Pensemos na última vez em que estiveste prestes a cair num e-mail suspeito. Provavelmente sabias, em abstrato, que existem e-mails falsos. Tinhas lido sobre phishing, talvez até tivesses feito uma formação. E, ainda assim, por um instante, o teu dedo moveu-se em direção à ligação. Como se explica essa distância entre o que sabemos e o que fazemos?
A resposta incomoda a intuição de muitos programas de segurança, que partem do princípio de que informar basta para proteger. Mas o phishing não é, na sua raiz, um problema de conhecimento. É um problema de como decidimos. E compreender essa diferença muda por completo a forma de pensar a sensibilização.
Porque é que saber não é o mesmo que estar a salvo?
As pessoas não tomam a maioria das decisões de forma deliberada. A ciência do comportamento descreve dois modos de processamento: um rápido, automático e intuitivo, que opera quase sem esforço, e outro lento, analítico e consciente, que exige atenção e energia. Passamos boa parte do dia a funcionar no primeiro, porque pensar tudo ao pormenor seria esgotante e inviável.
Esse modo automático é eficiente e, quase sempre, adaptativo. Permite-nos responder a dezenas de e-mails, reconhecer um logótipo conhecido ou seguir uma instrução “urgente” sem parar a cada passo. O problema é que o phishing está desenhado, precisamente, para operar aí: na via rápida, onde não há análise. Um atacante competente não tenta enganar o teu raciocínio. Tenta que nunca o ativies.
Por isso o conhecimento, por si só, oferece menos proteção do que pensamos. Saber que o phishing existe vive no modo reflexivo, mas o momento do clique acontece no modo automático. Entre os dois há uma lacuna, e é nessa lacuna que ocorre o incidente.
Que condições nos fazem decidir em automático?
Se o risco surge quando não estamos a refletir, a pergunta útil é: o que nos empurra para o modo automático? A resposta tem pouco a ver com a inteligência ou a vontade, e muito com o contexto.
- A carga cognitiva. Quando damos atenção a várias coisas ao mesmo tempo, a capacidade de análise disponível reduz-se. Um e-mail que chega a meio de uma reunião, entre outras cinquenta tarefas, quase não tem hipótese de ser examinado.
- A pressão do tempo. A urgência é o ingrediente preferido da engenharia social precisamente porque desativa a reflexão. Frases como “tens duas horas para responder” funcionam justamente porque empurram a agir antes de pensar.
- A familiaridade. Reconhecer um logótipo, um nome ou um formato habitual ativa uma sensação de segurança que o atacante explora. O que é conhecido é processado depressa, e o que é rápido não é questionado.
- A rotina. Fazemos o mesmo tantas vezes que deixamos de o olhar. O ducentésimo e-mail do dia não recebe a mesma atenção que o primeiro.
Não é por acaso que o Verizon DBIR 2026 regista taxas de clique mais altas nos ataques dirigidos ao telemóvel: o telefone é onde mais operamos em andamento, com a atenção repartida e pouca margem para o modo reflexivo.
Nenhuma destas condições é um defeito da pessoa. São traços normais de como funciona a atenção humana. O erro está em desenhar programas de segurança que ignoram este funcionamento e depois se admiram de que as pessoas “não aprendam”.
Porque é que culpar o utilizador é um diagnóstico errado?
Quando alguém cai numa simulação ou num ataque real, a reação frequente é lê-lo como falta de cuidado ou de critério. Mas se o mecanismo que falhou foi o processamento automático (o mesmo que nos permite funcionar o resto do dia), culpar a pessoa é como repreender alguém por respirar.
Esse olhar, além disso, é contraproducente. O medo da sanção não melhora a atenção; o que faz é empurrar a pessoa a esconder o erro. E um erro escondido é muito mais perigoso do que um reportado a tempo. Desenvolvi-o a partir do ângulo organizacional em o risco humano em cibersegurança, mas aqui importa a consequência psicológica: uma cultura punitiva treina o ocultamento, não a prudência.
Como se treina um comportamento que ocorre em automático?
Se o problema não é de conhecimento, a solução também não pode ser apenas mais informação. Não basta explicar melhor o que é o phishing. É preciso intervir no momento e na forma em que se decide.
A ciberpsicologia sugere um caminho diferente: em vez de pedir às pessoas que estejam sempre alerta (algo que nenhum cérebro consegue sustentar), convém desenhar pequenos empurrões que reintroduzam um instante de reflexão mesmo onde a via automática está prestes a agir. É a lógica dos nudges em cibersegurança: não procuram ensinar um dado, mas criar uma micro-pausa que devolva, por um segundo, o controlo ao modo consciente.
Esse segundo é tudo. A diferença entre cair e reportar não costuma estar em quanto a pessoa sabe, mas em se algo a fez parar antes de agir. Por isso a aprendizagem mais eficaz não chega numa formação agendada semanas depois, mas no momento exato do erro, quando a atenção está alta e a experiência é vívida.
Como aborda a SMARTFENSE tudo isto?
Na SMARTFENSE trabalhamos sobre esta premissa: os conteúdos de sensibilização não estão pensados para encher as pessoas de informação, mas para ativar a reflexão no instante em que mais importa. As simulações reproduzem as condições reais em que decidimos em automático, e o momento educativo posterior intervém quando a aprendizagem se pode fixar, sem tom punitivo e com foco no reflexo de parar e reportar. Não se trata de as pessoas saberem mais, mas de, perante o próximo e-mail, disporem desse segundo de pausa que muda a decisão.
O phishing continuará a apontar à via rápida, porque é aí que somos previsíveis. A sensibilização, bem entendida, trabalha com a natureza da atenção humana em vez de lutar contra ela. Saber não nos torna invulneráveis. Parar a tempo, sim.
Deixe um comentário