Em Portugal, a Inteligência Artificial está a entrar na cibersegurança por duas vias ao mesmo tempo: como ferramenta de defesa e como multiplicador do ataque. Esta leitura ganha ainda mais peso num momento em que o país está a formalizar a sua aposta na IA através da Agenda Nacional de Inteligência Artificial, aprovada em janeiro de 2026, e em que o tecido empresarial português já mostra sinais claros de adoção desta tecnologia, embora ainda com lacunas relevantes de maturidade em cibersegurança. O Relatório Sociedade Digital em Portugal 2025 do CNCS destaca precisamente esse contraste: digitalização crescente, adoção de IA pelas empresas de maior dimensão e, ao mesmo tempo, fraca adesão a mecanismos essenciais como o múltiplo fator de autenticação.
Como a Inteligência Artificial está a mudar a cibersegurança em Portugal
O contexto português combina hoje três dinâmicas que se reforçam mutuamente: maior adoção de IA, mais pressão regulatória e maior exposição a ataques sofisticados.
A nível legal, o novo Regime Jurídico da Cibersegurança foi publicado em dezembro de 2025 através do Decreto-Lei n.º 125/2025. O objetivo foi transpor a Diretiva NIS2 para a ordem jurídica nacional. A NIS2 entrou em vigor a 3 de abril de 2026.
A própria CNCS enquadra a NIS2 como um quadro que reforça a gestão de risco, a resiliência e a resposta a incidentes. A PwC destaca ainda que a diretiva harmoniza requisitos de governação, gestão de risco e reporte de incidentes nos Estados-Membros.
Existe aqui uma mudança estrutural importante. A cibersegurança deixa de ser apenas uma função técnica e passa a assumir um papel de governação.
O CNCS refere que as entidades abrangidas passam a ser responsáveis por assegurar a segurança das suas redes e sistemas de informação. O objetivo é promover uma cultura de gestão de risco mais robusta e resiliente face às ciberameaças.
A PwC reforça esta ideia ao afirmar que, em contexto NIS2, a gestão de topo passa a assumir responsabilidade direta pela gestão de risco e pela implementação das medidas de cibersegurança.
Neste novo enquadramento, as organizações precisam de responder a requisitos mais exigentes de monitorização, gestão de risco e resposta a incidentes. É precisamente neste contexto que a Inteligência Artificial começa a ganhar relevância na cibersegurança. Na prática, a IA permite reforçar capacidades operacionais e aumentar a eficiência das equipas.
Como a IA reforça a defesa na cibersegurança?
Na prática, a IA pode tornar as equipas de cibersegurança mais rápidas, mais consistentes e mais eficazes na resposta. Em organizações portuguesas com recursos limitados, isso pode traduzir-se em quatro frentes muito objetivas: priorização de alertas, triagem mais célere de incidentes, automação de tarefas repetitivas e melhoria da resposta operacional. Esta leitura é coerente com o novo enquadramento regulatório, que exige medidas proporcionais ao risco e capacidade de resposta a incidentes.
Isto é especialmente relevante num país onde a maturidade não é homogénea. O CNCS mostra que, embora exista evolução positiva na adoção de medidas de segurança pelas empresas portuguesas, muitas continuam longe de aplicar todas as medidas relevantes, com destaque para a baixa adoção de múltiplo fator de autenticação (2FA) e para a preocupação com infostealers e ransomware. Nesse contexto, a IA pode funcionar como um acelerador de capacidade operacional, sobretudo na deteção de anomalias e na gestão do volume de sinais que as equipas recebem diariamente.
No entanto, a mesma tecnologia que reforça a capacidade de defesa das organizações está também a transformar o lado ofensivo da cibersegurança. À medida que as empresas recorrem à IA para automatizar processos e melhorar a deteção de ameaças, os atacantes utilizam ferramentas semelhantes para aumentar a sofisticação, velocidade e escala dos ciberataques.
Como a IA está a acelerar os ciberataques?
Do lado ofensivo, a transformação é igualmente clara. O texto de opinião escrito por Samuel Cruz e publicado no SAPO Tek aponta três vetores centrais: reconhecimento automatizado à escala, phishing e engenharia social com mensagens quase indistinguíveis de comunicações legítimas, e deepfakes e identidades sintéticas capazes de enganar mecanismos tradicionais de deteção. O mesmo artigo sublinha ainda que os atacantes combinam automação, IA e engenharia social para ultrapassar defesas convencionais.
No caso português, este risco ganha uma dimensão adicional porque a exposição a phishing, fraudes e burlas online tem vindo a aumentar, ao mesmo tempo que a utilização de serviços digitais continua a crescer. O relatório do CNCS assinala precisamente esse aumento da exposição e liga-o a um tecido empresarial mais digitalizado, mas ainda com fragilidades em medidas essenciais de proteção.
O que as organizações em Portugal devem fazer perante os riscos da IA?
Perante este cenário, as organizações portuguesas precisam de tratar a IA como um tema de risco, e não apenas de inovação. Isso implica definir regras internas claras para uso de IA, reforçar a formação das equipas, rever permissões e acessos, incluir a IA nos planos de risco e alinhar políticas com a NIS2 e com o novo regime nacional de cibersegurança. O enquadramento regulatório já aponta exatamente nesse sentido: segurança proporcional ao risco, reporte de incidentes, reforço da resiliência e responsabilização da gestão de topo.
Há também um ponto crítico que não deve ser ignorado: a autenticação forte. O CNCS identifica a fraca adesão ao múltiplo fator de autenticação (2FA) como uma fragilidade preocupante, sobretudo num cenário em que o trabalho remoto, os infostealers e o ransomware elevam o impacto de credenciais comprometidas. Em termos práticos, este continua a ser um dos controlos com melhor relação entre custo e impacto para reduzir risco.
Esta evolução demonstra que a Inteligência Artificial está a alterar profundamente o equilíbrio da cibersegurança. Se, por um lado, permite às organizações reforçar capacidades de monitorização, análise e resposta, por outro também está a tornar os ataques mais rápidos, mais personalizados e mais difíceis de identificar. A mesma tecnologia que aumenta a eficiência da defesa está igualmente a elevar o nível de sofisticação das ameaças digitais.
O futuro da Inteligência Artificial e da cibersegurança em Portugal
A Inteligência Artificial já está a redefinir o equilíbrio entre ataque e defesa no domínio da cibersegurança. Em Portugal, esta transformação acontece num contexto de aceleração digital, maior pressão regulatória e crescente dependência tecnológica das organizações.
Ao mesmo tempo que a IA cria novas oportunidades para reforçar capacidades de deteção, automação e resposta a incidentes, também está a aumentar a sofisticação, velocidade e escala das ameaças digitais. O desafio deixa, assim, de ser exclusivamente tecnológico e passa a envolver governação, gestão de risco, cultura organizacional e capacidade de adaptação.
Com a entrada em vigor da NIS2 e do novo Regime Jurídico da Cibersegurança, as organizações portuguesas enfrentam um cenário mais exigente em matéria de resiliência digital e responsabilidade estratégica. A cibersegurança passa a assumir um papel central na continuidade operacional, na proteção da informação e na confiança digital.
Neste contexto, investir apenas em tecnologia já não é suficiente. As organizações precisam de combinar inovação, formação, políticas de segurança e capacidade de resposta. A preparação das equipas, a definição de regras claras para utilização de IA e o reforço das medidas de proteção serão fatores decisivos para reduzir exposição ao risco.
A vantagem competitiva pertencerá às organizações que conseguirem transformar a cibersegurança numa prioridade estratégica e integrar a Inteligência Artificial de forma responsável, segura e alinhada com os novos desafios do ecossistema digital.
Fontes utilizadas
- Diário da República — Resolução do Conselho de Ministros n.º 2/2026 (Agenda Nacional de Inteligência Artificial).
- CNCS — Diretiva NIS 2 / novo Regime Jurídico da Cibersegurança.
- PwC Portugal — Diretiva NIS2: reforçar a cibersegurança e a resiliência.
- SAPO Tek — “Ameaças à cibersegurança em 2026: inteligência artificial e escala massiva”.
- CNCS — Relatório Sociedade Digital em Portugal 2025 / Observatório de Cibersegurança.
