64&percnt; das violações de IA no Brasil revelam dados sensíveis expostos

Brasil lidera adoção de IA, mas governança fica para trás

Um estudo recente do Netskope Threat Labs revelou que 64% das violações de políticas de dados em aplicações de inteligência artificial generativa no Brasil envolvem informações sensíveis ou reguladas. O levantamento, publicado em maio de 2026 e baseado em dados de 2025, analisou organizações brasileiras e constatou que a rápida adoção da IA supera a maturidade dos controles de segurança, expondo as empresas a riscos de conformidade com a LGPD e prejuízos financeiros que já ultrapassam R$ 7 milhões por incidente.

O Brasil se destaca na adoção de inteligência artificial generativa, com 100% das organizações analisadas utilizando alguma aplicação desse tipo. O uso ativo cresceu de 50% para 71% em um ano, mas a segurança não acompanhou esse crescimento. O relatório indica que 64% das violações de dados em aplicações de IA generativa envolvem informações protegidas pela LGPD, como dados financeiros e de saúde.

O cenário se agrava com o uso de aplicações pessoais no ambiente de trabalho, onde as violações de dados sensíveis chegam a 66%. Isso demonstra que colaboradores que acessam ferramentas de IA com contas pessoais representam uma brecha significativa nos controles corporativos.

Shadow AI: o risco invisível nas redes corporativas

O uso de ferramentas de IA fora dos canais oficiais da empresa, conhecido como shadow AI, continua sendo um desafio crítico. O relatório aponta que 52% dos usuários ainda utilizam aplicações pessoais de IA generativa durante o expediente, e a alternância entre contas pessoais e corporativas dobrou, passando de 10% para 22% em um ano.

Esse comportamento cria janelas de risco que os times de segurança têm dificuldade em monitorar. Quando um funcionário utiliza uma ferramenta pessoal de IA, dados corporativos podem ser expostos sem rastreamento. O impacto financeiro é significativo, com o custo médio de uma violação de dados no Brasil atingindo R$ 7,19 milhões em 2025, um aumento de 6,5% em relação ao ano anterior. O shadow AI, especificamente, adiciona em média R$ 591.400 por incidente.

Código-fonte entre os principais dados vazados

Um dado alarmante do relatório é que o código-fonte representa 21% das violações de dados sensíveis relacionadas à prevenção contra perda de dados (DLP) em ambientes de IA generativa. Desenvolvedores que utilizam assistentes de código, seja em contas pessoais ou fora das políticas corporativas, frequentemente compartilham propriedade intelectual crítica sem perceber.

Esse risco levou muitas organizações a adotarem uma postura de bloqueio temporário de certas aplicações enquanto estruturam políticas de uso mais robustas. Globalmente, 13% das organizações relataram violações envolvendo modelos ou aplicações de IA, e no Brasil, os casos mensais de violações relacionadas à IA generativa dobraram em 2025, atingindo uma média de 223 incidentes por mês.

Gestão corporativa avança, mas brechas persistem

Embora haja avanços na gestão, com o uso de soluções de IA generativa gerenciadas pelas organizações saltando de 29% para 70%, o problema persiste. Enquanto 70% dos usuários acessam ferramentas corporativas gerenciadas, 52% ainda utilizam aplicações pessoais em paralelo, evidenciando a coexistência de ambientes que dificulta a segurança.

Além disso, 96% dos usuários já utilizam ferramentas com recursos de IA generativa incorporados, o que amplia a superfície de exposição, pois muitos colaboradores não percebem que estão interagindo com IA ao usar essas ferramentas.

O que os líderes de TI precisam fazer agora

O relatório destaca um descompasso estrutural: as empresas brasileiras adotaram IA em velocidade recorde, mas os processos de governança de dados não evoluíram na mesma proporção. A pressão sobre os líderes de TI e profissionais de segurança está aumentando.

Três frentes se tornam prioritárias: a primeira é a visibilidade, entendendo quais ferramentas de IA os colaboradores estão utilizando, tanto as corporativas quanto as pessoais. A segunda é a política de uso, definindo claramente quais dados podem ser inseridos em ferramentas de IA. A terceira é a conformidade com a LGPD, já que as violações de dados sensíveis identificadas envolvem categorias protegidas pela legislação brasileira.

Com o Marco Legal da IA (PL 2.338/2023) ainda em tramitação, a pressão por regulamentação mais robusta cresce. Empresas que se anteciparem à adequação estarão em vantagem, tanto em segurança quanto em posicionamento de mercado.

Fonte por: Its Show