“Eu Sei, Mas…” – Por Que Continuamos Caindo em Golpes Mesmo Após Treinamentos de Segurança? Aponta Estudo

Empresas investem milhões em conscientização, mas funcionários continuam clicando em links maliciosos. A resposta para esse paradoxo está na psicologia, e não apenas na tecnologia.

Por mais que as empresas invistam em programas de treinamento em segurança cibernética, isso não significa que estejam livres de riscos. Afinal, usuários continuam compartilhando informações pessoais, clicando em links suspeitos e reutilizando senhas. Um estudo recente, publicado por pesquisadores da área de Fatores Humanos em Cibersegurança, joga luz sobre um paradoxo desconfortável: o conhecimento sobre um risco não se traduz, necessariamente, em um comportamento seguro.

A pesquisa, que acompanhou centenas de funcionários de diversas corporações antes e depois de passarem por treinamentos anuais de segurança, revelou uma verdade inconveniente. Embora o nível de conscientização sobre ameaças como phishing e engenharia social aumentasse significativamente – os funcionários sabiam identificar os sinais de um e-mail falso em um teste –, a taxa de cliques em simulações de phishing no dia a dia diminuía muito menos do que o esperado.

Em outras palavras, nós sabemos o que é perigoso. Mas, na hora H, ainda caímos na armadilha. Por quê?

O Abismo entre o Saber e o Fazer: A Psicologia por Trás do Clique

A resposta não está na falta de informação, mas na complexa teia de fatores psicológicos e contextuais que governam nossas decisões diárias. O estudo aponta para três barreiras principais que sabotam até mesmo os funcionários mais bem treinados.

1. Fadiga de Decisão e Carga Cognitiva

No mundo real, um e-mail de phishing não chega em um ambiente de teste controlado. Ele chega às 16h45 de uma sexta-feira, no meio de dez outras tarefas urgentes, enquanto o telefone toca e uma notificação do Slack pisca na tela.

“Nossos cérebros operam com uma capacidade de processamento limitada”, explica o Dr. Alistair Finch, um dos autores do estudo. “Quando estamos sob pressão, estressados ou realizando múltiplas tarefas, entramos em um modo de ‘piloto automático’. A parte do cérebro responsável pelo pensamento crítico e analítico cede espaço para a tomada de decisão rápida e intuitiva. O golpista não precisa enganar o ‘você’ analítico; ele só precisa pegar o ‘você’ cansado e distraído.”

O treinamento ensina a analisar. O dia a dia de trabalho nos força a agir. E, nessa batalha, a ação impulsiva muitas vezes vence.

2. O Viés de Otimismo (“Isso não vai acontecer comigo”)

Os seres humanos são inerentemente otimistas quanto aos riscos pessoais. O mesmo funcionário que acerta 100% das questões em um quiz sobre ransomware pode pensar, ao receber um anexo suspeito: “É só um PDF, que mal pode fazer?” ou “Eu nunca seria um alvo importante”.

Esse viés nos faz subestimar a probabilidade de um evento negativo acontecer conosco, mesmo que reconheçamos o risco para os outros. O treinamento nos ensina que o perigo é real, mas nosso cérebro insiste que é um perigo para o “vizinho”, não para nós.

3. A Hierarquia da Conveniência

A segurança é, muitas vezes, um atrito. Criar uma senha complexa, usar um segundo fator de autenticação, verificar a identidade de um remetente – tudo isso exige um esforço extra. Em contraste, a conveniência é um caminho suave e sem obstáculos.

Quando um falso e-mail do “CEO” chega com um pedido urgente, a rota mais conveniente é responder imediatamente. Parar para verificar a autenticidade do pedido por outro canal (como uma ligação) cria um atrito social e de tempo. O estudo mostra que, na maioria das vezes, a conveniência vence a segurança, não por malícia, mas por uma busca natural pela eficiência.

O Futuro do Treinamento: De “O Que” para “Quando” e “Como”

Se o treinamento tradicional de conscientização não é a bala de prata, o que as empresas devem fazer? A pesquisa sugere uma mudança de foco.

• Treinamento Contextual e Contínuo: Em vez de um treinamento anual e genérico, a solução é a “microaprendizagem”. Simulações de phishing mais frequentes e realistas, seguidas de feedback imediato e personalizado, ajudam a criar um “músculo” de desconfiança que funciona melhor sob pressão.
• Reduzir a Carga Cognitiva: A segurança não pode ser apenas responsabilidade do usuário. As empresas precisam investir em tecnologias que “pensem” por ele. Filtros de e-mail mais inteligentes que sinalizam visualmente a urgência ou a origem externa, sandboxing automático de anexos e sistemas de autenticação sem senha (passwordless) reduzem o número de decisões de segurança que o funcionário precisa tomar.
• Cultura de Segurança, Não de Culpa: Criar um ambiente onde um funcionário se sinta seguro para relatar que clicou em algo suspeito, sem medo de punição, é crucial. Quando o erro é visto como uma oportunidade de aprendizado para toda a organização, a segurança se torna um esforço coletivo.

Conclusão: O estudo não diz que o treinamento é inútil, mas sim que ele é insuficiente. A segurança humana não é um problema de conhecimento, é um problema de comportamento. Para construir defesas mais fortes, precisamos parar de apenas ensinar as regras do jogo e começar a entender – e a projetar sistemas para – o jogador humano, com todas as suas falhas, vieses e pressões do dia a dia.

Fique por dentro de tudo no nosso Canal do WhatsApp!

Receba dicas exclusivas, alertas de segurança, novidades sobre Inteligência Artificial, cibersegurança e ofertas especiais de Certificados Digitais A1 confiáveis.

🔐 Garanta segurança e praticidade nas suas assinaturas digitais com os Certificados A1 da E-Certifica 360!

📲 Inscreva-se no canal oficial do WhatsApp e não perca nenhuma atualização: