Gostaria de começar este texto fazendo algumas perguntas em tom provocativo:

Você confiaria cegamente em quem guarda os seus dados?

Sua empresa revisa, de fato, as práticas de segurança dos provedores de serviços com quem trabalha?

Se hoje um fornecedor de TI, uma empresa de nuvem ou um parceiro operacional sofresse um ataque, você saberia o impacto direto sobre seus clientes, operações e reputação?

Essas perguntas, que até pouco tempo pareciam hipotéticas, tornaram-se urgentes.

Um levantamento recente aponta que 98% das 100 maiores companhias europeias sofreram violações decorrentes de terceiros.

No Brasil, a imprensa tem noticiado casos e mais casos de violação de segurança, sobretudo no setor bancário, em situações que envolvem prejuízos na casa dos milhões e até bilhões. Isso significa que praticamente todas as grandes empresas foram atingidas, mesmo com sistemas internos de defesa robustos.

O alerta é claro: o elo mais vulnerável da sua segurança pode estar fora do seu controle direto!

É comum que as organizações invistam pesado em firewalls, criptografia e políticas internas de proteção de dados — mas ignorem o nível de segurança de quem processa, armazena ou acessa suas informações sensíveis.

Mas a suposição de que “meus fornecedores também são seguros” é uma das principais causas de incidentes cibernéticos.

O caso emblemático da varejista norte-americana Target, atacada por meio de um fornecedor de ar-condicionado, gerou perdas superiores a US$ 200 milhões e um dano reputacional que levou anos para ser revertido.

No Brasil, uma das maiores fraudes bancárias da história dá conta de que o incidente partiu do cooptação de funcionários de uma empresa provedora de serviços de integração de Instituições de Pagamento com o Banco Central do Brasil. O prejuízo chegou quase a um bilhão de reais, segundo fontes jornalísticas e policiais.

Agora, pergunte-se: se um dos seus parceiros fosse atacado hoje, sua empresa teria meios de reagir rapidamente?

No Brasil, a LGPD (Lei Geral de Proteção de Dados) e as normas de órgãos reguladores — como Banco Central, ANPD e CVM — são claras: a responsabilidade sobre dados pessoais é solidária.

Isso significa que, mesmo que o incidente ocorra em um terceiro, sua empresa pode ser compelida ao pagamento de indenizações, autuada, multada e exposta publicamente.

Além das sanções financeiras, há impactos de difícil mensuração: perda de confiança de clientes, queda no valor de mercado e comprometimento da continuidade operacional.

Mas pergunte-se novamente:

Seus contratos com provedores de serviços digitais contêm cláusulas específicas de segurança da informação? Há um processo de due diligence ou auditoria antes da contratação? Existe monitoramento contínuo desses terceiros após o início da parceria? Sua equipe está preparada para reagir a um incidente originado fora da empresa?

Se a resposta a qualquer uma dessas perguntas for “não” ou “não sei”, o risco é real — e está ativo neste exato momento.

Muitas empresas acreditam que o problema é apenas técnico. Na prática, a primeira linha de defesa é humana. De pouco adianta investir em sistemas avançados se os colaboradores não forem treinados para reconhecer riscos, seguir protocolos de acesso e agir com prudência diante de alertas ou comunicações suspeitas.

Um programa de conscientização interna sobre riscos cibernéticos e cadeia de fornecedores é hoje tão importante quanto qualquer firewall. A segurança precisa ser parte da cultura corporativa, e não um projeto isolado da área de TI.

Dito tudo isso, nossa sugestão é simples: Mapeie seus fornecedores críticos — identifique quem tem acesso a dados sensíveis e sistemas estratégicos, implante a LGPD em sua empresa, revise seus contratos acrescentando cláusulas próprias de responsabilização e obrigação de manutenção segura de sistemas, faça o treinamento e seus funcionários e implemente monitoramento contínuo de riscos, pois estes mudam com o tempo.

Num ecossistema digital cada vez mais interconectado, a vulnerabilidade de um parceiro pode se tornar a sua próxima crise. Avaliar, monitorar e exigir padrões mínimos de segurança dos terceiros não é burocracia — é gestão de risco, proteção jurídica e sobrevivência empresarial.

Finalizo esta reflexão com uma comparação simples, mas poderosa: um incidente digital grave em uma empresa equivale, em seus efeitos, a um incêndio de grandes proporções.

A diferença é que o fogo consome paredes e equipamentos visíveis; o ataque cibernético destrói algo mais silencioso — a confiança, a reputação e a continuidade do negócio.

Assim como em um incêndio, o estrago imediato é apenas parte do problema.

Após o “fogo” inicial vêm as consequências indiretas: paralisação de operações, perda de dados essenciais, notificações a clientes, questionamentos de reguladores, ações judiciais, e o dano mais difícil de mensurar — a perda de credibilidade perante o mercado.

E, tal como em um edifício, a prevenção sempre custa menos do que a reconstrução.

Ignorar o risco de terceiros é como conviver com um vazamento de gás em silêncio — invisível, até o momento da explosão.

Rogério Aleixo Pereira é advogado e sócio da Aleixo Pereira Advogados.