Há menos sinistros cibernéticos na Europa, mas risco persiste elevado
As notificações de sinistros cibernéticos na Europa registaram uma queda assinalável em 2025 face ao ano anterior, impulsionada pela redução de eventos sistémicos em larga escala e por uma maturação gradual das defesas digitais das empresas. A conclusão é do “Europe Cyber Claims Report 2025” da Marsh, consultora de risco, corretagem de seguros e serviços de resseguro.
Ainda assim, a descida no volume de notificações não eliminou as preocupações para seguradoras, corretores e gestores de risco, visto que a severidade dos incidentes continua elevada, em especial nas exposições relacionadas com privacidade e nas vulnerabilidades das cadeias de fornecimento.
Florian Sättler, responsável pela gestão de incidentes cibernéticos e co-líder de sinistros cibernéticos para a Europa na Marsh, citado pela Insurance Business Magazine, sublinha que “embora as notificações de sinistros cibernéticos tenham caído na Europa em 2025, a severidade dos incidentes continua a ser uma preocupação relevante“.
Privacidade no topo da lista
As violações de privacidade estiveram presentes em 73% das notificações europeias, como reflexo direto do ambiente regulatório, que inclui o RGPD e a diretiva NIS2. Estes eventos vão além das fugas de dados clássicas, abrangendo rastreamento em websites, falhas de gestão de consentimento, com implicações em custos de notificação, despesas legais e danos reputacionais mesmo quando a disrupção operacional é limitada.
Extorsão e engenharia social persistem
O ransomware e os incidentes associados a extorsão representaram cerca de 15% das notificações e continuaram a ser fonte de custos de recuperação e perdas por interrupção de negócio, combinando frequentemente ameaças de encriptação com roubo e divulgação de dados. Segundo a Insurance Business Magazine, um estudo da seguradora Resilience revelou que os volumes de sinistros de ransomware caíram 53% na primeira metade de 2025, mas que o custo médio por incidente subiu 17%, sugerindo que os ataques bem-sucedidos continuam a gerar perdas significativas apesar da menor frequência.
Já os ataques com base em engenharia social e o business email compromise (BEC), embora representem apenas 9% das notificações, figuram entre os sinistros com valores de perda financeira individual mais elevados, sendo cada vez mais aperfeiçoados através do uso de ferramentas de inteligência artificial.
Cadeias de fornecimento e setores em destaque
Cerca de 14% das notificações europeias estiveram também ligadas a fornecedores e parceiros da cadeia de fornecimento, e a Marsh prevê que esta percentagem continue a crescer.
O setor da manufatura representou cerca de 20% das notificações em 2025, sendo o alvo preferencial à medida que a crescente dependência de sistemas de produção interligados e de tecnologia operacional aumenta a exposição a disrupções. Logo abaixo está o setor das comunicações, media e tecnologia com uma percentagem de 17%, seguido do setor das instituições financeiras, com 10%.
Já a Alemanha destacou-se como exceção à tendência descendente europeia, com as notificações a subirem 22% em termos homólogos, atribuídas a uma maior concentração de agentes de ameaça em organizações alemãs e a alterações nas práticas de reporte, com um volume crescente de notificações preventivas ao abrigo das apólices de seguro.
Ciber-risco em Portugal
Como o ECOseguros já tinha noticiado, o ciber-risco mantém-se como a principal preocupação para as empresas nacionais, de acordo com o “Global Risk Management Survey 2025” da AON, devido ao acentuar do número de ataques e de episódios de violação de dados.
O facto de as empresas demorarem, em média, 204 dias a perceberem que foram alvo de um ciberataque agrava os danos e aumenta os custos de recuperação sendo, por isso, uma preocupação para as organizações.