O segundo trimestre de 2026 começa com a percepção de que o risco cibernético não é mais um vetor isolado, mas um conjunto de pressões que se alimentam mutuamente. Cadeias de suprimentos, arquitetura, identidade, terceiros, OT, fraudes e geopolítica formam uma paisagem cada vez mais interdependente.
A mudança não é apenas tecnológica: a segurança da cadeia de suprimentos já entrou na pauta do conselho, com avaliações que destacam que não existe solução única quando a operação depende de componentes de terceiros, binários fechados e firmware legado. Casos recentes envolvendo terceiros, como a violação ligada à Rockstar Games, mostram que reputação e obrigações contratuais continuam em jogo mesmo quando o ataque não ocorre no perímetro principal.
Terceiros e terceirização passam a atuar como multiplicadores de risco. Alertas recentes indicam que empresas de Business Process Outsourcing (BPO) e equipes de suporte têm sido alvos de roubo de dados e extorsão, recorrendo a engenharia social, páginas falsas e persistência por registro de dispositivos de terceiros.
A velocidade de exploração continua a reduzir o tempo entre descoberta e ataque. Patchings emergenciais, como o CVE-2026-35616 no FortiClient EMS, foram classificados como críticos, com invasores não autenticados capazes de executar código remotamente. Casos de zero-day no Windows e no Adobe Reader também sinalizam que a resposta precisa seguir andamento rápido, sob pena de interrupção operacional e perdas financeiras.
O avanço de ataques a ambientes OT e à infraestrutura crítica confirma que o dano não é apenas digital: PLCs e controladores expostos à internet já apresentam risco de interrupções e impactos financeiros. Nesse cenário, a IA aplicada à segurança ciberfísica surge como necessidade operacional, especialmente em setores onde disponibilidade física, segurança e confiabilidade se confundem com a continuidade do negócio.
Do lado da defesa, a IA também funciona como acelerador do ataque. Campanhas de phishing em larga escala, impulsionadas por automação e geração dinâmica de códigos, mostram como a IA aumenta a escalabilidade e a eficiência dos invasores. Isso explica por que o ecossistema de risco em 2026 está mais marcado por campanhas persistentes do que por grandes rupturas pontuais.
No Brasil, identidade, endpoint e privacidade ocupam o centro da arena contra fraudes, com aumentos expressivos em golpes de personificação e em fraudes associadas a celulares roubados. Casos de telemetria em plataformas como LinkedIn também alimentam o debate sobre coleta de dados, consentimento e inspeção invisível do endpoint, ampliando a discussão sobre confiança digital.
Por fim, a geopolítica continua afetando cobertura, governança e previsibilidade financeira, com a evolução de cláusulas de exclusão por ato de guerra no mercado de seguros cibernéticos. Para a liderança, a lição é clara: não basta bloquear ataques pontuais — é preciso governar a confiança em um ecossistema de fornecedores, tráfego, identidades e contextos globais que mudam rapidamente.
