Cibersegurança no Brasil: entre a Estratégia E-Ciber e a onda de ataques que expõe a fragilidade institucional

O salto regulatório: a Estratégia Nacional de Cibersegurança em vigor

Agosto de 2025 marca um ponto de inflexão na política de cibersegurança brasileira. O governo federal publicou os Decretos nº 12.573 e nº 12.572, que instituem a Estratégia Nacional de Cibersegurança, conhecida como E-Ciber, e formalizam a elevação de critérios de segurança cibernética ao status de Segurança Nacional. O documento, elaborado pela Secretaria Estratégica de Cibersegurança do Gabinete de Segurança Institucional, não é apenas declaratório: aponta para uma mudança na postura do Estado como regulador, deixando para trás a era da autorregulação setorial e das boas práticas voluntárias.

A E-Ciber estabelece cinco eixos estruturantes: governança centralizada, defesa cibernética, segurança de infraestruturas críticas, capacitação profissional e cooperação internacional. Entre as disposições mais relevantes para o setor privado, há um eixo específico para a segurança e resiliência de serviços essenciais e infraestruturas críticas, com implicações diretas para setores como energia, telecomunicações, serviços financeiros, saúde e transporte. A estratégia prevê mecanismos de regulação, fiscalização e coordenação que, na prática, transferem para o Estado a capacidade de exigir conformidade em um setor que, até então, operava majoritariamente sob autorregulação.

Os ataques que revelam o abismo

A publicação da E-Ciber coincide com uma sequência de incidentes que expõem a distância entre a ambição regulatória e a capacidade real de defesa do país. Em maio de 2026, a Polícia Civil e a Controladoria Geral do estado de São Paulo investigam um ataque cibernético que resultou no vazamento e na venda de dados sigilosos de diversos órgãos públicos estaduais. As informações roubadas incluem dados pessoais de servidores, senhas de acesso e registros internos, que estariam sendo comercializados por criminosos em fóruns clandestinos na internet.

O caso do governo de São Paulo

Segundo as investigações, o esquema criminoso é estruturado. Os hackers exploraram falhas de segurança nos servidores do governo paulista e utilizaram malwares para assumir o controle dos sistemas. Além da extração dos dados sigilosos, o grupo negociava e trocava acessos ilícitos aos sistemas governamentais — conhecidos no jargão cibernético como shells — com outros criminosos. A Polícia Civil informou que o hacker dispunha de um data center capaz de extrair e armazenar grandes volumes de dados, o que sugere preparação operacional acima da média.

A investigação ainda está em curso. A Polícia Civil solicitou à Justiça autorização para cumprir mandados de busca e apreensão, além da quebra dos sigilos telefônico e de dados telemáticos dos suspeitos. Os nomes e alvos da operação permanecem em sigilo por determinação judicial. Até o momento, as provas colhidas confirmam que os dados vazados são autênticos, o que representa um risco real à segurança da informação do estado, segundo a polícia.

Ataques ao sistema financeiro e ao setor educacional

O ataque ao governo de São Paulo não é caso isolado. Em março de 2026, um grupo hacker afirmou ter invadido sistemas da Fundação Getulio Vargas e publicou dados na dark web. A instituição negou a invasão, mas o incidente expôs a vulnerabilidade de instituições acadêmicas que armazenam dados sensíveis de milhares de pesquisadores e alunos. Também no início de 2026, um banco brasileiro sofreu ataque cibernético que resultou em desvio de recursos de contas de clientes, em um episódio que levantou questões sobre a segurança dos sistemas de pagamento instantâneo.

Esses incidentes se acumulam sobre um panorama já preocupante. De acordo com dados da empresa de cibersegurança UpGuard, o Brasil passou a registrar média mensal de milhares de tentativas de invasão, com varreduras automatizadas intensas. Um relatório da IBM de 2025 señala que os ciberataques potencializados por inteligência artificial aumentaram 72% em comparação com o ano anterior, com varreduras automatizadas chegando a 36.000 tentativas por segundo globalmente. Esses números não são abstratos: traduzem-se em custos concretos para empresas e governos que lidam com vulnerabilidades estruturais.

O novo cenário de ameaças: inteligência artificial como arma

As tendências de cibersegurança para 2026 indicam uma mudança qualitativa na natureza dos ataques. Em 2025, os ataques deixaram de ser sequenciais e passaram a ser executados em escala, com agentes de inteligência artificial automatizando toda a cadeia de ataque — do reconhecimento inicial à exfiltração de dados. Essa evolução reduziu drasticamente o tempo necessário para executar uma invasão completa: o tempo médio de permanência dos invasores em sistemas comprometidos caiu para poucos dias, diminuindo a janela de oportunidade para detecção e resposta.

O fenômeno do Shadow AI — o uso não supervisionado de ferramentas de inteligência artificial por funcionários dentro de organizações — surge como vetor de vulnerabilidade. Quando dados sensíveis são enviados para plataformas externas de inteligência artificial generativa sem controles adequados, a organização perde completamente a capacidade de auditar, restringir acessos e responder a incidentes. Organizações que sofreram violações envolvendo Shadow AI registraram um custo adicional médio de 670 mil dólares por incidente, segundo dados do setor. A raiz do problema está na falta de governança e visibilidade sobre o uso de ferramentas de inteligência artificial nos ambientes corporativos.

Deepfakes e engenharia social ampliada

Os deepfakes cresceram 1.500% entre 2023 e 2025, transformando ataques de phishing e fraudes corporativas em ameaças significativamente mais convincentes. A capacidade de clonar vozes, gerar imagens e criar vídeos falsos com aparência autêntica torna obsoletas as estratégias de verificação baseadas apenas na percepção humana. O treinamento de colaboradores para questionar o contexto de solicitações — e não apenas o formato de mensagens — tornou-se requisito básico de segurança. Essa mudança de comportamento é especialmente crítica em setores que lidam com transações financeiras ou transferência de dados sensíveis.

Impactos e custos dos incidentes cibernéticos

O custo médio de ataques de ransomware e extorsão ultrapassou a marca de 5 milhões de dólares globalmente, e esse valor não captura adequadamente os danos reputacionais, a interrupção de serviços públicos e a exposição de dados pessoais de milhões de cidadãos. Para governos estaduais e federais, que armazenam dados fiscais, sanitários, cadastrais e até biométricos da população, um vazamento não é apenas uma questão de conformidade com a LGPD: é uma questão de segurança nacional e de confiança pública.

As multas previstas na LGPD adicionam uma camada adicional de risco financeiro. Empresas e órgãos públicos que falharem em proteger dados pessoais estão sujeitos a sanções que, embora ainda em fase de aplicação efetiva pela ANPD, tendem a se intensificar conforme a agência consolide sua capacidade operacional. A expectativa do mercado é que 2026 marque uma inflexão na aplicação efetiva de sanções, especialmente após a publicação do Mapa de Temas Prioritários que colocou o tratamento de dados pelo Poder Público como eixo prioritário de fiscalização.

Contrapontos e limites da análise

A Estratégia Nacional de Cibersegurança é, sem dúvida, um avanço institucional significativo. No entanto, a existência de uma estratégia não resolve automaticamente os problemas de capacidade operacional, financiamento e talento humano que limitam a efetividade da defesa cibernética brasileira. O país enfrenta um déficit crônico de profissionais de cibersegurança, com estimativas apontando para centenas de milhares de vagas não preenchidas. A formação desses profissionais leva anos, e a migração de talentos para o mercado internacional — onde os salários são significativamente mais elevados — drena o país de pessoal qualificado.

Também é importante reconhecer que a regulamentação não é neutra. A elevação da cibersegurança ao status de segurança nacional pode trazer consigo riscos de concentração de poder de monitoramento, com implicações para a privacidade dos cidadãos. O equilíbrio entre segurança e liberdade é uma discussão que não pode ser adiada à medida que o aparato de cibersegurança se expande. A sociedade civil e os controles democráticos precisam acompanhar o ritmo da expansão estatal nesse campo.

Além disso, a perspectiva comparada com economias mais maduras em cibersegurança revela que o Brasil ainda está em estágio inicial de maturação. A Estratégia E-Ciber é um ponto de partida, não um destino. A diferença entre ter uma estratégia e implementar uma cultura de segurança cibernética efetiva é considerável, e essa diferença se mede em incidentes evitados, não em documentos publicados.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.