A privacidade de dados e problemas relacionados à segurança cibernética tornaram-se os principais impulsionadores de risco empresarial nos últimos anos. Esses crimes custam à economia mundial mais de US$ 1 trilhão por ano, o equivalente a 1% do PIB global. Em casos de violações de dados especificamente, os custos médios em 2022 partiram de US$ 4.35 milhões com perspectiva de ultrapassar US$ 5 milhões em 2023. As consequências são óbvias: um ataque de ransomware tem potencial de afetar o preço das ações de uma organização, especialmente no curto e médio prazo.
Um estudo publicado pela Harvard Business Review mostra que empresas de capital aberto sofreram uma queda média de 7,5% no valor de suas ações após um ataque cibernético, juntamente com uma perda média de capitalização de mercado de US$ 5,4 bilhões. Além disso, o impacto pode repercutir em toda a cadeia de suprimentos, criando um efeito cascata que pode causar déficits de até 26 vezes no ecossistema de negócios.
O tema é visto como prioridade para a Comissão de Valores Mobiliários dos Estados Unidos (SEC), que propôs novos regulamentos para entidades de mercado, visando padronizar o risco de cibersegurança e melhorar a estabilidade financeira. Gary Gensler, presidente da instituição, sugeriu que empresas de investimento, consultores e outras entidades de mercado sejam obrigados a notificar os clientes cujas informações confidenciais tiveram vazamento em, no máximo, 30 dias após o incidente. A SEC deverá ser notificada por escrito imediatamente, seguido de um relatório mais detalhado em 48 horas.
As empresas que sofrem incidentes de violação de dados apresentam desempenho inferior ao índice NASDAQ em 8,6% após um ano, sendo que essa diferença pode aumentar para 11,9% após 24 meses. Quando a Capital One (NYSE:COF) divulgou que sofreu um ciberataque, o preço de suas ações imediatamente caiu quase 6%. Nas duas semanas seguintes, despencou quase 14%. No Brasil, empresas como Lojas Renner (BVMF:LREN3) e Grupo Fleury (BVMF:FLRY3) foram alvos de ataques em 2021. Horas após o incidente, os papéis LREN3 apresentavam queda de 1,5% e FLRY3 queda de 2,34%. Outro caso emblemático foi contra a JBS (BVMF:JBSS3), quando hackers paralisaram as plantas da companhia em diversos continentes. O então CEO André Nogueira confirmou em comunicado o pagamento de USD $ 11 milhões para retomar as operações.
Um levantamento de 2022 do Morningstar Sustainalytics analisou 69 ciberataques de alto impacto em uma escala de tempo. A constatação é que o declínio inicial dos preços das ações foi de -2,3% no quarto dia após a data do incidente, chegando ao menor valor no 59º dia com -4,6% de queda. Um ano pós ataques, as empresas ainda estão com movimentos ascendentes tímidos e menos de um terço delas conseguiu acompanhar seus respectivos benchmarks do setor.
A falta de segurança cibernética também gera perda de vantagem competitiva, redução de crédito, aumento no preço dos produtos, entre outras mazelas. Em 2022, o custo médio global de uma violação atingiu US$ 4,35 milhões: são despesas que podem incluir resgate, remediação, honorários advocatícios, auditoria, sem considerar os custos intangíveis, como reputação. Além disso, esses crimes limitam a capacidade da empresa de manter sua posição no mercado, visto que 60% das organizações que sofreram violações aumentaram os preços de seus produtos e serviços.
Entre as empresas de capital aberto afetadas pelos crimes virtuais, as que implementaram iniciativas de proteção contra os ataques cibernéticos, estavam mais bem preparadas para resistir. Em média, o grupo de empresas com altos índices de conformidade experimentou um declínio máximo médio 62% menor do que as empresas com baixo nível de conformidade, mantendo o ritmo de seu benchmark do setor um ano depois.
Por fim, o risco de ataque cibernético é um dos riscos ESG mais imediatos e financeiramente relevantes e que devem ser analisados a fundo pelas empresas, em especial, pelos Conselhos de Administração e Executivos. A crescente frequência e gravidade dos casos exigem ações rápidas, efetivas e constantes. O primeiro grande passo são os administradores entenderem qual o nível de maturidade de seus negócios em relação as melhores práticas, políticas de segurança e Lei Geral de Proteção de Dados e, com base nisso, iniciarem discussões para implementação de um plano de ação.
O risco cibernético não é mais um problema exclusivo das áreas técnicas, mas sim uma questão Corporativa. A redução da área de exposição das companhias requer ações coordenadas, que envolvam diversas áreas da empresa, incluindo TI, Segurança, Comitê de Risco, C-Level e Conselho de Administração. A coordenação das ações deve ser realizada pelas áreas de Compliance, devido a multidisciplinaridade que o tema exige.
