Mais de 63% das perdas financeiras em incidentes de segurança no ecossistema Web3 no primeiro trimestre de 2026 tiveram origem em ataques de phishing e engenharia social, totalizando cerca de 306 milhões de dólares de um prejuízo global de 482 milhões, segundo o relatório da plataforma Hacken. Em paralelo, a Microsoft Threat Intelligence registou um aumento de 146% no volume de ataques de QR phishing entre janeiro e março, saltando de 7,6 milhões para 18,7 milhões de ocorrências.

A sofisticação das técnicas, impulsionada por ferramentas de inteligência artificial generativa, permite agora a criação de mensagens fraudulentas quase indistinguíveis das comunicações oficiais de empresas. Em Jacarta, a diretora de marketing da corretora Indodax alertou para a multiplicação de falsos agentes de apoio ao cliente que induzem utilizadores a ceder palavras-passe e códigos de autenticação. Em Teerão, as autoridades policiais identificaram um padrão semelhante: mensagens SMS com links maliciosos que se fazem passar por notificações judiciais, subsídios estatais ou ofertas de emprego, frequentemente resultando no esvaziamento de contas bancárias e na usurpação de identidade em aplicações de mensagens.

A resposta regulatória ganha contornos concretos na União Europeia. O Cyber Resilience Act (CRA), cujas obrigações de documentação e gestão de vulnerabilidades entram em vigor em setembro de 2026, exige que fabricantes de produtos com elementos digitais — de sensores industriais a eletrodomésticos — incorporem segurança desde a conceção e assegurem atualizações durante um ciclo de vida mínimo de cinco anos. O incumprimento pode acarretar multas até 15 milhões de euros ou 2,5% do volume de negócios global. Na perspetiva de Bruxelas, a vice-presidente da Comissão Europeia, Henna Virkkunen, sublinhou que a legislação sobre inteligência artificial adota uma abordagem baseada no risco, impondo testes e requisitos apenas para utilizações de alto risco, enquanto o Chips Act 2.0 procura estimular a procura de semicondutores europeus em setores estratégicos como o automóvel e a defesa.

Para empresas brasileiras e portuguesas que exportam dispositivos conectados para o mercado europeu, o CRA representa um custo médio de conformidade estimado em 100 mil euros por linha de produto, mas também uma barreira de entrada que pode favorecer quem se antecipar. A indústria já se movimenta: na cimeira MWC IoT em Xangai, a Kigen apresentou uma plataforma de atualização de segurança over-the-air para eSIM, demonstrando que a capacidade técnica para responder a vulnerabilidades em 72 horas já existe. O próximo marco a observar é a conclusão da consulta pública sobre as diretrizes de alto risco da lei de IA da UE, a 23 de julho, que definirá o perímetro exato das obrigações para desenvolvedores.