Segurança

1 em cada 5 empresas já teve vazamento de dados por IA — a sua pode ser a próxima

10 de março de 20266 min

Contratos, planilhas financeiras e dados de clientes saindo da empresa sem nenhum alarme. Multas de até €20 milhões ou 4% do faturamento. Esse risco já está acontecendo na maioria das empresas que adotaram IA sem governança — e provavelmente na sua também.

O novo canal de exfiltração de dados

Nos últimos anos, os vazamentos de dados corporativos ganharam um novo vetor silencioso: os modelos de linguagem públicos. Diferente de um ataque externo, esse risco vem de dentro — e na maioria das vezes, de forma completamente involuntária.

Um colaborador com prazo apertado cola uma proposta comercial no ChatGPT para "melhorar a redação". Outro usa um assistente de IA para resumir uma reunião gravada. Um terceiro pede ajuda para analisar uma planilha com dados de clientes. Em todos esses casos, informação sensível saiu do perímetro da empresa sem controle, auditoria ou consentimento explícito.

O que os dados reais mostram

Os números coletados em pesquisas de 2024 são inequívocos:

  • 38% dos funcionários já compartilharam informações sensíveis de trabalho com ferramentas de IA sem autorização do empregador (IBM/Infosecurity Magazine, set 2024)
  • 1 em cada 5 empresas no Reino Unido (20%) registrou vazamento de dados causado por funcionários usando IA generativa — dado confirmado por pesquisa direta com CISOs (IBM/Infosecurity Magazine, abr 2024)
  • ¾ dos CISOs afirmam que insiders representam risco maior do que ameaças externas à organização
  • A adoção corporativa de IA generativa foi de 74% em 2023 para 96% em 2024 — o vetor de risco cresceu proporcionalmente

O relatório "Cost of a Data Breach 2025" da IBM e Ponemon Institute identificou o "AI oversight gap" como um dos fatores emergentes de risco: organizações sem governança de IA são mais suscetíveis a violações e enfrentam custos maiores quando ocorrem.

Por que isso é diferente de um vazamento tradicional

Vazamentos tradicionais têm rastros: logs de acesso, e-mails suspeitos, transferências de arquivo. O modelo de linguagem não deixa rastro do lado da empresa. Você não sabe o que foi enviado, quando, por quem, ou para qual plataforma.

Além disso, o comportamento não parece errado para o usuário. Do ponto de vista do colaborador, ele está simplesmente usando uma ferramenta para trabalhar melhor. Não há intenção maliciosa — e por isso as soluções técnicas tradicionais (DLP, SIEM) não capturam esse tipo de evento.

A dimensão do risco regulatório

O envio não autorizado de dados pessoais a plataformas de IA externas não é apenas um problema de segurança operacional. É uma exposição legal:

  • LGPD (Brasil): a transferência internacional de dados pessoais sem base legal adequada e sem mecanismos de proteção pode resultar em sanções da ANPD, advertências e multas de até 2% do faturamento nacional, limitada a R$50 milhões por infração
  • GDPR (Europa): multas chegam a €20 milhões ou 4% do faturamento global anual (o que for maior) para infrações graves
  • Responsabilidade contratual: cláusulas de confidencialidade em contratos com clientes podem ser violadas mesmo sem intenção

O que uma empresa precisa ter

  1. Inventário de uso: saber quais ferramentas de IA estão sendo usadas e por quem — incluindo ferramentas pessoais não sancionadas
  2. Classificação de dados: definir categorias claras do que pode e o que não pode sair do ambiente corporativo, com exemplos concretos por função
  3. Política de uso aceitável: documento claro com exemplos do dia a dia, treinamento regular e canal de reporte — não apenas um checkbox de compliance
  4. Monitoramento de endpoints: detectar tentativas de envio de dados para domínios de IA externos, com alertas configuráveis
  5. Alternativa corporativa: oferecer uma solução aprovada que atenda às necessidades reais do colaborador, reduzindo o incentivo para usar ferramentas públicas

Perguntas frequentes sobre segurança de dados e IA

A empresa pode ser responsabilizada por ações não autorizadas de funcionários?
Sim. Sob LGPD e GDPR, a empresa é a controladora dos dados. A ausência de política e de controles técnicos pode agravar a responsabilidade em caso de investigação regulatória.

Bloquear acesso a sites de IA é suficiente?
Não. Funcionários podem acessar IA via mobile fora da rede corporativa, ou usar ferramentas com interfaces diferentes. O bloqueio técnico isolado sem alternativa e educação é ineficaz e cria resistência.

Quanto tempo leva para identificar exposições existentes?
Um diagnóstico de Shadow AI e mapeamento de exposições leva tipicamente entre 15 e 30 dias, dependendo do tamanho da empresa e da complexidade do ambiente.

Conclusão

O risco de vazamento por IA não é hipotético. Os dados de 2024 confirmam que já está acontecendo em escala, na maioria das empresas que adotaram IA sem governança. A questão não é mais se sua empresa foi afetada — é se você tem visibilidade suficiente para saber.

Leitura complementar

  • AI-BOM: o inventário de Shadow AI que sua empresa precisa antes de governar IA
  • Shadow AI: 38% dos funcionários já vazaram dados da sua empresa
  • Política de IA que muda comportamento

Artigos relacionados

  • Transparência de IA Agora É Lei — O que Seu Chatbot, Conteúdo de Marketing e Ferramentas de Funcionários Devem Exibir até Agosto de 2026
  • Seu Software de Recrutamento Já É Regulado como Alto Risco — O Prazo de Agosto de 2026 que o RH Não Conhece
  • 95% das Empresas Estão Investindo Bilhões em IA e Não Vendo Retorno — O Fracasso Organizacional que Ninguém Discute

Pronto para diagnosticar sua empresa?

A primeira sessão é gratuita e dura 45 minutos.

Solicitar diagnóstico