← Recursos Segurança · Caso 25 de maio de 2026 8 min de leitura
Phishing numa PME industrial — de 38% para 5% em quatro meses.
Uma PME industrial portuguesa com 80 colaboradores pediu à HeraPrime para testar a maturidade da equipa contra phishing. Na primeira ronda, 38% clicaram. Quatro meses depois, com sensibilização estruturada e novas rondas em ciclo contínuo, a percentagem fixou-se em 5%. Este artigo descreve o que foi feito, o que funcionou e o que mudou no dia-a-dia da empresa.
Porque é que o phishing continua a ser o problema número um
O phishing é o vector de entrada mais comum em incidentes de cibersegurança. Segundo o Verizon Data Breach Investigations Report 2025, mantém-se nos três principais vectores de acesso inicial em todo o mundo. O ENISA Threat Landscape publicado em outubro de 2025 atribui-lhe 60% das intrusões observadas no perímetro europeu.
Para uma PME portuguesa com 50 a 150 colaboradores, o problema tem dois agravantes:
- A superfície humana é a única que o atacante precisa de furar. Um único clique pode comprometer credenciais Microsoft 365, abrir caminho a movimentação lateral e levar a ransomware ou exfiltração de dados.
- O tempo médio de detecção é de 254 dias. Quase nove meses entre o clique inicial e o momento em que a empresa percebe que foi comprometida.
Acrescente-se o contexto regulatório: o Decreto-Lei 125/2025 transpôs a diretiva NIS2 e entrou em vigor a 3 de abril de 2026. O fim da carência de coimas é a 3 de abril de 2027. Empresas abrangidas — incluindo várias PMEs industriais — terão de demonstrar sensibilização ativa e periódica em cibersegurança.
O cliente: 80 colaboradores, sem formação prévia em cibersegurança
A empresa é uma PME industrial portuguesa com 80 colaboradores, distribuídos por produção, comercial, administrativo e logística. O Diretor Financeiro tinha acabado de assumir a pasta de IT por delegação da Administração e contactou a HeraPrime com uma preocupação concreta: nunca tinham testado a equipa contra phishing, e o tema NIS2 começava a aparecer em conversas com clientes e auditores.
Estado inicial
- Sem formação prévia em cibersegurança para a maioria dos colaboradores.
- Microsoft 365 em uso há cinco anos, com autenticação multifator ativada mas sem políticas de Acesso Condicional maduras.
- Sem ferramenta de simulação de phishing instalada.
- Sem processo formal para reportar emails suspeitos — quem duvidava perguntava em voz alta ao colega do lado.
A pergunta inicial foi simples: quão expostos estamos?
O que fizemos
O ponto de partida foi uma primeira ronda de simulações sem aviso prévio. Os emails eram inofensivos — replicavam visualmente um ataque real, sem qualquer carga maliciosa. O objetivo era medir quantos colaboradores abriam o email e clicavam no link. O mix incluiu emails genéricos de factura, personificações internas (RH, IT), falsos alertas de reautenticação Microsoft 365 e pedidos de cotação dirigidos ao comercial.
Resultado da primeira ronda: 38% de colaboradores abriram e clicaram. Apresentado à Administração, serviu de base para o plano seguinte.
A sensibilização foi adaptada à realidade da empresa: sessões em português com exemplos reais de phishing capturado em Portugal, conteúdo diferenciado por função (comercial, administrativo, produção) e ativação do botão de reporte no Outlook integrado com Microsoft Defender — reportar um email suspeito passou a ser um clique.
Quatro meses depois da primeira ronda, nova simulação com vectores comparáveis: 5% de abertura e clique. 63% de reportes. O vector com a percentagem mais alta na primeira ronda baixou para perto de zero.
O que esta empresa está a fazer hoje
O trabalho não terminou no fim do quarto mês. A HeraPrime e o cliente mantêm:
- Simulações mensais, com vectores rotativos e dificuldade crescente.
- Sessões trimestrais de reciclagem, com tema escolhido em função do panorama de ameaças.
- Sensibilização obrigatória para cada novo colaborador, antes do primeiro dia de trabalho efectivo.
- Relatório trimestral à Administração com indicadores: percentagem de aberturas e cliques, taxa de reporte, tempo médio de reporte, repetentes.
A percentagem de aberturas e cliques tem-se mantido entre 4% e 7% ao longo dos últimos meses. A taxa de reporte continua acima de 60% — o indicador que melhor reflecte maturidade real, porque não basta deixar de clicar; é preciso reportar.
Os números
| Indicador | Antes | Depois de 4 meses |
|---|---|---|
| Colaboradores que abriram e clicaram em phishing simulado | 38% | 5% |
| Colaboradores que reportaram email suspeito | 4% | 63% |
| Colaboradores sensibilizados em cibersegurança | 0 | 80 |
| Rondas de teste realizadas | 0 | 2 + ciclo mensal |
Porque é que estes resultados importam
Três razões concretas:
Risco real reduzido
A diferença entre 38% e 5% não é académica. Num ataque real, em vez de 30 pessoas a comprometer credenciais, são 4 — e dessas 4, três são detectadas a tempo por colegas que reportam.
Conformidade NIS2
Para empresas abrangidas pelo DL 125/2025, sensibilização documentada e periódica é um requisito. Um histórico de testes com resultados mensuráveis é a evidência que um auditor pede.
Custo evitável
O custo de um plano estruturado de sensibilização e testes é uma fração do custo de um único incidente de ransomware ou BEC (Business Email Compromise — esquema em que o atacante se faz passar por um quadro da empresa ou por um fornecedor para induzir transferências bancárias ou alterações de dados de pagamento). O retorno é medido em incidentes que não aconteceram.
Perguntas frequentes
Quanto tempo demora a baixar a percentagem de cliques em phishing?
A maioria dos planos bem desenhados mostra redução superior a 40% em 90 dias e superior a 80% em doze meses, desde que sejam cumpridas as rondas e as sessões.
É legal fazer simulações de phishing aos próprios colaboradores?
Sim, desde que enquadrado em política interna comunicada e tratado como ferramenta de sensibilização, não de penalização. A HeraPrime redige a política e a sua comunicação inicial.
Que ferramentas usámos?
Microsoft Defender for Office 365 com Attack Simulation Training, integrado com o Microsoft 365 já em uso no cliente. Não foi preciso software adicional.
Quanto custa um plano destes?
Depende do número de colaboradores e do nível de personalização. Para uma PME de 50 a 150 pessoas, situa-se tipicamente entre 3.000 e 8.000 euros para o ciclo inicial de quatro meses, com manutenção contínua dimensionada à parte.
Se ainda não testaram, falem connosco
A HeraPrime acompanha empresas portuguesas em planos contínuos de sensibilização e testes de phishing, integrados na infraestrutura Microsoft 365 e Microsoft Defender já em uso. O serviço inclui diagnóstico inicial, sensibilização em português, simulações com mix de vectores realistas, relatórios à Administração e ciclo contínuo de re-teste.
Se a vossa empresa nunca testou a equipa contra phishing — ou se já testou e a percentagem ficou alta — falem connosco. O diagnóstico inicial é uma conversa de 30 minutos.
Este caso descreve um programa executado pela HeraPrime para uma PME industrial portuguesa em 2025. Os números são reais; a identidade do cliente foi omitida por motivos contratuais.
Fontes consultadas: Verizon — Data Breach Investigations Report 2025 · ENISA Threat Landscape (Outubro 2025) · Diretiva (UE) 2022/2555 — NIS2 · Decreto-Lei n.º 125/2025 (transposição NIS2) · Documentação técnica Microsoft Defender for Office 365 (Attack Simulation Training) · Boas práticas publicadas pelo CNCS.