Business Email Compromise (BEC)
Email falso do "CEO" ou de fornecedor a pedir transferência urgente. Maior fonte de perdas em PME portuguesas — média de 47k€ por incidente. Política de dupla validação por canal independente.
Guia prático de cibersegurança para PME, autarquias e instituições públicas em Portugal
A maioria dos ataques bem-sucedidos em Portugal não exige sofisticação técnica — explora pessoas, processos mal definidos e ausência de backups testados. Este guia foca-se no que realmente reduz risco, sem comprar produtos caros.
Email falso do "CEO" ou de fornecedor a pedir transferência urgente. Maior fonte de perdas em PME portuguesas — média de 47k€ por incidente. Política de dupla validação por canal independente.
Encriptação de todos os ficheiros + pedido de resgate. Em 2025, várias autarquias e PME portuguesas foram alvo. Defesa: backups 3-2-1, segregação de rede, MFA em VPN, formação dos colaboradores.
90% dos ataques começam por email. Simulações periódicas de phishing (gophish, KnowBe4) reduzem em ~70% o clique. Forneça canal interno para reportar sem medo.
Vozes clonadas, vídeos deepfake e textos perfeitos. Pedidos urgentes de "diretor" por chamada/vídeo: confirme sempre por canal alternativo conhecido.
Notificação obrigatória à CNPD em 72h (RGPD). Tenha plano escrito de resposta a incidentes. Coimas até 20M€ ou 4% da faturação anual global.
Compromisso através de fornecedores e parceiros. Inclua cláusulas de segurança em contratos. Revise acessos de terceiros trimestralmente.
Marque mentalmente o que já tem. O que falta é a sua lista de tarefas.
Alvo crescente — sistemas administrativos antigos, dados sensíveis de munícipes, sites de serviços online. Adira ao QUAR e ao Quadro Nacional de Referência para a Cibersegurança (CNCS).
Dados de saúde = categoria especial RGPD. Coimas máximas. Implementar segregação rigorosa de acessos clínicos, logs detalhados e plano específico para ransomware.
Dados de menores + investigação. Use SeguraNet e CNCS-AT&CK. Forme docentes e auxiliares — ataques entram por contas pessoais usadas no equipamento da escola.
Dados ultra-sensíveis e relevância nacional. Aderir ao QNRCS (Quadro Nacional de Referência) e seguir as orientações do CNCS para infraestruturas críticas.
CERT.PT (CNCS) — equipa de resposta nacional. Reporte em cncs.gov.pt ou através do email cert@cert.pt. Disponíveis 24/7 para incidentes graves.
CNPD — notificação obrigatória em 72h após conhecimento de violação de dados pessoais.
Use livremente os nossos materiais em sessões de formação interna. Pode também solicitar contacto para parcerias institucionais, integrações ou personalização de conteúdos.
Contactar →