A explosão do uso da inteligência artificial nas empresas tem gerado uma corrida por eficiência e inovação. Mas junto com os benefícios, crescem as falhas de segurança. Segundo o relatório “Riscos da IA na Nuvem 2025”, recém-publicado pela empresa de segurança digital Tenable, 70% das aplicações com IA em servidores online têm pelo menos uma vulnerabilidade crítica, frente aos 50% em ambientes sem IA.
O problema não vem da tecnologia, e sim de descuidos. Em uma pesquisa realizada pela consultoria Forrester para a Tenable em 2023, 76% dos responsáveis pela implantação de IA afirmaram estar mais preocupados com disponibilidade que com segurança. Essa busca frenética por lançamentos e resultados atropela processos fundamentais, como testes de robustez e revisão de código e de dados.
Segundo a pesquisa global da consultoria McKinsey sobre o uso de IA publicada no mês passado, 78% das organizações já a utilizavam em pelo menos uma atividade de seu negócio em julho de 2024, um salto expressivo em relação aos 55% no fim de 2023. O uso de IA generativa passou de 33% para 71% no mesmo período.
Já o relatório do “Custo das violações de dados de 2024”, publicado pela IBM, mostra que o custo médio de um vazamento de dados saltou 10% em um ano, chegando a US$ 4,88 milhões (no Brasil, esse valor é de US$ 1,36 milhão). O prejuízo não é apenas financeiro, envolvendo paralisação de operações, multas regulatórias, perda de confiança e danos de reputação que podem levar anos para serem reparados.
Tudo isso acende um grande alerta vermelho: empresas de todos os setores estão massivamente abraçando a inteligência artificial sem os cuidados necessários para que essa tecnologia traga resultados confiáveis sem ameaçar suas operações.
Veja esse artigo em vídeo:
Pressionadas por acionistas e pelo mercado, as empresas relaxam com os cuidados. “Na tentativa de acompanhar a revolução trazida pela IA, organizações avançaram a toda velocidade, ignorando inúmeros sinais de alerta de segurança, privacidade e conformidade”, explica Arthur Capella, diretor-geral da Tenable no Brasil. Segundo ele, 38% delas sofrem da chamada “tríade tóxica”, composta por alta exposição, privilégios excessivos e vulnerabilidades críticas, elevando drasticamente seus riscos.
Tais privilégios se referem ao que os usuários podem fazer nos sistemas. Como muitos gestores de TI mantêm as configurações padrão nas plataformas, as pessoas acabam tendo mais poder do que deveriam. Essa falta de rigor contrasta com a filosofia “Zero Trust”, que parte do princípio de que nenhum usuário ou sistema é confiável por padrão, exigindo autorização contínua.
- Assine gratuitamente minha newsletter sobre IA, experiência do cliente, mídia e transformação digital
- Inscreva-se no meu podcast (escolha a plataforma): Spotify, Deezer, Apple Podcasts ou Soundcloud
A complexidade aumenta com o que a Tenable chama de “Efeito Jenga”. Assim como no famoso jogo, em que cada bloco sustenta toda a torre, os provedores de nuvem costumam empilhar serviços de IA uns sobre os outros, com privilégios excessivos, criando riscos às vezes invisíveis aos usuários. Daí basta uma configuração insegura em um deles para comprometer toda a arquitetura, graças a essa interdependência.
Parte desse problema acontece porque o modelo de responsabilidade compartilhada na nuvem é mal compreendido. Muitas empresas acreditam que o provedor garante toda a segurança, quando, na verdade, a configuração e o controle de acessos são responsabilidade do cliente. É como alugar uma loja em um shopping, que garante a segurança do prédio, mas quem define quem entra e sai da loja é seu proprietário.
A cultura da segurança da informação deve, portanto, permear todos os setores e níveis das empresas. Não se trata apenas de identificar lacunas, mas de classificar componentes de IA e avaliar o impacto ao negócio, entendendo suas vulnerabilidades.
Muito além de TI
“A tecnologia não é mais apenas a tarefa do TI”, afirma Capella. “Ela envolve todas as camadas do negócio e gera vantagens competitivas, consequentemente a segurança da informação deve ser discutida com o board”, acrescenta, ressaltando sua urgência.
No Brasil, ela é agravada por uma abordagem muito reativa. Segundo o estudo da Forrester, 60% das equipes de segurança nacionais se concentram no combate a ataques consumados, em vez de trabalharem para evitá-los. Isso se deve à falta de visão de ativos desconhecidos, de recursos de nuvem, de fragilidades de código e de permissões de usuários. E 72% dos entrevistados reconhecem que seriam muito mais eficazes se dispusessem de recursos preventivos e ferramentas adequadas.
Estamos diante de um paradoxo. Quanto mais inteligente fica a tecnologia, mais frágeis se tornam suas fundações, se não forem cuidadas com rigor. A IA e a computação em nuvem não são à prova de falhas, e tornam as estruturas digitais mais complexas e, portanto, vulneráveis.
Entretanto, vale lembrar que a IA também é parte da solução. Se hackers a usam para criar golpes personalizados e malwares, defensores se valem dela para detectar ameaças e responder em tempo real, prevenindo fraudes e monitorando comportamentos. Mas essa IA também precisa ser protegida contra manipulações, desenvolvimento de vieses e “envenenamento de dados”.
Esse é um novo desafio estratégico. As companhias devem, por exemplo, estar atentas a como essa nova situação as expõe a riscos frente à Lei Geral de Proteção de Dados (LGPD). Afinal, segundo a legislação, não importa se um vazamento ocorreu em uma ferramenta de IA, mas sim que ele ocorreu e que danos foram causados.
A transformação digital impulsionada pela IA é irreversível. Negá-la significa ficar rapidamente para trás. Por outro lado, abraçá-la sem uma nova mentalidade de risco e de segurança cria problemas novos e graves. As lideranças empresariais precisam encarar a segurança da IA não como um custo ou uma barreira à inovação, mas como um ativo estratégico fundamental.
Investir em prevenção, governança robusta, cultura de segurança distribuída pela organização e capacitação contínua das equipes é o caminho para garantir que a inovação seja sustentável. O Brasil tem a oportunidade de se destacar globalmente se conseguir equilibrar agilidade e segurança, tornando-se referência em proteção na era da IA. Mas, para isso, precisa fazer os movimentos necessários. Os líderes que continuarem empilhando descuidadamente blocos da inovação sobre bases instáveis descobrirão, mais cedo ou mais tarde, que suas torres digitais também podem ruir.