IA expõe dados regulados em 59% das violações no setor financeiro
Pesquisadores do Netskope Threat Labs divulgaram uma nova rodada de análises sobre as principais ameaças digitais que atingem empresas e profissionais do segmento de serviços financeiros. O estudo, baseado na edição mais recente do relatório anual da companhia, mostra como a adoção acelerada de inteligência artificial generativa (genAI) está abrindo novas frentes de exposição para dados sensíveis e regulados.
O dado mais alarmante: 59% das violações de políticas de dados associadas ao uso de ferramentas de genAI envolvem informações reguladas, ou seja, sujeitas a normas rígidas de conformidade. Isso evidencia que instituições financeiras ainda têm dificuldades em proteger adequadamente dados que estão no centro de legislações como normas do Banco Central, regras de órgãos reguladores e leis de proteção de dados pessoais.
Além dos dados regulados, outros tipos de informações críticas também aparecem com frequência nessas violações: 20% dos incidentes envolvem dados de propriedade intelectual, 11% dizem respeito a código-fonte e 9% incluem credenciais, como senhas e chaves de API. Em um setor em que a confiança, a confidencialidade e a estabilidade do sistema financeiro são fundamentais, essa combinação eleva o risco operacional, reputacional e regulatório.
Claudio Bannwart, country manager da Netskope, destaca que o problema não é exatamente novo, mas foi ampliado pela popularização da IA. Segundo ele, o cenário brasileiro demonstra que a inteligência artificial não cria um risco inédito, e sim acelera e escala uma vulnerabilidade que já existia: a circulação descontrolada de dados sensíveis. Os controles tradicionais simplesmente não acompanham a velocidade e o volume com que essas informações trafegam em ambientes que misturam uso pessoal e corporativo.
Para Bannwart, o ponto mais crítico hoje é justamente essa fronteira borrada entre o que é pessoal e o que é da empresa. Funcionários usam, muitas vezes no mesmo dispositivo, contas privadas e contas corporativas para acessar ferramentas de IA, serviços em nuvem e aplicativos diversos. Isso reduz a visibilidade dos times de segurança, torna a governança de dados mais complexa e aumenta a chance de informações reguladas saírem do perímetro de proteção sem qualquer monitoramento. No setor financeiro, onde a exigência de conformidade é uma das mais rigorosas da economia, essa falta de controle pode transformar ganhos de eficiência em potenciais bombas regulatórias.
O relatório mostra ainda o quão disseminado já está o uso da inteligência artificial generativa. Cerca de 70% dos usuários analisados utilizam ativamente ferramentas de genAI, enquanto 97% interagem com aplicações que trazem algum componente de IA generativa embarcado, mesmo que de forma indireta. Ou seja, praticamente todos já estão em contato com esse tipo de tecnologia, ainda que nem sempre de maneira consciente. Além disso, 94% utilizam aplicações que dependem de dados fornecidos pelos próprios usuários para fins de treinamento de modelos, o que aumenta a superfície de exposição.
Do lado das empresas, há um esforço claro para tentar controlar o uso não gerenciado de IA. Em um ano, a proporção de usuários que recorrem a aplicações pessoais de genAI caiu de 76% para 36%. Paralelamente, o uso de soluções de IA generativa oficialmente aprovadas e gerenciadas pelas organizações saltou de 33% para 79%. Isso indica que instituições financeiras estão, de fato, tentando trazer o uso da tecnologia para dentro de um ambiente mais controlado, com políticas, monitoramento e recursos de segurança adicionais.
Entretanto, um dado mostra que o problema está longe de estar resolvido: o número de usuários que alternam entre contas pessoais e corporativas em ferramentas de IA aumentou de 9% para 15%. Essa alternância, muitas vezes na mesma sessão e no mesmo dispositivo, cria um “ponto cego” perigoso. Dados sensíveis podem ser copiados, colados ou transferidos inadvertidamente de ambientes protegidos para contas pessoais, sobre as quais a organização não tem qualquer ingerência. Para o setor financeiro, isso abre brechas relevantes de vazamento de informações de clientes, transações, relatórios internos e estratégias de negócio.
O ecossistema de genAI segue em crescimento acelerado. O ChatGPT continua na liderança como a aplicação mais difundida, presente em 76% das organizações analisadas. Em seguida vem o Google Gemini, com 68% de adoção. Ferramentas mais recentes também ganham espaço: o Google NotebookLM já está em uso em 39% das instituições, e o AssemblyAI saltou de apenas 1% de adoção em junho de 2025 para 37%, em um avanço vertiginoso em pouco tempo. Esse dinamismo indica que o portfólio de aplicações precisa ser constantemente revisado, pois novas ferramentas surgem e se consolidam em ritmo muito mais rápido do que políticas internas tradicionalmente se atualizam.
Ao mesmo tempo, as empresas endurecem sua postura em relação a determinados aplicativos de IA, considerados de alto risco sob a ótica de segurança e compliance. Plataformas como ZeroGPT (bloqueada em 46% das organizações), DeepSeek (44%) e PolitePost (43%) figuram entre as mais frequentemente restringidas. Os motivos incluem falta de transparência sobre o uso e armazenamento de dados, localização dos servidores, ausência de recursos corporativos de segurança e possíveis conflitos com normas de privacidade e sigilo bancário.
Mas o risco não vem apenas da IA em si. O uso de aplicações pessoais de nuvem dentro do ambiente corporativo – muitas vezes sem qualquer aprovação prévia (shadow IT) – permanece como um vetor relevante de exposição. No caso dessas aplicações em nuvem não gerenciadas, os dados regulados aparecem em 65% das violações de políticas. Isso significa que, em boa parte dos incidentes ligados a serviços pessoais de armazenamento e colaboração, informações sujeitas a regulações rígidas estavam sendo movimentadas para fora do perímetro corporativo, em ambientes sobre os quais a instituição tem pouco ou nenhum controle.
Entre os aplicativos pessoais mais usados no trabalho pelo setor financeiro, o relatório aponta o LinkedIn, presente em 92% das organizações, o Google Drive, com 84%, e o próprio ChatGPT, com 77%. Embora muitos desses usos sejam legítimos e até necessários para rotinas profissionais, o problema aparece quando dados confidenciais de clientes, documentos internos ou informações estratégicas são compartilhados em contas pessoais, sem criptografia adequada, sem logs acessíveis pela empresa e sem políticas claras de retenção e exclusão de dados.
Outra tendência preocupante é o uso de plataformas de nuvem legítimas para distribuição de malware. Em vez de depender apenas de sites maliciosos facilmente bloqueáveis, criminosos digitais têm aproveitado a reputação de grandes provedores para esconder suas atividades. O GitHub lidera esse tipo de exploração, afetando 11% das organizações analisadas, seguido pelo Microsoft OneDrive, com 8%. Ao aproveitar-se de infraestruturas amplamente confiáveis, os atacantes conseguem mascarar arquivos e comunicações maliciosas em meio ao tráfego legítimo, o que torna a detecção significativamente mais complexa para soluções tradicionais baseadas em listas de bloqueio e reputação.
Ray Canzanese, diretor do Netskope Threat Labs, reforça que a combinação entre adoção massiva de IA generativa e essa nova forma de uso da nuvem amplia “o número de caminhos pelos quais dados sensíveis podem ser expostos”. Segundo ele, a migração para ferramentas de IA gerenciadas pela própria organização é um avanço importante, mas está longe de ser suficiente. Os riscos permanecem particularmente altos quando não há separação efetiva entre o uso pessoal e o uso corporativo, e quando o monitoramento de tráfego web e nuvem não é abrangente.
Para reduzir esse cenário de exposição, Canzanese defende que as instituições financeiras adotem uma abordagem de segurança em camadas. Isso inclui inspecionar todo o tráfego web e de aplicações em nuvem, com foco em detecção e bloqueio de malware, mas também em prevenção à perda de dados (DLP). Além disso, é essencial restringir o uso de aplicações não essenciais ou de alto risco, priorizando ferramentas com recursos corporativos de segurança, registros de auditoria, controles de acesso granulares e aderência comprovada aos regulamentos do setor financeiro.
Do ponto de vista prático, uma estratégia robusta de proteção de dados para instituições financeiras passa por alguns pilares. O primeiro é a classificação de dados: sem saber quais informações são reguladas, confidenciais, internas ou públicas, não há como aplicar controles coerentes. Em seguida, vem a definição de políticas claras de uso de IA e nuvem, especificando o que pode ou não ser inserido em ferramentas de genAI, quais tipos de documentos podem ser armazenados em nuvens pessoais e como deve ser o fluxo de aprovação para novas aplicações.
Outro pilar essencial é a conscientização contínua dos colaboradores. A maioria das violações de políticas de dados ligadas a genAI e nuvem pessoal não nasce de uma intenção maliciosa, mas de desconhecimento dos riscos. Programas de treinamento que expliquem, com exemplos concretos, o impacto de colar um relatório regulatório em um chatbot público ou de salvar dados de clientes em um drive pessoal podem reduzir drasticamente incidentes acidentais. A educação precisa ser dinâmica, acompanhando a velocidade com que surgem novas ferramentas de IA.
Investir em tecnologias específicas para o contexto de nuvem e IA também é cada vez mais necessário. Soluções como CASB (Cloud Access Security Broker), SASE, DLP avançado e controles de acesso baseados em contexto ajudam a dar visibilidade sobre o que está sendo feito em aplicações de nuvem e serviços de IA, quem está acessando o quê e para onde os dados estão sendo enviados. No caso das instituições financeiras, integrar esses controles às exigências das áreas de compliance e auditoria interna é fundamental para garantir que os registros de uso possam ser auditados e apresentados a reguladores quando necessário.
Governança é outro ponto crítico. Não basta apenas bloquear ou liberar aplicativos de IA e nuvem; é preciso criar um modelo de governança que envolva tecnologia, segurança da informação, jurídico, compliance, risco operacional e até recursos humanos. Esse grupo deve revisar periodicamente o portfólio de aplicações autorizadas, avaliar os impactos regulatórios e definir critérios objetivos para aprovação e descontinuação de ferramentas. A velocidade com que novos serviços de IA surgem exige um processo de governança mais ágil do que os modelos tradicionais de homologação de software.
Por fim, as instituições financeiras precisam adotar o princípio do “uso responsável de IA”. Isso significa não apenas pensar em ganhos de produtividade, automação de processos e melhoria na experiência do cliente, mas também considerar, desde o desenho dos projetos, o impacto sobre a privacidade, o sigilo bancário, a integridade das operações e a confiança do mercado. Ferramentas de IA generativa podem, de fato, trazer uma vantagem competitiva importante, mas, no contexto financeiro, qualquer descuido com dados regulados pode resultar em multas pesadas, sanções de reguladores, perda de licenças e danos duradouros à reputação.
O cenário traçado pelo Netskope Threat Labs mostra que a questão não é se o setor financeiro deve adotar IA generativa, mas como fazê-lo com responsabilidade e segurança. Em um ambiente em que 59% das violações de políticas de dados ligadas à genAI já envolvem dados regulados, ignorar o problema não é uma opção. A saída passa por combinação de tecnologia, processos, governança e cultura organizacional voltada para a proteção de dados em todas as etapas do uso de inteligência artificial e serviços em nuvem.