Os programas de fidelização tornaram-se, ao longo da última década, um dos instrumentos centrais de retenção de clientes em setores como os da aviação, hotelaria e turismo. No entanto, a sua crescente sofisticação digital transformou-os também em alvos prioritários do cibercrime. Um estudo divulgado em dezembro de 2025, realizado pela NordVPN em parceria com a aplicação de eSIM de viagens Saily, revela que contas de fidelização de companhias aéreas e hotéis estão a ser vendidas de forma recorrente em fóruns da dark web, expondo fragilidades estruturais na gestão destes sistemas.
Segundo a investigação, contas roubadas com centenas de milhares de milhas ou pontos, são transacionadas por valores que podem começar nos 0,75 dólares e atingir algumas centenas de dólares, enquanto bases de dados completas do setor hoteleiro, contendo informação sensível de clientes, podem alcançar preços significativamente mais elevados. Estes dados sugerem que os programas de fidelização deixaram de ser apenas um benefício comercial para assumirem uma dimensão económica própria, reconhecida e explorada por redes organizadas de fraude digital.
Quando pontos e milhas se tornam moeda
A atratividade destes sistemas para o cibercrime reside na sua liquidez prática. Milhas aéreas e pontos de hotel podem ser rapidamente convertidos em voos, estadias, cartões de oferta ou outras recompensas, muitas vezes sem mecanismos eficazes de rastreabilidade após o resgate. O estudo indica que mais de metade das discussões sobre cibercrime relacionadas com companhias aéreas na dark web envolvem grandes marcas internacionais, o que demonstra não apenas a escala do fenómeno, mas também a sua normalização enquanto prática criminosa recorrente.
No setor hoteleiro, a exposição é agravada pelo volume e pela natureza dos dados associados às contas de fidelização. As bases de dados comercializadas incluem frequentemente nomes, endereços de correio eletrónico, históricos de estadias e, em alguns casos, informações particularmente sensíveis, como números de passaporte. Para os cibercriminosos, trata-se de conjuntos de dados com elevado valor agregado, facilmente reutilizáveis em esquemas de fraude mais complexos.
Risco reputacional, financeiro e regulatório
Para as empresas, o impacto deste tipo de incidentes vai muito além da perda direta de pontos ou milhas. Está em causa a confiança do cliente, um ativo intangível mas determinante, especialmente em setores altamente competitivos. A exposição pública de falhas de segurança em programas de fidelização pode traduzir-se em custos reputacionais duradouros, aumento da pressão sobre os serviços de apoio ao cliente e potenciais responsabilidades legais.
Marijus Briedis, diretor de tecnologia da NordVPN, sublinha que “o setor turístico é um alvo lucrativo para os hackers devido aos dados pessoais e financeiros sensíveis que trata”, acrescentando que as violações de dados continuam a alimentar um mercado ativo de informação roubada na dark web. Esta leitura técnica reforça a ideia de que o problema não é episódico, mas estrutural, e que resulta de modelos de gestão da identidade digital que não acompanharam a valorização económica destes sistemas.
Num contexto europeu, estas falhas ganham ainda uma dimensão regulatória. A exposição de dados pessoais associados a contas de fidelização coloca as empresas sob escrutínio à luz do Regulamento Geral sobre a Proteção de Dados (RGPD), com potenciais consequências financeiras e jurídicas quando não estão asseguradas medidas adequadas de proteção e prevenção.
A gestão da identidade digital como prioridade estratégica
O estudo aponta também para práticas recorrentes que facilitam o acesso indevido a contas de fidelização, como a reutilização de palavras-passe e a ausência de mecanismos robustos de autenticação. Para o decisor empresarial, o dado mais relevante não é apenas a existência dessas práticas, mas o facto de revelarem uma subvalorização estratégica destes sistemas, frequentemente tratados como extensões do marketing e não como infraestruturas digitais críticas.
Vykintas Maknickas, CEO do Saily, observa que o valor das bases de dados roubadas “não é determinado pelo seu volume, mas pela sensibilidade da informação que contêm”. Esta constatação é particularmente pertinente para empresas que continuam a avaliar os riscos de cibersegurança com base em métricas tradicionais, ignorando o valor acumulado em ecossistemas de fidelização que concentram dados pessoais, comportamentais e financeiros.
De benefício comercial a infraestrutura crítica
A principal lição que emerge deste estudo é clara: os programas de fidelização evoluíram para ativos digitais estratégicos, cujo comprometimento pode gerar impactos económicos, reputacionais e regulatórios significativos. Para os gestores e líderes empresariais, a questão já não é apenas como tornar estes programas mais atrativos para o cliente, mas como integrá-los numa visão mais ampla de governação de dados, segurança da informação e gestão do risco.
Num ambiente em que o cibercrime se profissionaliza e explora com eficácia qualquer fragilidade sistémica, tratar os programas de fidelização como simples ferramentas promocionais deixou de ser uma opção sustentável. O desafio está em reconhecê-los como parte integrante da infraestrutura crítica das empresas na economia digital.
