As pequenas e médias empresas (PMEs) estão no epicentro de uma onda sem precedentes de ataques cibernéticos. De acordo com o Annual Threat Report 2025 da N-able (NYSE:NABL), o número de incidentes saltou de 48,7 mil em junho de 2024 para 13,3 milhões em junho de 2025,  crescimento de 273 vezes em apenas um ano.

O estudo mostra que 88% das violações confirmadas envolveram ransomware ou extorsão de dados, liderados por grupos como Play, Qilin e Tycoon 2FA, responsáveis por ataques contra empresas em mais de 40 países. “As PMEs se tornaram o elo mais frágil da cadeia digital. Para os criminosos, é onde encontram defesas mais vulneráveis, operações críticas e maior propensão a pagar resgates”, alerta Rodrigo Gazola, CEO e fundador da Addee, empresa especializada em soluções de segurança para prestadores de serviços de TI e representante exclusiva da N-able no Brasil.

A pressão regulatória também aumenta a exposição. Nos EUA, empresas precisam reportar incidentes materiais à SEC em até quatro dias úteis. Na Europa, a Diretiva NIS2 responsabiliza diretamente gestores que não adotarem medidas mínimas de segurança. Segundo o relatório, o custo médio global de uma violação ultrapassou US$ 4,45 milhões em 2025, o maior patamar histórico.

Para o mercado brasileiro, onde as PMEs representam 96% do total de empresas, o impacto é potencialmente devastador. Muitas organizações ainda dependem de infraestrutura de TI básica, sem autenticação multifator ou planos de continuidade de negócios.

Gazola, avalia que o problema já deixou de ser “se” e passou a ser “quando”. “O dado mais alarmante do relatório não é apenas o crescimento de 273 vezes nos ataques, mas o fato de que mais de 80% deles poderiam ser evitados com medidas simples, como autenticação multifator, backups testados e gestão contínua de vulnerabilidades. Esse é o ponto cego das PMEs: o básico ainda não está resolvido”, afirma Gazola.

Ele destaca ainda que a sofisticação trazida pela inteligência artificial aumentou a urgência de rever processos. “Estamos diante de e-mails de phishing praticamente indistinguíveis dos reais, vídeos falsos que imitam gestores e até manipulação de voz para autorizar transações financeiras. Se antes a dúvida era investir em segurança, hoje a questão é sobreviver sem ela”, complementa.

Segundo o relatório, medidas de mitigação acessíveis podem reduzir drasticamente os riscos. Entre eles, o documento cita a autenticação multifator resistente a phishing em todos os acessos críticos; Backups offline e testados regularmente, garantindo recuperação rápida em casos de ransomware; Gestão de vulnerabilidades com correções rápidas, evitando exploração de falhas conhecidas. Além do monitoramento contínuo de comportamento de usuários, identificando insiders acidentais ou maliciosos e treinamento recorrente de funcionários, com foco em phishing e engenharia social.

“Os criminosos perceberam que não precisam mais mirar apenas grandes corporações. Uma PME com 20 funcionários pode ser tão lucrativa quanto um banco se a operação dela parar por alguns dias. É nesse ponto que entra a responsabilidade dos prestadores de serviços de TI em educar, proteger e monitorar. A segurança deixou de ser um custo e se tornou fator de continuidade dos negócios”, conclui Gazola.

By Compliance Comunicação
Foto: Freepik