Os restaurantes há anos que estão entre os alvos mais visados por malware de caixa registadora — não porque os hackers tenham algo contra a restauração, mas porque é fácil.
Cadeias como a Chipotle, a Sonic Drive-In e a Checkers & Rally's foram todas atingidas nos últimos anos por malware instalado nos seus sistemas POS, por vezes meses sem serem detetadas, com milhões de números de cartão roubados como resultado. Segundo o mais recente Data Breach Investigations Report da Verizon, um terceiro — um fornecedor, um parceiro de caixa ou de software — está hoje envolvido em 30% de todas as violações de dados, quase o dobro do ano anterior. E em 22% dos casos, uma palavra-passe roubada ou fraca foi o ponto de partida. Não precisa de ser uma cadeia internacional para se tornar alvo: a maioria dos ataques é automatizada ou passa por um único fornecedor vulnerável que serve dezenas de restaurantes ao mesmo tempo. Este artigo dá-lhe 9 passos concretos, na sua maioria gratuitos ou baratos, para proteger o seu restaurante:
- Separe o wifi dos clientes — nunca na mesma rede da sua caixa.
- Proteja o seu sistema POS — mantenha-o atualizado e desconfie de qualquer "técnico" não anunciado.
- Escolha um fornecedor de pagamentos conforme com o PCI-DSS — e nunca guarde dados de cartão por conta própria.
- Use palavras-passe fortes e autenticação em dois fatores — em tudo, não só na caixa.
- Reconheça phishing e fraude de faturas — o custo mais subestimado da restauração.
- Limite o acesso por função — e revogue-o de imediato quando alguém sai.
- Avalie os seus fornecedores — a fragilidade deles torna-se a sua violação de dados.
- Faça cópias de segurança e teste o seu plano de recuperação — antes do momento em que a caixa encravar.
- Conheça o seu dever de notificação — o RGPD dá-lhe 72 horas, nem mais um dia.
Porque é que a restauração é um alvo tão apetecível
Um restaurante processa diariamente dezenas a centenas de transações com cartão, guarda dados de reservas e contactos de clientes, e trabalha muitas vezes com hardware de caixa desatualizado ou mal mantido, que corre sem alterações durante anos. Junte a isso uma elevada rotatividade de pessoal e conhecimentos limitados de TI, e tem exatamente o perfil que os atacantes procuram: muitos dados valiosos, pouca resistência. Ao contrário de um ataque dirigido a um grande banco, a maior parte do malware de caixa é oportunista — procura automaticamente sistemas vulneráveis, seja o seu estabelecimento com doze ou com cento e vinte mesas.
A boa notícia: a maioria das medidas abaixo não custa dinheiro, apenas dez minutos de atenção. A cibersegurança na restauração raramente é uma questão de contratar um serviço de TI dispendioso — é sobretudo uma questão de fechar as brechas mais óbvias.
9 passos para um restaurante ciberseguro
1. Separe o wifi dos clientes da rede da caixa
O erro mais comum — e mais subestimado — é usar um único router para tudo: a caixa, o computador do escritório com a contabilidade e o wifi que oferece gratuitamente aos clientes. Assim que um cliente (ou alguém a quem foi passada a palavra-passe do wifi de clientes) está nessa rede, pode, no pior cenário, espiar o tráfego que segue em direção à sua caixa.
- Crie duas redes separadas: uma para clientes, outra para a caixa e o back-office, cada uma com a sua própria palavra-passe. A maioria dos routers de gama média já suporta isto através de um "SSID de convidados" ou de uma VLAN, muitas vezes com uma única definição.
- Mude a palavra-passe de convidados regularmente, por exemplo todos os meses, para que uma palavra-passe antiga e amplamente partilhada não continue a circular.
- Ligue o seu sistema de pedidos por QR à rede de clientes, nunca à rede da sua caixa — mesmo que pareça mais prático.
Esta única alteração — duas redes em vez de uma — fecha o caminho mais utilizado por um dispositivo de cliente infetado para alguma vez chegar à sua caixa.
2. Proteja o próprio sistema POS
Ao escolher um sistema POS, normalmente presta atenção às integrações e às taxas por transação — mas é pelo menos igualmente importante saber quão bem protegido está e continuará a estar. Algumas regras práticas:
- Instale as atualizações de software da sua caixa assim que estejam disponíveis; software de caixa desatualizado é o alvo mais fácil que existe.
- Use o computador da caixa exclusivamente para a caixa — não para pesquisar algo rapidamente, verificar email ou tocar música.
- Desconfie de qualquer "técnico" inesperado. O grupo de hackers brasileiro Prilex tornou-se mundialmente conhecido por malware de caixa capaz de clonar até transações com chip e PIN — a infeção começa tipicamente com um telefonema de um alegado técnico que insiste em "atualizar" o software da caixa e pede a instalação de software como o AnyDesk para acesso remoto. Em caso de dúvida, ligue sempre para o número oficial do seu próprio fornecedor, nunca para o número que o interlocutor lhe dá.
3. Escolha um fornecedor de pagamentos conforme com o PCI-DSS
Qualquer entidade que processe pagamentos com cartão tem de cumprir o PCI-DSS, a norma de segurança das redes de cartões. A consequência prática para si: nunca deixe dados de cartão passarem pelos seus próprios sistemas ou serem armazenados neles sem necessidade.
- Escolha um terminal ou fornecedor de pagamentos que tokenize os dados do cartão — a sua caixa nunca vê o número real do cartão, apenas um código de substituição sem valor.
- Nunca guarde números de cartão em folhas de cálculo, emails ou notas "para o caso de".
- Se não estiver em conformidade com o PCI-DSS e mesmo assim ocorrer uma fuga de dados, pode ser responsabilizado por transações fraudulentas — o custo do incumprimento é praticamente sempre superior ao custo de um fornecedor conforme.
Números que fazem a diferença
Porque a rapidez e a higiene básica pesam mais do que um contrato de segurança caro.
4. Palavras-passe fortes e autenticação em dois fatores, em tudo
Uma única palavra-passe partilhada e antiga ("caixa1234") que todos os colaboradores alguma vez receberam é talvez o maior risco invisível na restauração. Quando dá por isso, dez ex-colaboradores ainda a sabem de cor.
- Ative a autenticação em dois fatores sempre que possível: na sua conta de caixa, no seu sistema de reservas, no seu Perfil de Empresa do Google e no seu email profissional. Costuma ser gratuito e custa apenas um clique extra ao iniciar sessão.
- Dê a cada colaborador um login próprio em vez de uma conta partilhada — assim também sabe quem fez o quê se algo correr mal.
- Use um gestor de palavras-passe para as contas profissionais em vez de reutilizar a mesma palavra-passe em todo o lado.
5. Reconheça phishing e fraude de faturas
A maioria das invasões não começa com código sofisticado, mas com um email ou telefonema que abusa da confiança. Inclua isto explicitamente na formação da sua equipa:
- Fraude de faturas: um "fornecedor" envia um email a dizer que o número de conta mudou. Confirme sempre qualquer alteração de dados de pagamento por telefone, usando um número que já conhecia — nunca o número indicado no email.
- Fraude do CEO: um email urgente "do proprietário" a pedir a compra de cartões-presente ou uma transferência rápida. Combine com a sua equipa que este tipo de pedidos é sempre confirmado oralmente.
- Emails falsos "do seu fornecedor de caixa" ou "da Google" a pedir que inicie sessão através de um link. Em caso de dúvida, vá sempre diretamente ao website oficial em vez de clicar no link.
6. Limite o acesso por função — e revogue-o de imediato
Nem todos os colaboradores precisam de direitos de administrador na sua caixa, sistema de reservas ou redes sociais. Trabalhe com funções: um empregado de mesa pode criar pedidos, mas não precisa de poder exportar relatórios ou alterar configurações.
- Atribua direitos de administrador completos apenas ao proprietário e a um número limitado de chefias.
- Revogue o acesso de imediato assim que alguém sai da empresa — este é o passo mais esquecido de toda esta lista, e um dos mais arriscados. Inclua-o por defeito na sua checklist de saída de colaboradores, junto com o resto da gestão de pessoal da restauração.
- Verifique pelo menos duas vezes por ano quem ainda tem acesso a quê, e remova o que já não é necessário.
7. Avalie os seus fornecedores: a fragilidade deles torna-se a sua violação de dados
O seu sistema POS, a plataforma de pedidos online e as ferramentas de automatização funcionam muitas vezes sobre software de terceiros. Se essa entidade for atacada, é o seu negócio que fica em risco. Desde outubro de 2024 que a diretiva europeia NIS2 eleva as exigências de segurança para empresas médias e grandes em diversos setores — a generalidade dos restaurantes individuais fica normalmente de fora (o limiar situa-se nos 50 trabalhadores ou 10 milhões de euros de faturação), mas o seu fornecedor de caixa, reservas e pagamentos está muitas vezes mesmo dentro desse âmbito. Por isso, pergunte a cada novo fornecedor:
- Estão em conformidade com a NIS2 ou a ISO 27001, ou conseguem pelo menos demonstrar como protegem os dados dos clientes?
- Com que rapidez são os clientes avisados em caso de incidente do lado deles?
- Onde e por quanto tempo são guardados os nossos dados, e quem tem acesso a eles?
Isto liga-se diretamente ao olhar crítico que já deve ter sobre como trata os dados dos seus clientes ao abrigo do RGPD: a responsabilidade pelos dados dos seus clientes não termina no fornecedor que os guarda tecnicamente.
8. Faça cópias de segurança e teste o seu plano de recuperação
O ransomware raramente faz manchetes na restauração como acontece nos hospitais, mas o efeito é pelo menos igualmente disruptivo: uma caixa que encrava numa sexta-feira à noite movimentada significa perda imediata de faturação e clientes frustrados à porta.
- Faça cópias de segurança regulares dos dados de reservas, dados de clientes e configurações — automaticamente, não manualmente "quando se lembra".
- Guarde pelo menos uma cópia de segurança separada da sua rede principal, para que um ransomware que encripte os seus sistemas não leve também a cópia de segurança.
- Teste pelo menos uma vez por ano se consegue realmente restaurar uma cópia de segurança — uma cópia que nunca restaurou é uma suposição, não uma garantia.
9. Conheça o seu dever de notificação e considere um seguro
Se trata dados pessoais de clientes ou colaboradores — e é o que praticamente todos os restaurantes fazem, desde reservas a processos de pessoal — o RGPD aplica-se integralmente, independentemente da sua dimensão. Numa violação grave de dados:
- Tem de a comunicar à autoridade de proteção de dados no prazo de 72 horas após a descoberta.
- Tem de avisar os clientes ou colaboradores afetados se o risco para eles for elevado.
- As coimas podem chegar a 4% da faturação anual mundial — na prática, os pequenos estabelecimentos de restauração costumam sair-se com muito menos, mas o próprio dever de notificação aplica-se sem exceção.
Um seguro de cibersegurança acessível cobre muitas vezes não só o dano direto, mas também a investigação forense e o apoio jurídico após um incidente — pergunte pela mesma seguradora onde já tem as suas outras apólices. Documente também numa única folha A4 a quem tem de ligar (fornecedor, seguradora, eventual apoio de TI) assim que algo correr mal: a meio da noite não quer andar à procura de um número de telefone.
Erros comuns que comprometem a cibersegurança
- Deixar a caixa, o escritório e o wifi de clientes a funcionar exatamente na mesma rede.
- Usar uma única palavra-passe partilhada que nunca muda, mesmo depois de saídas de pessoal.
- Dar acesso remoto à caixa a um "técnico" não anunciado sem verificar quem é.
- Anotar ou guardar manualmente dados de cartão de clientes "por precaução".
- Só revogar o acesso de ex-colaboradores quando, por acaso, alguém repara.
- Nunca testar se uma cópia de segurança consegue mesmo ser restaurada.
Conclusão: segurança como higiene básica, não como luxo
A cibersegurança na restauração raramente exige um grande investimento. É uma série de pequenos hábitos estruturais: uma rede de convidados separada, autenticação em dois fatores, um olhar crítico sobre qualquer telefonema inesperado e acessos que revoga assim que alguém sai. Comece esta semana pelos passos gratuitos — separar as redes, ativar a autenticação em dois fatores, informar a sua equipa sobre phishing — e planeie o resto para a próxima conversa com os seus fornecedores.
O preço dessas poucas horas de atenção é insignificante comparado com o que custa uma violação de dados em reputação, coimas e na confiança de clientes que esperavam simplesmente que os seus dados estivessem seguros consigo.