacional de governança em cibersegurança represente um investimento relevante — e que deve ser analisado com cautela à luz do cenário fiscal atual — os números indicam que, se bem desenhada e executada com foco em eficiência e coordenação, essa medida pode gerar impactos econômicos positivos. Estima-se que a prevenção de apenas 10% dos prejuízos causados por ataques cibernéticos já resultaria em uma economia anual entre R$ 150 e R$ 230 bilhões. Mesmo considerando um custo total estimado em R$ 500 milhões anuais a partir do quinto ano, o potencial de retorno seria muito expressivo, com ganhos da ordem de 300 vezes superiores ao investimento. Sob a ótica governamental, a arrecadação tributária derivada dessa economia superaria os R$ 50 bilhões — o que representaria um retorno fiscal superior a 100 vezes o valor investido. Ainda assim, é essencial que qualquer proposta avance com base em diálogo intersetorial, transparência e racionalização de recursos.
Em outras palavras, cibersegurança deixou de ser uma questão meramente técnica. É uma escolha estratégica e essencial — de líderes, conselhos e, acima de tudo, das nações.
E o Brasil: seguirá pagando o preço da inação?
