O paradoxo entre o aumento de ataques cibernéticos e a queda no custo médio de violações ganha destaque no cenário global, impulsionado por mudanças na maturidade de segurança das organizações. O levantamento aponta que 67% das empresas globais sofreram pelo menos um ataque nos últimos 12 meses, e o custo médio de uma violação caiu para US$ 4,44 milhões, a primeira queda em cinco anos.
Entretanto, a história não é uniforme. No Brasil, o custo médio de uma violação subiu para R$ 7,19 milhões em 2025, contrastando com a tendência global de queda. Setores como saúde, finanças e serviços lideram os impactos, sugerindo que a assimetria entre quem investe e quem permanece vulnerável influencia fortemente a média nacional.
Especialistas destacam cinco fatores que estão mudando o jogo da cibersegurança. O primeiro é a inteligência artificial e a automação aplicadas à segurança, que, quando bem governadas, reduzem o custo por violação em média US$ 1,9 milhão. No Brasil, organizações que utilizam IA de forma extensiva registraram custos médios menores do que aquelas sem IA, evidenciando o papel decisivo dessa tecnologia.
O segundo fator é a velocidade de detecção e contenção. O tempo médio para identificar e conter uma violação caiu para 241 dias, com ganhos significativos para organizações que detectaram internamente, economizando cerca de US$ 900 mil por violação em comparação àquelas que aguardaram a ação do atacante.
Outros dois pilares são a resistência ao pagamento de resgates — 63% das organizações atacadas por ransomware não pagaram em 2025 — e a adoção de plataformas de threat intelligence, que no Brasil contribuíram para uma redução de custos por violação. O quinto fator é a maturidade em resposta a incidentes, com planos testados e equipes treinadas reduzindo impactos operacionais e financeiros.
Ainda assim, há fatores que continuam pressionando os custos. A complexidade crescente dos sistemas, o shadow AI (uso não autorizado de IA) e a governança insuficiente sobre IA aparecem entre os vilões. No Brasil, 87% das organizações não possuem políticas de governança de IA e 61% não têm controles de acesso a IA, abrindo portas para novos vetores de ataque.
Os vetores de ataque mais custosos no país continuam sendo phishing, comprometimento da cadeia de suprimentos e exploração de vulnerabilidades. Além do impacto financeiro, as violações afetam a atração e a retenção de clientes, além de pressionar empresas a repassar custos para produtos e serviços, muitas vezes com efeito reputacional duradouro.
Para 2026, especialistas apontam quatro frentes de preparação: tecnologia com IA governada e arquitetura Zero Trust; processos com planos de resposta a incidentes e governança de IA; pessoas com treinamentos contínuos e simulações de phishing; e governança envolvendo o conselho corporativo. A mensagem central é clara: segurança não é mais apenas custo de TI, é uma vantagem competitiva estratégica.
