Pressão por uso de IA já supera preocupações com cyber em 67% das empresas
A adoção acelerada de Inteligência Artificial deixou de ser apenas uma aposta estratégica e passou a ser uma exigência de mercado – mesmo quando isso significa avançar com riscos ainda sem controle adequado. Um estudo global da TrendAI, intitulado “Securing the AI-Powered Enterprise” e realizado com 3.700 líderes de negócios e de TI, mostra que 67% dos executivos já foram pressionados a aprovar projetos de IA apesar de preocupações claras com segurança e conformidade.
Entre esses líderes, aproximadamente um em cada sete classificou o nível de risco como “extremo”. Ainda assim, muitos optaram por seguir adiante para não perder espaço para concorrentes mais ágeis e para responder à demanda interna de áreas de negócio em busca de ganhos rápidos de produtividade e inovação.
Consciência de risco existe – o que falta é capacidade de gestão
Para Rachel Jin, Chief Platform & Business Officer e Head de TrendAI, o ponto central não é a falta de percepção sobre os perigos, mas sim a incapacidade de tratá-los de forma estruturada.
Segundo ela, as organizações sabem que existem riscos relevantes relacionados ao uso de IA – desde vazamentos de dados até decisões automatizadas com impacto regulatório – mas carecem de processos, ferramentas e governança maduros para equilibrar inovação e proteção. Quando a adoção é guiada principalmente pela competição e por metas de curto prazo, e não por um modelo sólido de governança, a IA acaba sendo integrada a sistemas críticos sem os controles necessários.
Esse cenário leva à consolidação de um paradoxo: a mesma tecnologia adotada para gerar eficiência, inteligência de negócio e vantagem competitiva pode, se mal gerida, se transformar em vetor de incidentes, multas regulatórias e dano reputacional.
Governança frágil abre espaço para “shadow AI”
O estudo evidencia ainda problemas estruturais na forma como a governança de IA vem sendo conduzida. Em muitos ambientes corporativos, a segurança entra na discussão apenas depois que decisões estratégicas já foram tomadas pela alta gestão ou por áreas de negócio. Essa atuação reativa empurra equipes de cyber para a posição de “apagadores de incêndio”, tentando correr atrás de riscos introduzidos tardiamente.
Esse modelo alimenta fenômenos como o “shadow AI”: uso de ferramentas de IA não homologadas, experimentos paralelos e integrações improvisadas fora do radar de segurança e compliance. Profissionais de diferentes áreas passam a empregar chatbots, modelos generativos e serviços externos para acelerar tarefas, sem clareza sobre onde os dados são processados, armazenados ou reutilizados.
Além de aumentar a superfície de ataque, esse tipo de iniciativa paralela dificulta a criação de políticas corporativas coerentes, pois a organização sequer tem um inventário preciso de onde e como a IA está sendo usada.
Cibercriminosos também aceleram com IA
Enquanto empresas ainda discutem governança, grupos criminosos já exploram a IA de forma agressiva. Pesquisas recentes da TrendAI indicam que atacantes utilizam modelos avançados para automatizar fases de reconhecimento, personalizar campanhas de phishing e reduzir o nível técnico necessário para lançar ataques sofisticados.
A automação permite que campanhas maliciosas sejam conduzidas com mais velocidade e em maior escala, explorando vulnerabilidades humanas e técnicas com eficiência inédita. Um único operador, apoiado por agentes de IA, consegue criar, testar e adaptar dezenas de variações de golpes em poucos minutos, aumentando as chances de sucesso e reduzindo custos operacionais.
Esse avanço assimétrico – em que criminosos correm menos riscos regulatórios e adotam IA sem qualquer preocupação com ética ou segurança – pressiona ainda mais as equipes de defesa, que precisam conciliar proteção, compliance e requisitos de negócio.
Ambição de IA cresce mais rápido que a capacidade de controle
Os dados do relatório expõem um descompasso claro entre o apetite das empresas por IA e sua capacidade real de controlar riscos. Para 57% dos entrevistados, a tecnologia está evoluindo mais rapidamente do que suas estruturas de segurança conseguem acompanhar. Ou seja, a velocidade de experimentação e implementação supera o ritmo de ajustes de processos, políticas e arquitetura de proteção.
Além disso, 64% dos participantes declararam ter apenas confiança “moderada” no entendimento dos marcos legais que regulam o uso de IA. A combinação de regulações em construção, diferentes exigências por região e interpretações ainda em debate aumenta a sensação de insegurança jurídica.
Na prática, muitas organizações estão colocando modelos de IA em produção antes de terem clareza total sobre requisitos regulatórios, limites de uso de dados sensíveis, responsabilidades em casos de erro ou viés algorítmico e exigências de transparência.
Maturidade em governança de IA ainda é baixa
O estudo mostra que apenas 38% das empresas já possuem políticas abrangentes de IA formalmente implementadas. Uma parcela expressiva ainda está em fase de rascunho, discussão ou projetos pilotos de governança. Há também organizações que tratam IA apenas como extensão de políticas de TI tradicionais, sem contemplar riscos específicos como:
– uso de dados para treinamento de modelos;
– comportamento de modelos generativos;
– explicabilidade de decisões automatizadas;
– responsabilidade compartilhada com provedores de tecnologia.
Para 41% dos executivos, a falta de clareza regulatória e a ausência de padrões consolidados de conformidade aparecem como barreiras importantes à evolução da governança. Sem uma referência clara de “melhores práticas”, muitas empresas hesitam em criar regras rígidas que possam, depois, se mostrar desalinhadas com normas oficiais.
Confiança em sistemas autônomos é limitada
Quando o assunto são sistemas mais avançados, como IA autônoma ou agentic AI – capaz de tomar decisões, executar ações e interagir com outros sistemas de forma relativamente independente -, a confiança ainda é baixa.
Menos da metade dos entrevistados (48%) acredita que esse tipo de solução trará melhorias significativas para a ciberdefesa no curto prazo. Essa cautela reflete receios sobre:
– acesso ampliado a dados internos;
– risco de uso indevido por comandos maliciosos;
– decisões automatizadas sem supervisão humana adequada;
– dificuldade de explicar ou auditar o comportamento dos agentes.
Principais riscos percebidos na adoção de agentes de IA
O levantamento detalha as ameaças mais citadas em relação a agentes de IA:
– 44% das organizações apontam o acesso de agentes a dados sensíveis como o principal risco, temendo exposição indevida, vazamentos ou uso não autorizado em treinamentos;
– 36% destacam que comandos maliciosos ou instruções manipuladas podem levar o agente a executar ações perigosas, contornar controles de segurança ou exfiltrar informações;
– 33% enxergam no aumento da superfície de ataque um ponto crítico, já que cada integração, API ou fluxo automatizado pode abrir novas brechas;
– outros 33% temem abusos decorrentes do excesso de confiança em respostas geradas pela IA, assim como riscos ligados à execução autônoma de código sem revisões robustas.
Adicionalmente, 31% das empresas admitem não ter visibilidade ou capacidade de auditoria suficiente sobre o funcionamento desses sistemas. Essa falta de transparência torna difícil entender por que uma decisão foi tomada, detectar desvios de comportamento ou reconstruir o que aconteceu após um incidente.
Empresas querem avançar, mas defendem limites e supervisão
Embora o texto do estudo aponte uma forte pressão pela adoção de IA, há também um movimento de contenção. Cerca de 40% das organizações defendem que qualquer uso de IA em processos críticos só deve ocorrer sob supervisão humana explícita, com poder de veto sobre decisões automáticas.
Entre as medidas defendidas por executivos e líderes de TI estão:
– obrigatoriedade de revisões humanas em decisões que afetam clientes, finanças ou questões legais;
– exigência de trilhas de auditoria detalhadas para qualquer ação tomada por agentes de IA;
– segregação de ambientes de teste e produção, evitando que modelos experimentais tenham acesso a dados sensíveis;
– envolvimento formal das áreas jurídica, de risco e de compliance na aprovação de novos projetos de IA.
Essa postura revela um entendimento crescente de que a IA não pode ser tratada apenas como “mais uma tecnologia”, mas como um novo eixo estratégico de risco corporativo.
Como as empresas podem responder a essa pressão sem perder o controle
Diante desse cenário, organizações que desejam se beneficiar da IA sem ampliar descontroladamente sua exposição a riscos têm buscado algumas estratégias práticas:
1. Criação de comitês de governança de IA
Grupos multidisciplinares, reunindo negócios, TI, segurança da informação, jurídico e compliance, responsáveis por definir diretrizes, priorizar projetos e avaliar riscos de forma integrada.
2. Políticas claras de uso aceitável
Documentos que estabelecem quais ferramentas podem ser usadas, quais tipos de dados não podem ser enviados a modelos externos, como devem ser tratados logs e saídas de IA e quais aprovações são necessárias para novos casos de uso.
3. Inventário de aplicações e modelos de IA
Mapeamento contínuo de onde a IA está presente na organização – desde modelos internos até serviços SaaS com recursos de IA embutidos -, permitindo visibilidade e gestão centralizada.
4. Treinamento de usuários e líderes
Capacitação não apenas técnica, mas também em temas como privacidade, ética, segurança e limitações da tecnologia, para que as áreas de negócio façam escolhas mais responsáveis.
5. Integração entre segurança e desenvolvimento de IA
Adoção de práticas de “AI Security by Design”, garantindo que requisitos de proteção, monitoramento e conformidade sejam pensados desde a concepção dos modelos e fluxos de automação.
Do entusiasmo à responsabilidade: o próximo passo da IA corporativa
A pesquisa da TrendAI mostra que o momento atual é de forte entusiasmo combinado com um grau significativo de improviso. Pressionadas por resultados, muitas empresas correm para experimentar a tecnologia antes de construir a base de governança necessária.
O desafio dos próximos anos será transformar essa corrida em um programa sustentável, em que IA, segurança e compliance caminhem juntos. Isso implica reconhecer que não basta investir em modelos poderosos: é preciso criar condições para que eles operem com transparência, supervisão e responsabilidade.
Quem conseguir equilibrar esses fatores tende a converter a IA em vantagem competitiva de longo prazo. Já as organizações que seguirem cedendo apenas à pressão por adoção, ignorando alertas de risco, correm o risco de descobrir, tarde demais, que o custo da imprudência em IA pode ser muito maior do que o ganho imediato em inovação.