Vazamento de dados ou ataque hacker podem afastar investidores

Você já conhece o roteiro de qualquer brecha de segurança cibernética: a empresa X não protege corretamente os dados pessoais que pertencem a você, hackers obtêm essas informações e a falha é descoberta; a companhia pede desculpas, diz que sente muito, mas não sofre punição alguma e, após um período com o filme queimado, volta a ser recebida de braços abertos pelos investidores. Coloque no lugar de X o nome de empresas como Facebook, Google e Yahoo, e você tem um resumo do desdobramento de diversos vazamentos nos últimos anos.

Essa história manjada pode estar com os dias contados. Na semana passada, uma das maiores agências de risco do mundo, a Moody's deu o primeiro passo para rebaixar a nota de crédito da Equifax. Até aí, nada fora do normal. Só que a prática, aparentemente corriqueira, esconde um fato inédito: é a primeira vez que uma decisão dessas é tomada tomando como base as (más) condições cibernéticas de uma empresa.

Em 2017, a Equifax, uma das líderes em gestão de crédito dos Estados Unidos, foi alvo de um ataque hacker que expôs as informações de 143 milhões de pessoas em 2017. Os invasores tiveram acesso a números de seguro social, de carteiras de motorista, de cartões de crédito, além de datas de nascimento e endereços.

Desde então, a companhia enfrenta dificuldades para se organizar financeiramente. Diante dessa situação, a Moody's rebaixou a perspectiva para a Equifax de "estável" para "negativa". Isso quer dizer que agora a nota de crédito da companhia -- o chamado "rating"-- está sob análise e pode ser revista para baixo.

Não é pouca coisa, já que essas notas de crédito são conferidas por agências de risco para que investidores decidam quais empresas são confiáveis o suficiente. Ou seja: quais delas devem fazer o dinheiro ter maior retorno sem trazer grande risco. Como há várias gradações, mesmo entre as companhias consideradas boas pagadoras, há aquelas apontadas como mais sólidas - a mesma lógica vale para as empresas não confiáveis.

A Equifax, por exemplo, possui avaliação de "Baa1", o que a classifica como uma empresa com grau de investimento, mas de qualidade média. Dentro dessa categoria, ainda há ainda as notas "Baa2" e "Baa3". A partir da nota "Ba1", uma empresa passa a ser vista como um investimento especulativo.

Descuido com a privacidade

"Essa é a primeira vez que a repercussão de uma brecha [de segurança] moveu a agulha a ponto de contribuir para uma mudança [de perspectiva]", afirmou Joe Mielenhausen, porta-voz da Moody's, à CNBC.

De acordo com a análise da agência de risco, a Equifax terá de gastar muito dinheiro para conseguir tapar todos os buracos expostos com o vazamento.
"Nós estimamos que os gastos da Equifax com a cibersegurança e os investimentos de capital irão totalizar cerca de US$ 400 milhões tanto em 2019 quanto em 2020 antes de cair para U$ 250 milhões em 2021", informou a Moody's.

Entre gastos inevitáveis, a firma de análise de risco citou ainda os desembolsos que a Equifax terá de fazer para encerrar as diversas ações na Justiça promovidas por pessoas que se sentiram lesadas por terem seus dados expostos.

Ainda que seja a primeira vez que um descuido com a segurança cibernética tenha colocado uma empresa na corda bamba da nota de crédito, analistas encaram a situação como um recado para que o mercado passe a levar em conta os gastos de uma empresa com segurança da informação antes de investir nela.

A partir de agora, pode estar sendo criada uma tendência de que falhas com cibersegurança vão afetar o 'rating' das empresas. Talvez tenha sido uma sinalização para o mercado de que se não cuidar da segurança da informação, a coisa vai pegar.
Matheus Jacyntho, gerente sênior de segurança da informação da consultoria ICTS Protiviti

O especialista afirma ainda que "as empresas terão que mostrar em seus boletins anuais o investimento em segurança da informação, do mesmo jeito que contratam segurança para portaria".

A própria Moody's informa que a cobrança para proteger melhor a privacidade de clientes ou usuários será feita também a outras empresas que processam grandes volumes de dados pessoais.

A maior ênfase na segurança cibernética para todas as empresas orientadas a dados, que é especialmente importante para a Equifax, nos leva a esperar que os custos mais altos de segurança cibernética continuarão prejudicando o lucro da empresa e o fluxo de caixa livre no futuro previsível
Moody's

Jacyntho, da ICTS Protiviti, lembra ainda que, no caso das empresas brasileiras, o descuido com a privacidade doerá em breve no bolso -- ainda que não seja transferido para as notas de crédito.

A partir de agosto do ano que vem, acaba o período de vacância da Lei Geral de Proteção de Dados no Brasil. Com isso, as companhias que requisitem, processem ou guardem informações de brasileiros terão que criar meios para proteger esses dados.

Caso existam vazamentos de uma empresa brasileira, ela pode sofrer uma sanção de até 2% do faturamento. ou seja, muitas empresas podem quebrar por isso.