Dois terços das empresas que usam IA não controlam bem todos seus dados, diz pesquisa

À medida que a inteligência artificial transforma rapidamente os ambientes corporativos, surge uma brecha de segurança profundamente preocupante: as organizações estão acolhendo com entusiasmo sistemas automatizados em suas redes internas sem saber onde suas informações sensíveis estão armazenadas.

De acordo com o recém-divulgado Relatório de Ameaças a Dados 2026 da Thales, apenas 34% das organizações sabem onde todos os seus dados estão, criando o cenário para uma crise de segurança de grandes proporções à medida que a IA recebe carta branca para circular pelos sistemas corporativos.

A pesquisa abrangente, conduzida pela S&P Global 451 Research e encomendada pela Thales — líder global em tecnologia de cibersegurança —, destaca um descompasso preocupante entre a rápida adoção da IA e o controle básico dos dados.

Em mercados essenciais, incluindo os setores automotivo, de energia, financeiro e de varejo, as empresas afirmam que o ritmo acelerado da transformação impulsionada pela IA se tornou seu maior desafio de segurança.

À medida que as companhias incorporam ativamente a IA a seus pipelines de desenvolvimento, análises e fluxos de atendimento ao cliente, esses sistemas automatizados estão recebendo amplo acesso aos dados corporativos, frequentemente com menos controles do que os aplicados a trabalhadores humanos.

Como consequência, 61% das organizações agora citam explicitamente a IA como seu principal risco à segurança de dados.

O relatório surge após uma semana em que um segundo ensaio viral sobre as consequências graves de uma IA excessivamente autônoma abalou os mercados. O ensaio da Citrini Research sobre um cenário infernal em 2028 de “PIB fantasma”, no qual a deflação radical provocada pela IA resultaria em 10% de desemprego e uma correção de mais de 30% nas ações, veio logo depois da previsão do executivo de IA Matt Shumer de que “algo grande” estava acontecendo na IA e a força de trabalho não estava preparada.

Embora economistas e até executivos do setor tenham alertado que isso era exagerado, as ações de software em grande parte continuaram sua trajetória de queda.

O cerne do problema identificado no relatório da Thales se alinha, ao menos em parte, a esses temores. Não se trata necessariamente da ameaça de uma IA descontrolada e maliciosa criada por agentes externos, mas sim do nível sem precedentes de acesso interno concedido a esses sistemas à medida que deixam de ser meras ferramentas externas para se tornarem membros altamente confiáveis dentro das empresas.

As organizações estão incorporando a IA com entusiasmo às rotinas diárias, mas, ao fazê-lo, concedem a esses sistemas automatizados amplo acesso a vastos volumes de dados corporativos, frequentemente operando com menos controles de segurança do que os tradicionalmente aplicados a funcionários humanos em um ambiente corporativo padrão.

Sébastien Cano, vice-presidente sênior de produtos de cibersegurança da Thales, destacou essa mudança alarmante nos ambientes corporativos. “O risco interno já não envolve apenas pessoas. Envolve também sistemas automatizados nos quais se confiou rápido demais”, explicou Cano.

Ele alertou que, quando medidas básicas de segurança como governança de identidade, políticas de acesso ou criptografia são frágeis, “a IA pode ampliar essas fragilidades nos ambientes corporativos muito mais rapidamente do que qualquer ser humano jamais conseguiria”.

A pesquisa foi global e teve 3.120 participantes entre profissionais de segurança e gestão de TI, excluindo empresas com menos de US$ 100 milhões de receita anual.

Eles relataram lacunas crescentes na visibilidade dos dados em infraestruturas de nuvem, com apenas 39% das empresas tendo capacidade de proteger plenamente os dados e quase metade (47%) de todos os dados sensíveis em nuvem permanecendo totalmente sem criptografia.

Como esses sistemas de IA ingerem e processam continuamente informações em amplos ambientes de nuvem e SaaS (Software as a Service), torna-se extremamente difícil aplicar o “acesso de menor privilégio” — a prática de conceder apenas os direitos de acesso estritamente necessários a um sistema.

Se as credenciais de uma máquina forem comprometidas por um agente malicioso, a exposição de dados resultante pode ser devastadora.

Os invasores já estão explorando exatamente essas vulnerabilidades. O roubo de credenciais é agora a principal técnica de ataque contra a infraestrutura de gestão em nuvem, citada por 67% das organizações que sofreram ataques em nuvem.

Ao mesmo tempo, 50% das organizações classificam a gestão de segredos como um dos principais desafios de segurança de aplicações, ilustrando a enorme e crescente dificuldade de governar identidades de máquinas, tokens e chaves de API em larga escala.

Deepfakes, desinformação e erro humano

Enquanto as empresas lutam para controlar seus próprios sistemas internos de IA, agentes mal-intencionados estão usando a mesma tecnologia para lançar ataques externos cada vez mais sofisticados.

Quase 60% das empresas relatam ter enfrentado incidentes impulsionados por deepfakes, e 48% sofreram danos reputacionais ligados a campanhas de desinformação ou de falsificação de identidade geradas por IA.

Além disso, o erro humano continua contribuindo para 28% das violações de dados; ao acrescentar automação rápida à equação, pequenos erros cotidianos podem agora ganhar escala e se espalhar mais do que nunca.

Apesar dessas ameaças automatizadas em escalada, os investimentos em segurança têm dificuldade para acompanhar o ritmo do acesso impulsionado pela IA. Apenas 30% das empresas pesquisadas possuem orçamentos dedicados à segurança de IA.

A maioria das organizações (53%) ainda depende de orçamentos e programas de segurança tradicionais, concebidos principalmente para usuários humanos e defesas baseadas em perímetro.

Especialistas do setor enfatizam que uma mudança fundamental de paradigma é urgentemente necessária.

“À medida que a IA se torna profundamente integrada às operações corporativas, visibilidade e proteção contínuas de dados deixam de ser opcionais”, afirmou Eric Hanselman, analista-chefe da S&P Global 451 Research.

Para que as empresas inovem com segurança e evitem que a IA se torne sua mais nova e perigosa ameaça interna, é preciso repensar de forma estrutural identidade, criptografia e visibilidade de dados como a base central de sua infraestrutura de segurança.