Este é o ponto cego da inteligência artificial nas empresas

27 de junho de 2026 Luiz Miguel
0 Comment
Ciencia e Tecnologia, Noticias

Precisamos falar sobre soberania digital e segurança em tempos de IA

Um a cada cinco vazamentos de dados corporativos registrados em 2025 teve a inteligência artificial como porta de entrada. O dado, divulgado no IBM Cost of a Data Breach Report 2025, mostra o crescimento de uma categoria praticamente inexistente há apenas dois anos: o Shadow AI, caracterizado pelo uso não autorizado de ferramentas de IA generativa por colaboradores. De acordo com o relatório, cada ocorrência elevou em média US$ 670 mil o custo total da violação. E esse valor representa apenas parte do impacto causado.

Em aproximadamente 97% das empresas afetadas por incidentes ligados à IA, não existiam controles adequados de acesso. Já em 63% delas, sequer havia uma política oficial de governança para esse tipo de tecnologia. Outro levantamento, o LayerX Enterprise AI and SaaS Data Security Report 2025, aponta que cerca de 18% dos funcionários utilizam regularmente plataformas de IA generativa para inserir informações, sendo que mais da metade dessas interações envolve dados corporativos. A Harmonic Security também identificou que quase 17% das exposições de informações sensíveis acontecem por meio de contas pessoais gratuitas, totalmente fora da supervisão das equipes de TI.

O principal risco não está na inteligência artificial em si, mas na forma como ela é utilizada. Modelos genéricos hospedados em servidores localizados em outros países recebem, processam e, em muitos casos, utilizam prompts e arquivos enviados para aperfeiçoar seus sistemas. As integrações lançadas em 2025 entre ChatGPT, Google Drive, OneDrive e plataformas de transcrição de reuniões ampliaram significativamente a superfície de exposição, fazendo com que o risco deixasse de se limitar apenas ao conteúdo digitado pelo usuário. Em junho de 2025, por exemplo, a vulnerabilidade ShadowLeak, descoberta pela Radware, revelou que agentes autônomos poderiam ser explorados para extrair informações sem qualquer ação perceptível por parte do usuário. A OpenAI corrigiu a falha em setembro, porém especialistas alertam que esse tipo de vetor continua existindo e novas variações devem surgir ao longo do tempo.

Antes da resposta, aqui está o texto reescrito mantendo o mesmo sentido e preservando o conteúdo entre aspas.

Para empresas que atuam em setores regulados, existe uma camada extra de preocupação. O local onde os dados são processados determina quais legislações também podem incidir sobre eles. A LGPD protege dados pessoais sob a jurisdição brasileira, porém, quando o processamento ocorre em infraestrutura localizada em outro país, essas informações também podem ficar sujeitas às leis locais. O CLOUD Act dos Estados Unidos, por exemplo, permite que o governo norte-americano exija de empresas sediadas no país o fornecimento de dados, mesmo quando eles estejam armazenados em servidores fora do território americano. Bancos que utilizam modelos em ambientes terceirizados, hospitais que recorrem a ferramentas de transcrição clínica hospedadas em nuvens estrangeiras e escritórios de advocacia que processam documentos em LLMs públicos sem cláusulas explícitas de não treinamento acabam assumindo, muitas vezes sem perceber, um regime regulatório que nunca escolheram.

A resposta a esse cenário começou justamente em países fortemente dependentes do mercado norte-americano de IA. A França mantém há anos a certificação de seu cloud de confiança por meio do selo SecNumCloud, criado para proteger juridicamente contra legislações estrangeiras de vigilância. Em janeiro de 2026, a Mistral AI levantou €830 milhões em financiamento institucional, liderado por BNP Paribas, Crédit Agricole, HSBC e MUFG, com o objetivo de construir um data center próprio na Europa equipado com aproximadamente 13.800 GPUs da NVIDIA. Já o Reino Unido criou, em 2025, a Sovereign AI Unit, com investimento inicial de £500 milhões. A NVIDIA também passou a tratar esse tema como uma nova categoria de mercado e popularizou o conceito de soberania de IA: a capacidade de um país ou instituição desenvolver inteligência artificial utilizando sua própria infraestrutura, seus próprios dados e sua própria mão de obra.

No Brasil, a discussão institucional sobre inteligência artificial avança em um ritmo diferente da realidade operacional. O PL 2338/2023, considerado o marco legal da IA e aprovado pelo Senado em dezembro de 2024, continua parado na Câmara dos Deputados. Enquanto o cenário regulatório permanece indefinido, o setor privado segue operando normalmente. Empresas de capital aberto processam documentos confidenciais em LLMs públicos. Bancos executam fluxos automatizados em modelos hospedados fora do país. Hospitais incorporam IA em prontuários eletrônicos sem saber exatamente onde os dados são armazenados ao final do processamento. O custo dessa zona cinzenta acaba sendo absorvido individualmente por cada organização, sem um marco regulatório consolidado e sem alternativas estruturadas no mercado.

Nesse contexto, a soberania de IA deixa de ser apenas uma discussão acadêmica e passa a ocupar espaço nas reuniões dos conselhos administrativos. Nesse caso, soberania não significa nacionalismo tecnológico, mas sim gestão de riscos. Significa garantir que o sistema permaneça funcional, auditável e ajustável sob jurisdição local, independentemente de mudanças comerciais ou diplomáticas envolvendo fornecedores globais e o país onde a empresa atua. Também significa adaptar modelos às exigências regulatórias locais — como LGPD, sigilos setoriais e requisitos de explicabilidade — sem depender de processos fechados sobre os quais o cliente final não possui transparência nem controle.

Na prática, a principal questão deixou de ser apenas tecnológica. Tornou-se também financeira, jurídica e reputacional. Quando uma decisão automatizada nega um benefício, define a prioridade de um paciente em triagem ou autoriza uma operação financeira, quatro perguntas passam a ser essenciais: onde os dados são processados, quem treina o modelo, quem audita suas decisões e o que acontece caso o fornecedor altere suas políticas, aumente os preços ou simplesmente encerre o serviço. Empresas incapazes de responder a essas perguntas operam em um ambiente de incerteza, e o custo de descobrir isso tarde demais ultrapassa qualquer orçamento de tecnologia.

Na prática, controlar esse processo exige domínio sobre quatro camadas fundamentais presentes em qualquer sistema de IA em produção: a infraestrutura onde tudo funciona, os modelos responsáveis pelas decisões, o framework que coordena toda a operação e as aplicações que interagem diretamente com os usuários. Quem controla essas quatro camadas determina como a inteligência artificial opera, sob qual jurisdição ela responde e em quais condições continuará funcionando. Quem não possui esse controle depende das decisões de terceiros. Em setores regulados, essa dependência deixa de ser apenas uma escolha tecnológica e passa a representar um passivo estratégico.

Em 2026, a discussão já não gira mais em torno de saber se a inteligência artificial faz parte da operação das empresas. Ela já faz. A questão que passou a desafiar CEOs, CISOs e gestores é outra, muito mais relevante: a inteligência artificial utilizada pela sua empresa, afinal, quem controla o botão?

Fonte: Olhar Digital

Ciencia e Tecnologia
Ciencia e Tecnologia

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *