O dado mais incômodo do Annual Meeting on Cybersecurity 2026, realizado pelo Fórum Econômico Mundial em Genebra, não veio de uma demonstração técnica, nem de uma discussão sobre malware, ransomware ou inteligência artificial. Veio de uma conta muito mais difícil de ignorar: o PIB. O ciberataque que paralisou parte da produção automotiva britânica em 2025 custou cerca de £1,9 bilhão e foi citado no encontro como um dos fatores por trás da desaceleração do crescimento do Reino Unido naquele ano. O que o Fórum Econômico Mundial sinaliza, em linha com o Global Cybersecurity Outlook 2026, é que ataques cibernéticos já produzem efeitos que ultrapassam a empresa atingida. Eles pressionam prêmios de seguro, elevam custos de compliance, encarecem recuperação, abalam a confiança do cliente e, no caso de pequenas e médias empresas, podem colocar a própria sobrevivência em risco.
Conformidade e resiliência mensurável
Outro ponto forte do encontro foi o enterro simbólico da velha mentalidade do checklist. A ideia de que cumprir requisitos formais basta para estar seguro perdeu contato com a realidade. A nova palavra de ordem é resiliência mensurável. Isso muda bastante o centro da discussão. A lógica agora é outra: não basta provar que a empresa cumpriu regras e exigências regulatórias. Ela precisa mostrar que consegue continuar operando, responder rápido e se recuperar quando o ataque acontece.
Uma empresa pode estar formalmente em conformidade e, ainda assim, parar por dias depois de um ataque. Pode ter políticas impecáveis e não conseguir restaurar sistemas críticos. Pode passar em auditorias e falhar no momento em que a operação mais precisa de coordenação. Para executivos e CISOs, a mensagem é clara: a segurança não pode ser tratada como um custo de conformidade, mas como um investimento em continuidade de negócios.
Fraude digital e o novo cenário de risco
Há também um ponto que aproxima a cibersegurança do cidadão comum: a fraude digital. Segundo o Global Cybersecurity Outlook 2026, 73% dos respondentes foram pessoalmente vítimas, ou conhecem alguém próximo que foi afetado, por fraude habilitada por meios digitais em 2025. A fraude digital deixou de ser uma ocorrência periférica. Ela virou experiência cotidiana. Está no golpe por mensagem, no falso atendimento bancário, na clonagem de identidade, no anúncio falso, na engenharia social sofisticada e, cada vez mais, no uso de inteligência artificial para dar escala e credibilidade ao crime.
A resposta, portanto, não pode continuar limitada a alertar o usuário depois que o golpe já está pronto. Essa abordagem transfere responsabilidade demais para o elo mais frágil. O caminho defendido no encontro é mais estrutural: dificultar a montagem e a escala das operações fraudulentas na origem. Isso significa embutir proteção nos serviços digitais, reforçar autenticação, melhorar cooperação entre setores e investir de forma séria em educação digital pública. Sem isso, continuaremos chamando de “falta de atenção do usuário” aquilo que, na prática, é uma falha coletiva de desenho, prevenção e governança.
Inteligência artificial na defesa e no ataque
A inteligência artificial ocupou, inevitavelmente, um espaço central nas discussões. Segundo o Outlook 2026, 77% das organizações já usam IA para defesa. Os atacantes, por sua vez, usam quase universalmente. Isso não significa que a resposta seja adotar IA de qualquer jeito. Significa que a lentidão também virou risco. Com sistemas agênticos entrando em produção, computação quântica no horizonte e modelos cada vez mais integrados a processos críticos, a velha ideia de “corrigir depois” fica perigosa. Segurança precisa nascer no desenho da tecnologia, não aparecer como remendo depois do lançamento.
Security by design e supervisão humana não podem ser tratados como expressões bonitas para apresentações corporativas. São condições mínimas para operar num ambiente em que a velocidade do ataque cresce mais rápido do que a capacidade tradicional de defesa. A governança de IA deve incluir testes de adversarialidade, monitoramento de comportamento de modelos e limites claros de autonomia para agentes que acessam dados sensíveis.
O ponto que o Brasil precisa ler com atenção
Há um dado regional no Outlook 2026 que deveria acender um alerta no Brasil e na América Latina. Enquanto Oriente Médio e Norte da África registram 84% de confiança na capacidade do próprio país de proteger infraestrutura crítica, na América Latina e Caribe esse número cai para 13%. Muito além de um dado estatístico, esse dado é um retrato incômodo de uma região que está digitalizando serviços, finanças, governo, saúde, energia e educação mais rápido do que constrói capacidade de defesa.
Essa diferença é o que o Fórum chamou de cyber inequity: a desigualdade cibernética como nova forma de desigualdade global. Países com mais capacidade de defesa atraem mais investimento, protegem melhor sua infraestrutura e respondem com mais rapidez a crises. Países com baixa maturidade cibernética ficam mais expostos, pagam mais caro por incidentes e dependem de soluções externas em áreas estratégicas. Para o Brasil, a provocação é evidente. Não basta celebrar a digitalização acelerada. É preciso perguntar se a infraestrutura que sustenta essa digitalização é confiável, resiliente e defensável.
Do contrário, estamos apenas empilhando dependência digital sobre bases frágeis
O Annual Meeting on Cybersecurity 2026 entrega uma mensagem que não é exatamente nova, mas agora ficou impossível de ignorar: tratar cibersegurança como função de bastidor sai caro. Sai caro para empresas, para governos e, como o caso britânico mostrou, pode sair caro para o PIB. A resiliência mensurável deve ser o novo KPI de segurança da informação, substituindo a mera contagem de incidentes ou conformidade de checklist. CISOs devem alinhar suas métricas de segurança diretamente com a capacidade de recuperação de negócios e a proteção da receita, garantindo que a segurança seja um habilitador estratégico e não um obstáculo operacional.