Em 2025, o custo médio por incidente de vazamento de dados no Brasil atingiu 7,19 milhões de reais, com alta de 6,5% em relação a 2024. O dado reforça que proteção de dados não é apenas uma despesa de TI, mas sim uma disciplina estratégica para continuidade de negócios, orçamento, seguros e contratos.
O custo não se resume a tecnologia: envolve investigação forense, paralisação de operações, ações legais, restauração de ambientes e comunicação de crise, além de quedas de receita e de reputação que se acumulam por meses. A evolução para 2025 traz também IA e automação, que podem tanto defender quanto ampliar a superfície de ataque quando mal manejadas.
Setores com maior impacto incluem saúde, finanças e serviços; a área de saúde lidera com custos médios acima de 11 milhões por incidente, refletindo a criticidade dos dados, maior regulação e efeitos reputacionais. Dados mais sensíveis elevam a probabilidade de consequências sistêmicas, como litígios e renegociação de contratos com seguradoras.
Phishing continua entre os vetores iniciadores mais frequentes, acompanhado por ataques à cadeia de suprimentos e exploração de vulnerabilidades em fornecedores com acesso privilegiado. O ransomware, ainda presente, costuma deslocar o custo para interrupção de serviço, recuperação rápida e endurecimento de controles.
Em termos de governança, organizações que adotam automação segura e uso mais amplo de IA registram custos médios menores do que aquelas com adoção menor. Investimentos em governança de dados e IA — como inventário de dados, controles de acesso, trilhas de auditoria e regras de uso de IA — ajudam a reduzir perdas, ainda que a presença dessas práticas varie entre as empresas do Brasil.
Sob LGPD, vazamentos geram rastros formais: avaliação de impacto, notificações quando cabíveis e evidências de medidas de segurança. Além disso, cláusulas contratuais costumam impor multas, auditorias e exigências de reforço de controles para manter negócios com clientes e fornecedores.
Medidas eficazes para conter perdas passam por preparação prévia a crises: planos de resposta a incidentes, definição de papéis, simulações com Jurídico e acordos com forense e contenção. Além disso, a gestão de terceiros é crucial, já que incidentes na cadeia de suprimentos elevam custos e complexidade da resposta.
