Sociedades fiduciárias: porque é que os seus dados são o alvo ideal dos cibercriminosos e como garantir a sua segurança

As sociedades fiduciárias concentram um volume considerável de dados financeiros e pessoais críticos. Piratear uma sociedade fiduciária permite aceder, num só ataque, aos dados de dezenas ou, até, de centenas de empresas clientes.

O risco é real e específico à sua atividade:

• O efeito dominó: um ataque ao seu sistema propaga-se imediatamente aos dados dos seus clientes, expondo-os a fraudes, atrasos de IVA, de pagamento das contribuições sociais e a processos judiciais.
• A dependência em relação a fornecedores de serviços: a sua dependência em relação a alojamentos virtuais e softwares profissionais (ERP contabilísticos, plataformas partilhadas na nuvem) cria um risco com efeito dominó. Se um fornecedor de serviços comum for atacado, o impacto repercuta-se em toda a cadeia.
• O impacto regulamentar:  em caso de violação, as obrigações associadas ao RGPD e os riscos de sanções da CNPD no Luxemburgo podem ser consideráveis, implicando a responsabilidade civil profissional e alterando duradouramente a reputação do seu gabinete.
• O Centro Nacional da Cibersegurança (NC3) alerta, aliás, para o facto de os fornecedores críticos das grandes empresas estarem cada vez mais visados, uma categoria onde as sociedades fiduciárias encaixam na perfeição.

Vamos imaginar o seguinte cenário: uma sociedade fiduciária é infetada por um software mal-intencionado que exfiltra os dados financeiros sensíveis dos clientes. Apesar de a intrusão ter sido detetada, os dados foram colocados à venda na dark web. A sociedade fiduciária enfrenta então uma crise de confiança, notificações obrigatórias e ameaças de processos judiciais por parte dos clientes.

Neste cenário, o seguro easyPRO Cyber teria coberto os seguintes custos:

• Assistência de emergência: 720 €
• Notificação aos clientes e autoridades: 5000 €
• Reconstituição dos dados exfiltrados: 20 000 €
• Responsabilidade civil (danos a terceiros): 80 000 €
• Monitorização dos dados comprometidos: 10 000 €

Este exemplo ilustra os custos significativos que uma sociedade fiduciária pode enfrentar se não tiver uma cobertura adequada.

Os ciberataques bem-sucedidos podem paralisar a atividade de uma sociedade fiduciária, colocando em risco a sua própria existência numa profissão que assenta no rigor e na confiança.

• Sistemas contabilísticos bloqueados: a encriptação ou o comprometimento dos programas (softwares) de gestão e das ferramentas de declaração fiscal provocam atrasos nas obrigações contabilísticas e fiscais, penalizando diretamente os clientes.
• Roubo de dados ultrassensíveis: os balanços, os números de conta bancária internacional (IBAN) e os dados fiscais podem ser revendidos ou explorados para cometer fraudes que tenham os seus clientes como alvo.
• Perda de confiança: a fuga de informações confidenciais pode alterar de forma duradoura a relação com o cliente e implicar a responsabilidade civil profissional da sociedade fiduciária.
• Consequências regulamentares e jurídicas: as sociedades fiduciárias expõem-se a queixas, sanções por parte do CNPD e processos judiciais com custos elevados.

Perante esta recrudescência, já não basta reagir. É necessário adotar uma estratégia estruturada, assente em três pilares essenciais, que são implementados de forma concreta pela solução easyPRO Cyber: Antecipar, Reagir e Reparar.

1. Antecipar: prevenção pró-ativa

A abordagem da easyPRO Cyber tem início muito antes de um incidente. Começa por um scan de cibersegurança gratuito, que oferece uma análise precisa do nível de falhas da sua estrutura. Este diagnóstico permite identificar as vulnerabilidades antes que estas sejam exploradas, reduzindo de forma concreta o risco de ataque.

Graças à plataforma Dattak Defense, o segurado beneficia de um controlo contínuo e de alertas em tempo real para detetar as anomalias, uma ferramenta útil que se adiciona aos seus prestadores de serviços informáticos habituais. A abordagem inclui ainda auditorias avançadas e ações simuladas de phishing, concebidas por peritos, para sensibilizar os seus colaboradores para os erros humanos que são, muitas vezes, a principal causa das intrusões.

2. Reagir: uma intervenção imediata 24h/7d

Em caso de incidente, cada minuto conta. O easyPRO Cyber assenta numa parceria com a Dattak para mobilizar mais de 50 peritos especializados (ciber, jurídico, gestão de crise) que intervêm 24h/7d. O tempo de resposta é inferior a 2 minutos. Esta reatividade permite conter o ataque, garantir a segurança dos sistemas e gerir a comunicação de crise, de modo a preservar a reputação da sua empresa. A assistência abrange também as notificações regulamentares e os custos associados, garantindo um acompanhamento global em caso de eventos como fraude por e-mail, ciberextorsão ou violação de dados.

3. Reparar: a proteção financeira e a continuidade

A solução oferece uma indemnização pelos prejuízos sofridos, o que permite enfrentar com mais tranquilidade as consequências do ataque. A cobertura inclui:

• A reconstituição dos sistemas e dos dados.

• As interrupções do negócio, calculadas com base no pico de atividade (e não na média habitual), o que é crucial para os períodos de elevada procura.

• Os custos de negociação de resgate em caso de ciberextorsão.

• Os custos de defesa e os procedimentos associados caso um terceiro (paciente, parceiro) for afetado.

Além disso, com o easyPRO Cyber, está livre de manter o seu prestador de serviços de confiança em caso de incidente. Após validação dos orçamentos, as despesas são assumidas, permitindo-lhe continuar a colaborar com o seu perito em tecnologias de informação e beneficiar da proteção do seguro.