TPCRM
25/6/2026

Risco cibernético de terceiros e responsabilidade corporativa: considerações para um cenário incerto

Há muitos precedentes jurídicos e uma lista histórica de casos demonstrando que empresas podem ser responsabilizadas por atos de terceiros vinculados a elas, de modo que não há muita dúvida acerca dessa possibilidade. Contudo, essa mesma clareza nem sempre existe quando se trata de fornecedores de tecnologia.

Desenvolvedores de softwares quase sempre limitam suas responsabilidades nos acordos de licença, enquanto as plataformas de internet são beneficiadas por exceções específicas referentes ao conteúdo gerado por usuários, ainda que as condições para isso variem de um caso para o outro.

Essas exceções, combinadas com inconsistências em regulamentos e na aplicação destes, criaram um ambiente confuso, levantando questões sobre quem é responsável por práticas indevidas, incidentes cibernéticos e, por fim, pelos prejuízos financeiros deles decorrentes.

Por que o cenário está em transformação

Alguns eventos recentes renovaram a atenção sobre esse tema: com fornecedores cada vez mais conectados à infraestrutura de TI de seus clientes, deficiências e erros vêm causando impactos diretos às operações (e, portanto, responsabilizando-os pelos prejuízos). Há casos documentados em que falhas em help desk terceirizados e ataques de engenharia social em equipes de IT externas facilitaram a ação de hackers. Nessas situações, o terceiro pode alegar que nenhum dado de cliente foi comprometido, ainda que ele esteja vinculado à causa-raiz da invasão.

O mundo testemunhou um exemplo disso quando uma atualização da CrowdStrike congelou sistemas em aeroportos, provocando atrasos e incômodos aos passageiros. Esse incidente chegou às manchetes de grandes veículos de imprensa e deu início a uma batalha jurídica entre a Delta Airlines e a CrowdStrike, que discordam sobre quem é responsável pelos prejuízos.

Além disso, leis de privacidade de dados e novas regras para setores críticos como o financeiro, serviços essenciais (eletricidade, telecomunicações) e saúde em geral têm levado em conta o fato de que empresas terceirizam parte de suas necessidades de TI. A computação em nuvem vem deixando reguladores com riscos de concentração e infraestrutura terceirizada, levando a requisitos específicos para sua adoção.

Quanto à notificação de vítimas de um vazamento de dados, o que é previsto em várias legislações, há casos em que um fornecedor tomou para si esta responsabilidade, mas também há muitos outros em que isso foi feito pelo contratante. Embora a Lei Geral de Proteção de Dados (LGPD) também preveja esse tipo de notificação no Brasil, essa prática tem sido mais rara do que em outras jurisdições, seja por motivos culturais ou pelo fato de que a lei só exige notificações quando a empresa entende que o vazamento gera dados para o cliente. A dúvida é se terceiros já utilizaram o mesmo entendimento para não notificar seus clientes ou parceiros.

Em uma decisão interessante proferida em janeiro, a autoridade de proteção de dados da Noruega julgou que um fornecedor tinha efetivamente se tornado um controlador de dados após a falência do cliente. Ou seja, também há questões aqui para os próprios terceiros.

Como este cenário está em constante evolução, não podemos dizer desde já quais serão as "práticas de mercado" que vão se estabelecer. O que sabemos é que muitas autoridades compreenderam que não vão alcançar os objetivos esperados sem avaliar com cuidado a abordagem das empresas em relação à segurança de terceiros, aplicando multas à contratante quando acharem necessário.

Desse modo, apenas ter cuidado durante a escolha de um fornecedor (ou de cliente) com diligência prévia e processos de onboarding pode não bastam para satisfazer reguladores. Autoridades enxergaram que fornecedores acumulam responsabilidades que ultrapassam a escala associada ao negócio, adquirindo um perfil mais vinculado à relevância de sua cartela de clientes do que ao faturamento. Isso é especialmente comum na tecnologia, com pequenas empresas cuja capacidade se estende a grandes volumes de dados.

Temos casos de fornecedores que entraram em processo de falência, obrigando clientes a bancar os pagamentos decorrentes dos danos provocados por um incidente cibernético.

Por fim, vale mencionar que dados corporativos podem ser vazados por fornecedores que não têm ligação direta com a infraestrutura de TI. Na Tailândia, o Comitê de Proteção de Dados Pessoais multou um hospital depois que documentos de pacientes foram usados para empacotar lanches. A empresa terceirizada também teve que pagar uma multa, mas ela foi de apenas 16.940 bahtes, enquanto o hospital teve de arcar com uma multa de 1,21 milhão de bahtes.

Na cibersegurança, frequentemente nos preocupamos com hackers e vazamentos de dados, mas riscos provenientes da responsabilização das ações de terceiros podem ser amplos, incluindo ativos cujo valor financeiro é menos evidente. Um deles é a reputação da empresa.

Ideias para mitigar riscos de responsabilidade

Tendo em vista que muitas empresas já possuem processos de diligência prévia e para assegurar requisitos na validação de documentos, nossas recomendações seguem uma linha um pouco diferente. Já mencionamos algumas dessas ideias em outros artigos, mas ainda vale compreender como elas impactam a responsabilização da contratante.

Colete sinais e evidências auditáveis

A confiança na relação com terceiros costuma ser estabelecida por processos e dados obtidos por meio de relatórios, certificações ou questionários. São pontos difíceis de validar, o que significa que a empresa pode estar exposta a riscos mesmo quando os terceiros dizem já possuir controles ou mitigações. Mesmo que esses controles existam e estejam funcionais na contratação, mudanças no ambiente, erros e novas tecnologias podem enfraquecê-los.

Para não sobrecarregar os times de cibersegurança e governança, essa tarefa de coleta deve ser automatizada. O monitoramento contínuo inside-out pode prover um fluxo constante de sinais atualizados sobre a postura de cibersegurança de um terceiro. Cooperar com fornecedores para corrigir os problemas encontrados ajuda a reduzir a tensão no relacionamento entre as empresas e leva a resultados melhores.

Além de aprimorar a cibersegurança de forma tangível, essa abordagem demonstra com clareza a seriedade da empresa em garantir a veracidade das promessas de terceiros, os quais devem agir no mundo real em conformidade com as expectativas estabelecidas.

Não espere que terceiros cuidem de incidentes sozinhos

Às vezes, riscos de responsabilidade corporativa são deixados de lado porque as empresas confiam nas garantias fixadas em seus contratos. Em vez disso, todos os envolvidos devem se preparar para trabalhar em conjunto, durante e após um incidente de segurança.

Um terceiro pode não estar familiarizado com todos os requisitos que seus parceiros ou clientes devem atender. Ou, ainda, esses requisitos podem ter mudado desde a assinatura do contrato. Estabelecer uma estrutura de cooperação com antecedência tende a facilitar a busca de soluções sob pressão.

Adapte-se à base regulatória mais severa

Até empresas que não operam diretamente em mais de um país podem estar sujeitas a múltiplas bases regulatórias. Por exemplo, algumas jurisdições têm leis específicas para prestadores de saúde, de modo que empresas do setor precisam observar tanto as leis gerais de privacidade como as leis específicas de saúde.

Somando-se a isso, há o fato de que clientes que operam internacionalmente podem exigir conformidade com outras normas às quais eles estão submetidos. É preciso avaliar se isso terá de ser repassado aos terceiros.

Para as empresas que estão nesta situação, uma ideia é identificar a base regulatória mais severa para fundamentar seu programa de gestão de risco de terceiros. O motivo é que processos podem ser abreviados e simplificados quando houver oportunidade, mas aprimorar processos desenhados para requisitos menos severos é muito mais desafiante.

Observe a opinião pública e tendências

É mais fácil mitigar riscos para a reputação da marca quando a empresa se mantém a par da opinião pública e suas tendências. Terceiros podem causar danos desproporcionais ao valor do contrato quando as tarefas desempenhadas são tidas como sensíveis ou suspeitas pelo público. Quando um incidente cibernético ou comportamento questionável de um fornecedor vem à tona, uma garantia legal não basta para poupar seus clientes aos olhos da opinião pública.

A título de exemplo, uma empresa pode acabar em apuros se a imprensa achar um vínculo entre ela e alguma operação suspeita que um fornecedor em comum realizou para outro cliente. Especificamente na área da cibersegurança, muitos enxergam com suspeita a contratação de um fornecedor com um histórico de vazamento de dados sem garantias robustas de melhorias. A presença de um terceiro em redes sociais e sua atitude em relação ao público também pode agravar incidentes sem necessidade. Portanto, a coordenação das comunicações também é valiosa.

A opinião pública pode facilmente criar teorias de que a empresa foi deliberadamente negligente se não houver evidências de que a empresa tentou auditar diretamente o comportamento do fornecedor. Contudo, isso pode ser mitigado com as demais recomendações.

Estabeleça um plano para melhoria contínua

Como já dissemos, este cenário é incerto e está em transformação. Por isso, é importante construir um processo de rotina para garantir que o programa de gestão de risco de terceiros atinja as metas esperadas. No caso do risco cibernético, é possível reunir indicadores com base nos sinais que fundamentam o programa através do monitoramento inside-out.

Dito isso, mudanças em normativos e regulamentações podem exigir uma revisão ou expansão dos próprios indicadores. Terceiros devem ser notificados sobre as mudanças de requisitos vinculados ao futuro do negócio, já que isso facilita a conformidade quando a data chegar.

Gerir o risco cibernético de terceiros não é uma escolha

Sabemos que é desafiante mudar programas de TPCRM ou de governança corporativa, especialmente quando há impacto direto sobre o operacional e a seleção de fornecedores. Felizmente, essas mudanças podem aliviar o peso sobre os processos de contratação e onboarding, deixando-os mais eficientes e dando a eles a capacidade de reagir a novas condições no mercado.

No fim do dia, mitigar riscos de supply chain e de terceiros não é uma escolha. Terceirizar uma tarefa não terceiriza o risco. Seja adotando algumas dessas ideias ou seguindo por outro caminho, é importante que as empresas fiquem de olho em como o cenário está se transformando.

Share
Latest Posts
O risco oculto do Third-Party Cyber Risk Management: quando os times de TPCRM não entendem de fato os serviços que avaliam
O DBIR 2025 da Verizon mostra terceiros em 30% das violações. A causa silenciosa é um gap de skills no TPCRM: times que não sabem ler os serviços que avaliam. O relatório de 2026 confirma essa trajetória preocupante, com mais 60% de aumento; terceiros já aparecem em 48% de todas as violações.
Read more
Data Breach Investigations Report 2026 da Verizon: ataques a terceiros, riscos em credenciais e outros insights
Read more
Soberania digital e fragmentação: entendo os impactos na gestão de risco cibernético de terceiros
Read more