Sumário Executivo
A cibersegurança deixou de ser uma pauta restrita à diretoria de tecnologia para ocupar o centro das discussões de governança, riscos e conformidade (GRC) nas companhias abertas brasileiras. A evolução do arcabouço regulatório da Comissão de Valores Mobiliários (CVM), especificamente através das Resoluções 80, 59 e 44, estabeleceu um novo paradigma de transparência obrigatória.
Para CFOs, Conselheiros e Comitês de Auditoria, a mensagem é clara: a gestão de riscos cibernéticos é agora um componente indissociável do dever fiduciário e da sustentabilidade corporativa. A CVM não apenas exige a divulgação de incidentes, mas monitora a qualidade, a tempestividade e a materialidade das informações prestadas no Formulário de Referência (FRE). O mercado de capitais precifica a resiliência digital, e a falha na comunicação de vulnerabilidades ou ataques pode resultar em sanções administrativas severas, além de danos reputacionais irreversíveis e destruição de valor para o acionista.
Este artigo técnico analisa as exigências regulatórias atuais, o conceito de materialidade em eventos digitais e as ações estratégicas necessárias para a blindagem da companhia e de seus administradores.
Análise Técnica do Arcabouço Regulatório
A supervisão da CVM sobre o tema evoluiu de recomendações de “melhores práticas” para um regime de disclosure mandatório e detalhado. A análise técnica do ambiente normativo revela quatro pilares fundamentais que devem nortear a conduta da administração.
1. A Reformulação do Formulário de Referência (Resolução CVM 80 e 59)
A Resolução CVM nº 80/2022, em conjunto com as alterações de viés ESG trazidas pela Resolução nº 59/2021, transformou o Formulário de Referência. Não se aceita mais a utilização de textos genéricos (boilerplate) na descrição de fatores de risco.
No Item 4 (Fatores de Risco), a companhia deve detalhar especificamente a exposição a riscos cibernéticos (Item 4.1). A instrução é taxativa: a companhia deve descrever as fragilidades de seu ambiente digital de forma hierarquizada, considerando a probabilidade de ocorrência e a magnitude do impacto financeiro e operacional.
Adicionalmente, no Item 4.3, exige-se a transparência sobre a política de gerenciamento de riscos. O investidor deve ser capaz de compreender se há uma política formalizada de segurança da informação, qual a frequência de sua revisão e, crucialmente, qual o nível de envolvimento da Alta Administração e do Conselho na aprovação e supervisão dessas diretrizes.
2. Governança e Supervisão (Itens 1.9 e Seção 7)
A regulação aprofunda-se na estrutura de governança. As companhias devem reportar os canais estabelecidos para reportar falhas de segurança ao Conselho de Administração. A CVM busca evidências de que o risco cibernético é tratado com a mesma rito e seriedade que os riscos financeiros ou tributários. Há, inclusive, a demanda por informar se a remuneração variável dos administradores possui gatilhos (KPIs) atrelados a metas de segurança da informação ou gestão de riscos, alinhando incentivos executivos à proteção do patrimônio digital.
3. Incidentes e Divulgação de Fato Relevante (Resolução CVM 44)
A gestão de crises cibernéticas possui um ponto crítico de intersecção com a Resolução CVM nº 44/2021. A administração deve discernir, em tempo real, se um incidente cibernético constitui um Fato Relevante.
O critério técnico é a materialidade: o ataque tem potencial para influir de modo ponderável na decisão de investimento ou na cotação dos valores mobiliários?
- Sim (Fato Relevante): Casos de interrupção sistêmica prolongada, vazamento de dados estratégicos, sequestro de dados (ransomware) com impacto operacional ou exposição de passivos ocultos massivos.
- Não (Comunicado ao Mercado): Incidentes contidos, sem impacto financeiro relevante, mas cuja divulgação atende aos princípios de transparência e equidade de informações.
É imperativo notar a exceção de confidencialidade: a companhia pode retardar a divulgação se entender que isso prejudicaria seus interesses legítimos (ex: durante uma negociação delicada de contenção), desde que a informação não tenha escapado ao controle. Se houver vazamento na mídia, a divulgação torna-se mandatória e imediata.
4. Exigências para Intermediários (Resolução CVM 35)
Para corretoras e distribuidoras, a Resolução 35 (Art. 45 e 46) é ainda mais prescritiva, exigindo não apenas a divulgação, mas a implementação efetiva de planos de resposta a incidentes e testes periódicos de vulnerabilidade, sob pena de inabilitação operacional.
Impacto nos Negócios e Riscos Financeiros
A conformidade com as normas da CVM transcende a burocracia legal; ela afeta diretamente a avaliação econômica da companhia e a responsabilidade dos administradores.
Valuation e Operações de M&A
Em processos de fusões e aquisições, a Due Diligence de Tecnologia e Cibersegurança tornou-se tão crítica quanto a Due Diligence Fiscal. Um histórico de incidentes mal reportados ou a ausência de controles descritos no FRE podem depreciar o valuation da companhia. Passivos ocultos decorrentes de vazamentos de dados (sob a ótica da LGPD) ou fragilidades sistêmicas são precificados pelos compradores como “dívida técnica” e risco jurídico latente.
Responsabilidade Civil e Administrativa (D&O)
A CVM, através da Superintendência de Relações com Empresas (SEP), utiliza supervisão baseada em risco com algoritmos que monitoram notícias e redes sociais. A discrepância entre um fato noticiado (ex: um vazamento de dados de clientes) e o silêncio da companhia no sistema IPE gera Ofícios de Alerta e pode culminar em Processos Administrativos Sancionadores (PAS).
Neste cenário, diretores de Relações com Investidores (DRI) e Conselheiros podem ser responsabilizados pessoalmente por omissão ou falta de diligência, caso fique comprovado que sabiam da gravidade do risco e optaram pela opacidade. As multas cominatórias e o dano reputacional aos administradores são riscos reais.
Custo de Capital
Estudos de mercado indicam que companhias com governança de TI robusta e transparente tendem a apresentar menor volatilidade em momentos de crise setorial. A clareza no disclosure de riscos cibernéticos reduz a assimetria informacional, permitindo que analistas e investidores precifiquem o risco de forma mais justa, potencialmente reduzindo o custo de capital da empresa.
Ações Estratégicas Recomendadas
Diante do Ofício Circular Anual 2025 da SEP e da crescente sofisticação das ameaças (com destaque para o aumento de 93% nos reportes e a prevalência de ransomware), recomendamos as seguintes ações imediatas para a Alta Administração:
- Revisão Crítica do Formulário de Referência: Abandonar descrições genéricas. A área de Auditoria Interna e o Jurídico devem revisar o Item 4 do FRE para garantir que os riscos descritos reflitam a realidade operacional atual e as ameaças específicas do setor (Varejo, Saúde, Energia, etc.). A atualização deve ser constante, não apenas anual.
- Formalização do Protocolo de Crise e Divulgação: Estabelecer um playbook aprovado pelo Conselho que defina claramente os critérios de materialidade para acionamento da Resolução 44. Quem decide se é Fato Relevante? O DRI não deve tomar essa decisão isoladamente; deve haver suporte técnico do CISO (Chief Information Security Officer) e jurídico.
- Auditoria de Controles e Testes de Intrusão: Validar a eficácia das políticas mencionadas no FRE. Se o documento afirma que a empresa possui “sistemas robustos de monitoramento”, isso deve ser passível de comprovação via relatórios de auditoria independente ou testes de vulnerabilidade recentes. A inconsistência entre o discurso no FRE e a realidade técnica é um vetor de punição pela CVM.
- Blindagem e Seguro Cibernético: Avaliar a contratação de seguros para riscos cibernéticos (Cyber Insurance) como ferramenta de mitigação financeira, e assegurar que a apólice de D&O (Directors and Officers) cubra investigações administrativas relacionadas a falhas de supervisão em cibersegurança.
Conclusão
A cibersegurança é, hoje, uma métrica de qualidade da gestão. Para a BLW&A, a conformidade com as normas da CVM não é o objetivo final, mas sim a consequência de uma estrutura de governança resiliente. A transparência no reporte de riscos cibernéticos protege não apenas o valor da companhia, mas a integridade e a reputação de seus administradores frente ao mercado de capitais.
Perguntas Frequentes (FAQ)
Quais são as principais resoluções da CVM que regem a transparência sobre riscos cibernéticos?
As principais normas são as Resoluções CVM 80 e 59, que transformaram o Formulário de Referência em um documento de disclosure mandatório e detalhado, e a Resolução CVM 44, que trata da divulgação de Fatos Relevantes em caso de incidentes materiais.
Como deve ser feita a descrição de riscos cibernéticos no Formulário de Referência (FRE) segundo as novas regras?
A companhia deve evitar textos genéricos (boilerplate) e descrever especificamente sua exposição a riscos digitais de forma hierarquizada, levando em conta a probabilidade de ocorrência e a magnitude do impacto financeiro e operacional no Item 4 do documento.
Qual é o critério técnico para decidir se um ataque cibernético deve ser comunicado como Fato Relevante?
O critério é a materialidade: deve-se avaliar se o incidente tem potencial para influir de modo ponderável na decisão dos investidores ou na cotação dos valores mobiliários, como no caso de interrupções sistêmicas prolongadas ou sequestro de dados (ransomware).
Os administradores podem ser responsabilizados pessoalmente por falhas na gestão de riscos cibernéticos?
Sim. Diretores de Relações com Investidores (DRI) e conselheiros podem ser responsabilizados administrativa e civilmente por omissão ou falta de diligência, caso fique comprovado que optaram pela opacidade ou negligenciaram a gravidade dos riscos perante o mercado.
Quais são as ações estratégicas recomendadas para a alta administração para garantir a conformidade regulatória?
As recomendações incluem a revisão constante do Formulário de Referência, a formalização de playbooks de crise aprovados pelo Conselho, a realização de auditorias independentes e testes de intrusão, além da avaliação de contratação de seguros cibernéticos.
