Existe uma frase que circula nos corredores de TI há décadas: “não é uma questão de se você vai ser atacado, mas de quando.” Em 2025, essa frase ganhou uma atualização necessária, “você já foi atacado. A questão agora é o quanto isso vai custar.”
É exatamente aqui que começa um dos paradoxos mais intrigantes do mundo da cibersegurança nos últimos anos: o volume de ataques nunca foi tão alto, mas o custo médio global de uma violação caiu pela primeira vez em cinco anos. Como isso é possível? O que está por trás dessa aparente contradição? E, mais importante: o que isso significa para a sua organização?
Prepare-se, porque a resposta não é simples, e entendê-la pode ser a diferença entre uma estratégia de segurança inteligente e uma falsa sensação de proteção.
A curva que não para de subir
Os números não deixam margem para interpretações otimistas quando o assunto é volume. O Hiscox Cyber Readiness Report 2025 revelou que 67% das organizações globais sofreram pelo menos um ataque cibernético nos últimos 12 meses, um salto considerável em relação aos 53% registrados no ano anterior, marcando o quarto aumento anual consecutivo. No Brasil, o cenário é ainda mais agressivo: a média semanal de tentativas de ataque por organização chegou a 2.766 no segundo trimestre de 2024, representando um crescimento de 95% em relação ao mesmo período de 2023, segundo dados da Check Point Research.
O ransomware, aquela modalidade que sequestra dados e exige resgate, quebrou recordes históricos. Janeiro de 2025 registrou 590 incidentes documentados globalmente em um único mês, cinco vezes mais do que em janeiro de 2022. No acumulado de 2024, foram 5.414 ataques de ransomware divulgados publicamente, e a tendência para 2025 já apontava para um crescimento adicional de 60%, com América do Norte e Europa como principais alvos.
Então, como é possível que, com tudo isso acontecendo, o custo médio de uma violação tenha caído?
O paradoxo dos custos: queda que precisa ser lida com cuidado
O IBM Cost of a Data Breach Report 2025, o estudo mais respeitado do setor, com base na análise de 600 organizações globais, trouxe uma surpresa: o custo médio global de uma violação de dados recuou para US$ 4,44 milhões, a primeira redução em cinco anos. Em 2024, esse número havia atingido o recorde de US$ 4,88 milhões.
Mas antes de comemorar, é preciso contextualizar. Essa queda não é uniforme ela é, na verdade, o reflexo de uma bifurcação crescente no mercado. Organizações que investiram em tecnologia, processos e cultura de segurança estão conseguindo reduzir drasticamente o impacto das violações, puxando a média global para baixo. Enquanto isso, aquelas que ficaram para trás continuam pagando preços cada vez mais altos.
O Brasil é um exemplo perfeito dessa assimetria. Enquanto a média global caiu, o custo médio de uma violação de dados no país subiu de R$ 6,75 milhões em 2024 para R$ 7,19 milhões em 2025, um aumento de 6,5%. Setores como saúde (R$ 11,43 milhões), finanças (R$ 8,92 milhões) e serviços (R$ 8,51 milhões) lideram os impactos mais severos. Nos Estados Unidos, o custo médio atingiu o recorde de US$ 10,22 milhões, reflexo de um ambiente regulatório mais rigoroso e de litígios mais frequentes.
A queda global, portanto, não é uma boa notícia para todos. É uma boa notícia para quem investiu.
Os 5 fatores que estão mudando o jogo
Entender por que algumas organizações conseguem reduzir o impacto das violações enquanto outras continuam sangrando é fundamental para qualquer estratégia de segurança. Há pelo menos cinco fatores que explicam essa diferença.
O primeiro, e talvez o mais impactante, é a inteligência artificial e a automação em segurança. Empresas que adotam extensivamente essas tecnologias registram uma redução média de US$ 1,9 milhão por violação em comparação com aquelas que não as utilizam. No Brasil, a diferença é ainda mais expressiva: organizações com uso extensivo de IA e automação seguras registraram custos médios de R$ 6,48 milhões, enquanto aquelas sem essas tecnologias chegaram a R$ 8,78 milhões, uma diferença de 35%. Não é exagero dizer que a IA se tornou o maior diferencial competitivo em cibersegurança nos últimos dois anos. Possuir processos e soluções baseadas em IA podem significar a diferença em tempo de detecção, ações de restauração e recuperação do negócio com baixo impacto a clientes, parceiros, fornecedores e outros.
O segundo fator é a velocidade de detecção e contenção. O tempo médio global para identificar e conter uma violação caiu para 241 dias, uma redução de 17 dias em relação ao ano anterior. Parece pouco, mas cada dia a menos representa menos dados expostos, menos sistemas comprometidos e menos custo de recuperação. Organizações que detectaram a violação internamente economizaram, em média, US$ 900 mil em comparação com aquelas que foram notificadas pelo próprio invasor. Isso é resultado direto de investimentos em monitoramento contínuo, SOCs maduros e inteligência de ameaças.
O terceiro fator é uma mudança de comportamento que poucos esperavam: a resistência ao pagamento de resgates. Em 2025, 63% das organizações atacadas por ransomware optaram por não pagar o resgate, comparado a 59% no ano anterior. Essa postura, combinada com melhores backups e planos de recuperação, está reduzindo o custo direto dos incidentes, embora o custo total ainda permaneça elevado quando o ataque é divulgado pelo invasor (US$ 5,08 milhões em média).
O quarto fator é a adoção de plataformas de threat intelligence, que reduziu custos em uma média de R$ 655 mil por violação no Brasil. E o quinto é a maturidade em resposta a incidentes, organizações com planos testados e equipes treinadas conseguem conter violações com muito mais eficiência, reduzindo o impacto operacional e financeiro de forma mensurável.
O que ainda eleva os custos: os vilões do cenário
Se por um lado há fatores que reduzem custos, por outro existem elementos que continuam pressionando os números para cima. A complexidade dos sistemas de segurança contribuiu, em média, com um aumento de R$ 725 mil no custo total de uma violação no Brasil. O shadow AI, uso não autorizado de ferramentas de inteligência artificial por colaboradores, gerou um aumento médio de R$ 591 mil. E a adoção de ferramentas de IA sem governança adequada adicionou, em média, R$ 578 mil às violações.
Um dado que preocupa profundamente: 87% das organizações no Brasil não possuem políticas de governança de IA em vigor, e 61% não têm controles de acesso à IA. Isso cria um vetor de ataque emergente e ainda pouco compreendido, e que tende a se tornar um dos principais problemas de segurança dos próximos anos.
Os vetores de ataque mais custosos no Brasil seguem sendo phishing (18% das violações, custo médio de R$ 7,18 milhões), comprometimento de terceiros e cadeia de suprimentos (15%, custo médio de R$ 8,98 milhões) e exploração de vulnerabilidades (13%, custo médio de R$ 7,61 milhões).
Os impactos que vão além do financeiro
Quando uma organização sofre uma violação significativa, os danos se espalham em ondas concêntricas que vão muito além do custo imediato de resposta. O relatório Hiscox 2025 revela que 47% das organizações tiveram mais dificuldade para atrair novos clientes após um ataque, e 43% perderam clientes existentes. Outros 21% relataram perda de parceiros comerciais.
Quase metade das organizações violadas planeja aumentar o preço de bens ou serviços como consequência, e um terço relatou aumentos de 15% ou mais. Ou seja, o cliente final também paga a conta. O impacto reputacional é, muitas vezes, mais duradouro do que o financeiro. 38% das organizações afetadas enfrentaram publicidade negativa significativa, e reconstruir a confiança do mercado pode levar anos.
Em setores regulados como saúde e finanças, as consequências regulatórias e legais adicionam uma camada extra de complexidade e custo. No Brasil, a LGPD já gerou multas e processos administrativos que se somam ao custo direto da violação, e a tendência é de fiscalização crescente.
O que esperar para 2026 e como se preparar
O World Economic Forum Global Cybersecurity Outlook 2026, elaborado em parceria com a Accenture, e o Google Cloud Cybersecurity Forecast 2026 convergem em tendências que devem moldar o próximo ciclo. A IA como arma ofensiva em escala já aparece em 16% das violações, para phishing sofisticado, deepfakes e automação de ataques, e essa proporção deve crescer significativamente. Os ataques à cadeia de suprimentos, com 30% dos incidentes já envolvendo terceiros, continuarão expandindo a superfície de ataque para além do perímetro da organização. E a evolução dos SOCs para modelos com agentes de IA autônomos, capazes de detectar e responder a ameaças em tempo real sem intervenção humana, será o próximo grande salto tecnológico.
Para estar melhor preparada, uma organização precisa agir em quatro frentes simultâneas. Na frente tecnológica, implementar IA e automação em segurança de forma governada, adotar arquitetura Zero Trust, investir em plataformas de inteligência de ameaças e garantir gestão de vulnerabilidades com SLA de patch crítico inferior a 72 horas. Na frente de processos, desenvolver e testar regularmente planos de resposta a incidentes, estabelecer políticas claras de governança de IA e implementar controles rigorosos para acesso a ferramentas de IA por colaboradores. Na frente de pessoas, promover treinamentos contínuos de conscientização, simulações de phishing trimestrais e construção de uma cultura de segurança que envolva toda a organização, não apenas a equipe de TI. E na frente de governança, tratar a cibersegurança como tema de conselho, não apenas de TI.
Insights: o que os dados realmente revelam
Há um dado no relatório IBM 2025 que merece reflexão especial: apenas 49% das organizações violadas planejam investir em segurança após o incidente, comparado a 63% no ano anterior. Isso sugere uma perigosa acomodação, como se parte do mercado estivesse aceitando as violações como custo de fazer negócios, em vez de tratá-las como riscos gerenciáveis.
Essa postura é, no mínimo, miope. O custo do cibercrime global já rivaliza com economias inteiras, US$ 10,5 trilhões por ano, segundo a Cybercrime Magazine. Para contextualizar: isso é maior que o PIB do Japão. E a diferença entre as organizações que estão reduzindo seus custos de violação e as que continuam pagando caro não é sorte, é estratégia, investimento e cultura.
A queda no custo médio global não é um sinal de que o problema está diminuindo. É um sinal de que a distância entre os preparados e os despreparados está aumentando. E em um cenário onde os ataques crescem 21% ao ano, essa distância pode ser fatal.
A escolha que toda organização precisa fazer
No final, o paradoxo dos ataques cibernéticos em 2024 e 2025 nos ensina algo profundo: a segurança não é mais um custo de TI, é uma vantagem competitiva.
Organizações que investem em detecção rápida, automação inteligente e cultura de segurança não apenas sofrem menos quando atacadas, elas se recuperam mais rápido, perdem menos clientes e constroem uma reputação de confiabilidade que vale muito mais do que qualquer campanha de marketing.
A pergunta que cada líder precisa responder não é “vamos ser atacados?” — essa resposta já é conhecida. A pergunta é “quando formos atacados, estaremos do lado certo da estatística?” Porque, como os dados mostram com clareza, há dois grupos no mercado hoje: os que investiram e os que vão pagar para aprender. E a lição, como sempre, é mais cara quando chega pela força.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!