2016–2018 — A empresa entra definitivamente na vida digital
Nesse período, a digitalização empresarial deixa de ser acessória. Sistemas internos, bancos de dados, portais de clientes, ERPs, e-mails corporativos e plataformas em nuvem passam a integrar o funcionamento ordinário das empresas. O risco cibernético ainda é tratado, em grande parte, como problema técnico de TI, e não como tema de governança.
Marco jurídico: início da transição do risco tecnológico para o risco empresarial.
2019–2020 — A pandemia expande brutalmente a superfície de ataque
Com o trabalho remoto, acessos externos, VPNs, sistemas em nuvem e comunicação digital intensa, a empresa passa a operar fora dos limites físicos tradicionais. O perímetro de segurança deixa de ser o local de trabalho, a rede interna ou o servidor local. O novo perímetro passa a ser o usuário, a senha, o dispositivo e a identidade digital.
Marco jurídico: a segurança digital passa a integrar o dever de organização empresarial.
2021–2022 — Ransomware e supply chain tornam-se ameaças corporativas centrais
Ataques deixam de buscar apenas dados isolados. Passam a mirar continuidade operacional, cadeias de fornecimento, softwares terceiros e parceiros estratégicos. A empresa já não responde apenas por seu próprio sistema, mas também por riscos criados por fornecedores, integrações, APIs e prestadores de tecnologia.
Marco jurídico: nasce com força a discussão sobre diligência na contratação, auditoria de terceiros e responsabilidade por falhas de governança digital.
2023 — A exploração de vulnerabilidades acelera
A janela entre a divulgação de uma vulnerabilidade e sua exploração por criminosos diminui. O que antes permitia reação lenta passa a exigir resposta imediata. A Mandiant/Google Cloud identifica que a exploração de vulnerabilidades se tornou um vetor dominante e cada vez mais rápido, demonstrando que o tempo de resposta empresarial passou a ser elemento decisivo da segurança.
Marco jurídico: negligência em atualização, correção e monitoramento passa a ter relevância concreta na análise de culpa, omissão e responsabilidade civil.
2024 — Identidade digital vira o principal alvo
A IBM X-Force apontou aumento de 84% em e-mails usados para entrega de infostealers, ferramentas destinadas ao roubo de credenciais e informações de acesso. Isso demonstra que o criminoso moderno prefere entrar como usuário legítimo, usando credenciais retiradas mediante ardil, diferentemente do fato de “arrombar” tecnicamente o sistema.
Marco jurídico: autenticação multifator, controle de acesso, gestão de privilégios e proteção de credenciais deixam de ser boas práticas opcionais e passam a compor o dever mínimo de diligência.
2025 — A IA acelera o criminoso
A inteligência artificial passa a reduzir o esforço técnico necessário para localizar falhas, produzir engenharia social, automatizar reconhecimento e escalar ataques. O problema não é apenas o aumento quantitativo de ataques, mas a redução do tempo e do custo operacional para executá-los.
Marco jurídico: se o risco é previsível, estatístico e tecnicamente conhecido, a omissão empresarial torna-se cada vez menos defensável.
2026 — O risco cibernético torna-se risco sistêmico de governança
O IBM X-Force Threat Intelligence Index 2026 identificou crescimento de 44% nos ataques iniciados pela exploração de aplicações públicas, como websites, APIs, sistemas expostos, portais e aplicações conectadas à internet. A IBM atribui esse crescimento a falhas básicas de segurança e à aceleração da descoberta de vulnerabilidades por ferramentas de IA.
A Verizon DBIR 2026, por sua vez, analisou mais de 31 mil incidentes e 22 mil violações confirmadas, reforçando que exploração de vulnerabilidades, ransomware, credenciais e falhas humanas seguem no centro dos ataques modernos.
A Mandiant/Google Cloud acrescenta um dado crítico: o tempo médio de exploração de vulnerabilidades chegou a patamar negativo, indicando ataques antes mesmo da existência de correção pública disponível.
Marco jurídico: cibersegurança deixa de ser assunto técnico e passa a ser obrigação de governança, passível de denúncia e canais de compliance e outros meios de denúncia, continuidade operacional, proteção de dados e responsabilidade dos administradores.
Conclusão da linha do tempo
A evolução de 2016 a 2026 demonstra que o crescimento da vida digital produziu uma consequência inevitável: a ampliação da superfície de ataque. A empresa contemporânea não é mais apenas um ente econômico; é também uma estrutura digital vulnerável, conectada, interdependente e exposta.
Por isso, a segurança cibernética deve ser compreendida como dever de diligência empresarial. A ausência de controles mínimos, atualização de sistemas, gestão de identidade, auditoria de terceiros e plano de resposta a incidentes, que pode caracterizar não apenas fragilidade técnica, mas falha de governança.
A questão central é simples mas devastadora: quanto mais previsível se torna o ataque cibernético, menos aceitável se torna a omissão empresarial.
ANTONIO CARLOS MORAD
Morad Advocacia Empresarial
