O dia mais importante do ano para muitos consumidores tem um peso cada vez maior no calendário do retalho, e Portugal não é exceção. Mas o pico de transações tornou-se uma oportunidade fértil para a recolha fraudulenta de dados pessoais.
As vendas online em Portugal durante a Black Friday mais do que duplicaram em 2024 em relação ao ano anterior, de acordo com dados da SIBS Analytics. A tendência, que é comum a outros países, deve-se a vários fatores: a pesquisa de produtos e preços é mais fácil, a compra pode ser feita a qualquer hora do dia, e os clientes não ficam dependentes da existência de uma loja física perto de si.
O aumento de tráfego resultante deste cenário criou, porém, um ambiente fértil para as fraudes digitais. No contexto português, esta ameaça é agravada pela adesão acelerada ao comércio eletrónico durante a pandemia, que deixou muitas PME com sistemas insuficientemente preparados para ataques.
Acresce a tudo isto o facto de a Black Friday criar uma pressão comercial, que leva as equipas a concentrarem-se nas vendas, relegando a segurança para segundo plano. A utilização massiva de cartões e do MB Way, potenciada pela urgência de comprar em quantidade, e rapidamente, facilita o aparecimento de elaborados esquemas de phishing e clonagem.
As táticas mais comuns dos cibercriminosos incluem:
- Phishing através de SMS ou e-mails que imitam as campanhas de retalhistas;
- Skimming digital em sites de e-commerce menos protegidos;
- Promoções falsas que circulam em redes sociais e conduzem a sites fraudulentos;
- Ataques de ransomware a cadeias de distribuição e logística.
Como funciona o mercado negro digital
O roubo de dados durante a Black Friday não termina na sua recolha: existe todo um mercado paralelo onde a informação é convertida em lucro. Nos fóruns da dark web, os dados pessoais básicos dos consumidores (nome, e-mail e número de telemóvel) são vendidos em pacotes acessíveis, utilizados para campanhas de spam ou tentativas de fraude financeira.
Já as credenciais bancárias e os acessos a contas de e-commerce têm preços bem mais elevados, com os acessos iniciais a redes empresariais na União Europeia a ascender aos milhares de euros. Para os criminosos, os dados dos consumidores portugueses são particularmente apetecíveis: Portugal apresenta uma elevada taxa de adesão aos serviços digitais, embora ainda registe um baixo nível de consciencialização em cibersegurança.
Evidentemente, não são apenas as empresas que estão em causa e que sofrem com as brechas na segurança digital. A Associação Portuguesa para a Defesa do Consumidor (DECO) tem lançado repetidos avisos sobre as fraudes ocorridas neste dia e lembra que “é muito fácil criar contas em redes sociais para publicitar lojas fictícias ou vender produtos contrafeitos e pirateados”.
Os custos para as empresas portuguesas
As consequências para as empresas vão muito além do prejuízo imediato. Num mercado pequeno e competitivo, como o português, uma violação de dados pode ser fatal para a confiança do cliente, implicando:
- Prejuízos financeiros: custos de investigação, multas da CNPD por incumprimento do RGPD e indemnizações.
- Reputação: os consumidores portugueses são cada vez mais exigentes em matéria de privacidade. Uma falha de segurança pode ser o suficiente para os afastar de forma temporária ou definitiva de uma marca.
- Parcerias: a inexistência de padrões de segurança adequados cria potenciais obstáculos com fornecedores internacionais.
O custo médio global de uma violação de dados pode rondar os 4 milhões de dólares, de acordo com um estudo recente. Em Portugal, embora os números absolutos sejam mais baixos, o peso proporcional para as PME é muito mais elevado, arriscando comprometer a continuidade do negócio.
Como as empresas portuguesas podem proteger os seus dados
Face a estes dados, torna-se evidente que a Black Friday deve ser encarada não apenas como uma oportunidade de vendas, mas também como um teste à resiliência digital. Aqui estão algumas recomendações práticas que o ajudarão a ter nota positiva:
- Reforce a proteção do tráfego de dados com a ajuda de uma VPN (rede privada virtual). É especialmente importante ter implementada uma VPN na Black Friday , quando as equipas trabalham remotamente ou a partir de redes inseguras.
- Segmente os sistemas críticos: as plataformas de pagamento e bases de dados dos clientes devem ser isoladas, a fim de minimizar o risco da propagação de ataques.
- Monitorize os seus sistemas em tempo real, através de ferramentas de deteção de anomalias que identifiquem padrões de fraude durante os picos de vendas.
- Utilize a autenticação multifator (MFA), nomeadamente em processos administrativos e por parte de colaboradores críticos.
A revisão constante de plugins e atualizações, a formação e treino de colaboradores e a criação de planos de resposta a incidentes, incluindo protocolos claros de comunicação com clientes e autoridades, em caso de violação, são outras medidas a pôr em prática.
