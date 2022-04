É um aviso à navegação, com impacto direto nos altos e baixos das bolsas: empresas que não se preparem para os riscos cibernéticos poderão sofrer descidas no rating da Standard & Poor’s (S&P).

Não é a primeira vez que as chamadas Big Three, o trio todo-poderoso de agências de notação, lançam alertas sobre o tema. Em 2017, a Moody’s abriu o precedente ao cortar o rating da gigante de classificação de crédito Equifax após “uma das maiores violações de dados da história”, segundo o então Procurador-Geral norte-americano. O ciberataque levou para parte incerta dados pessoais de cerca de 150 milhões de cidadãos, ou seja, metade da população da superpotência. Mas o alcance desta comunicação da S&P é distinto: cortes de rating podem agora vir a ter lugar “antes mesmo de um ataque”.

Na prática, a S&P anuncia uma promoção da cibersegurança no que é a sua matriz de avaliação, reagindo à digitalização da economia, à realidade do teletrabalho e ao crescimento vertiginoso dos pedidos de resgate. No fundo, vão perder pontos na caderneta da maior agência do mundo as “empresas que não incorporem estratégias de mitigação de riscos cibernéticos nos quadros de procedimentos corporativos”.

A S&P explica exatamente porquê, enumerando quatro tipos de feridas que os ciberataques podem infligir em qualquer negócio. Afetar, desde logo, a posição competitiva da empresa por via dos danos reputacionais e da interrupção da atividade. Podem igualmente suscitar um problema de liquidez, devido a custos com processos legais e indemnizações a clientes e até aos próprios acionistas.

No caso da Equifax, esses custos atingiram já os 1,7 mil milhões de dólares. Em terceiro lugar, a S&P cita uma possível quebra da rendibilidade e um agravamento da alavancagem como consequência de maiores custos operacionais. Por último, agressões cibernéticas graves lançam quase sempre um enorme ponto de interrogação sobre a qualidade da gestão.

Ora, este alerta da S&P representa um poderoso incentivo ao investimento em cibersegurança em todas aquelas empresas onde o assunto ainda é apenas tratado no departamento de TI, e não na comissão executiva, mas sobretudo em todas aquelas equipas de gestão que resistem em abrir os cordões à bolsa, por acreditarem que não serão um alvo e que os ciberataques só acontecem aos outros.

É também uma tomada de posição capaz de aumentar a sensibilidade dos mercados financeiros a respeito da cibersegurança das cotadas. Chamadas de atenção da S&P sobre vulnerabilidades nesta área podem bem fazer derrapar as ações de uma empresa – “antes mesmo de um ataque”.

Por outro lado, o próprio custo do financiamento, definido em grande medida pelo rating, passará a depender das suas defesas cibernéticas. E esse modelo de formação de taxa de juro será posteriormente generalizado pelos concessionários de crédito.

É uma transformação já em curso em Portugal. Basta ler as palavras recentes do presidente do BCP na Ordem dos Economistas: “As empresas podem ser inovadoras, dominar mercados e processos de produção, mas se forem muito vulneráveis em termos de cibersegurança, o fator determinante na análise do risco de crédito vai ser essa vulnerabilidade. Este impacto é relativamente novo e veio para ficar.”