No primeiro trimestre de 2026, os processos de fusões e aquisições no mundo todo alcançaram nível recorde. De acordo com a Dealogic – plataforma global que oferece dados e análises para empresas financeiras, bancos de investimento e corretoras – a receita acumulada dos três primeiros meses do ano somam US$ 11,3 bilhões enquanto o volume do mesmo período alcançou o segundo maior valor da história, com US$ 1,38 trilhão.
Esses processos bilionários de M&A (em inglês, Mergers and Acquisitions) são alvos de ataques cibernéticos e podem desequilibrar metas e diminuir os números de empresas que não se preparam. O relatório da FTI Consulting “CISO Redefinido: Navegando pelas Transações e pelo Cenário da Segurança Cibernética”, estuda os impactos causados.
O estudo explica que 1 em cada 4 executivos que atravessaram períodos de M&A’s relataram incidentes cibernéticos durante ou após as operações. Isso significa que o movimento de consolidação e escala empresarial deixa de ser estratégico e passa a se tornar um risco. Mais da metade (58%) afirmou que as metas financeiras foram prejudicadas, enquanto 20% relatou que seus negócios foram atrasados ou suspensos devido a um incidente cibernético.
“Os agentes de ameaças são inteligentes; eles acompanham as notícias e sabem que as empresas tendem a ficar vulneráveis quando estão tentando fechar um negócio ou logo após, quando estão integrando sistemas, e é exatamente nesse momento que eles tentam invadir”, disse Meredith Griffanti, Diretora Global da prática de Comunicação para Cibersegurança e Privacidade de Dados da FTI Consulting.
A diretora explica que o incidente pode custar caro para o comprador porque as partes nem sempre estão alinhadas e atentas ao risco de ataques cibernéticos. O prejuízo no final desequilibra as contas e compromete a reputação da companhia.
O papel dos CISOs nas estruturações
Os CISO’s, em inglês Chief Information Security Officer, são os diretores de segurança da informação e exercem um papel fundamental de manter a integridade das transações. De acordo com o relatório, o cenário ideal é garantir que um Diretor de segurança possa interromper processos se julgar necessário.
No entanto, a grande maioria dos CISOs sente que seu papel é mal compreendido pela liderança das empresas e que eles têm dificuldade em se comunicar de forma não técnica com outros executivos. Apenas 34% dos CISOs disseram estar fortemente envolvidos nas decisões durante a execução do negócio, e 1 em cada 3 CISOs não acredita ter autoridade – ou não tem certeza se tem.
Outros resultados relevantes:
1 em cada 4 CISOs afirma que seus líderes priorizam o fechamento rápido dos negócios em detrimento de uma due diligence completa em cibersegurança.
Apenas 17% dos CISOs relataram aumento na colaboração entre a equipe de cibersegurança e a equipe jurídica/de negociação durante o período da transação; já entre os general counsel, essa porcentagem é de 34%.
Apenas 23% das organizações alegam estar proativas no gerenciamento de riscos de cibersegurança após a transação. Essa queda na vigilância cria um ponto de exposição relevante para a organização, justamente quando os ataques tendem a ocorrer.
O levantamento identificou que, em uma escala de 0 a 100%, a maturidade em cibersegurança das empresas é, em média, de 58%. O resultado indica um avanço em relação aos 53% registrados em 2024.
A média é calculada a partir do nível de maturidade de empresas de diferentes portes e setores. As companhias da área Financeira são as que apresentam maior pontuação (77%), seguidas do setor de Consumo (71%), Telecomunicações (65%) e Agricultura e Pesca (65%), além do setor Industrial (64%). As companhias da área de Saúde (49%), Farmacêutica (47%), Construção (45%), Governo (43%) e Utilities (41)% têm os menores índices.
O setor Financeiro também é o que tem maior impacto estimado em caso de uma crise de cibersegurança: US$ 98,43 milhões. Em seguida, vêm Telecomunicações (US$ 90,39 milhões), Indústria (US$ 89,54 milhões de dólares) e Varejo (US$ 70,87 milhões de dólares).
“Os dados da pesquisa reforçam que as equipes envolvidas em processos de negociação de M&A precisam reconhecer o risco cibernético e incorporá-lo à sua estrutura de gestão de riscos. A efetiva concretização do valor de um negócio está condicionada à adoção de medidas mais robustas de mitigação desse risco”, recomenda Samuel Aguirre, Diretor Executivo Sênior de Finanças Corporativas da FTI Consulting.
Metodologia da pesquisa
A FTI Consulting entrevistou 100 CISOs, 78 responsáveis por M&A e 100 general counsel em organizações públicas e privadas sediadas nos Estados Unidos, com pelo menos 500 funcionários, representando majoritariamente empresas com capitalização de mercado igual ou superior a US$ 5 bilhões, com o objetivo de compreender como os principais líderes colaboram entre si e avaliam as prioridades de cibersegurança durante e após negócios de M&A.
