Pontos-chave:
- Os riscos da IA nas empresas raramente vêm de ataques externos; a maioria começa dentro do negócio, com o uso cotidiano e sem supervisão de ferramentas.
- O fenômeno Shadow AI — o uso de ferramentas de IA sem aprovação da empresa — é um dos fatores de risco mais subestimados no ambiente corporativo.
- Usar IA com segurança é possível, mas exige governança, que começa com visibilidade sobre o que está sendo usado e exige explicabilidade.
A Samsung foi hackeada em 2023. Mas não por um ataque sofisticado de fora para dentro; foram as próprias pessoas da equipe que, ao usar o ChatGPT para agilizar o trabalho, entregaram voluntariamente códigos-fonte e dados internos para servidores terceiros. Quinze dias depois de liberar o uso da ferramenta, a empresa foi obrigada a proibi-la novamente.
O caso Samsung foi um dos primeiros a ganhar repercussão global e é lembrado até hoje. Mas quase três anos depois, o risco não desapareceu: ele ficou mais silencioso. O mesmo tipo de desafio continua presente nas organizações, só que hoje passa muito mais despercebido.
Neste artigo, vamos conhecer melhor os principais riscos da Inteligência Artificial nas empresas, o que já é possível aprender com os incidentes mais famosos e como construir um ambiente mais seguro para o uso de IA no trabalho.
O que os números dizem sobre o uso de Inteligência Artificial no trabalho?
Antes de falar em risco, vale a pena entender a escala do problema. Segundo uma pesquisa da Microsoft realizada no Reino Unido, 71% das pessoas trabalhadoras admitem usar ferramentas de IA no trabalho sem aprovação da empresa. Além disso, apenas 32% dizem se preocupar com a privacidade dos dados que inserem nessas ferramentas.
Outro número que impressiona é que, de acordo com a EMARKETER, 133 milhões de pessoas norte-americanas usarão IA generativa em 2026 — isso equivale a quase 40% da população dos Estados Unidos, que hoje conta com mais de 349 milhões de habitantes, segundo o Worldometer.
Ou seja: a adoção é massiva, o uso é frequente e a percepção de risco é baixa. Essa combinação é o cenário ideal para que incidentes aconteçam, não por má intenção, mas por desconhecimento.
Quais são os riscos da IA para negócios?
Agora que temos o contexto de como a Inteligência Artificial está presente em nossa rotina, abaixo selecionamos os riscos da IA mais relevantes que qualquer organização precisa conhecer antes de escalar o uso dessa tecnologia:
1. Vazamento de dados por uso inadequado
Cada vez que alguém cola um contrato profissional em uma ferramenta de Inteligência Artificial para pedir um resumo ou usa uma IA pública para rascunhar uma proposta comercial, por exemplo, existe uma pergunta que raramente é feita: onde esses dados vão parar?
Muitas plataformas de IA utilizam as interações das pessoas para aprimorar seus modelos. Ou seja, o que é digitado pode ser armazenado, analisado e, em alguns casos, reproduzido em respostas futuras.
Para empresas sujeitas à Lei Geral de Proteção de Dados (LGPD), que inclui qualquer organização que processe dados pessoais de brasileiros e brasileiras, isso é um risco legal.
2. Deepfakes e fraudes corporativas
De acordo com a CNN, em 2024, um funcionário da Arup — multinacional britânica de engenharia responsável por projetos como a Ópera de Sydney — autorizou 15 transferências que somaram US$ 25 milhões após participar de uma videoconferência com o que parecia ser o líder do setor financeiro (CFO) e colegas da empresa.
Porém, todas as pessoas daquela reunião eram deepfakes gerados a partir de vídeos públicos. E um detalhe importante: o funcionário havia desconfiado do e-mail inicial. Mas, ao ver os rostos e ouvir as vozes que ele reconhecia na videoconferência, acreditou que era verdade.
Montagens com rosto e voz, por mais que vejamos muito em conteúdos de entretenimento na internet — nos famosos memes —, esse artifício também merece atenção como um risco de IA para empresas.
3. Shadow AI
Shadow AI é o nome dado ao uso de ferramentas de Inteligência Artificial dentro de uma organização sem o conhecimento ou aprovação da liderança. Por exemplo, usar uma conta pessoal no Google Gemini para fazer atividades organizacionais.
O risco central da Shadow AI não é técnico; é de invisibilidade. Isso porque, como consequência, dados corporativos podem estar sendo processados por plataformas que a empresa nem sabe que existem.
Leia também: O que é a IA Explicável?
4. Viés algorítmico
Sistemas de IA são treinados com dados históricos fornecidos pela empresa. Quando essas informações refletem padrões discriminatórios, seja de gênero, raça, classe ou origem, o modelo tende a reproduzir e amplificar esses padrões.
No contexto empresarial, isso é especialmente crítico em processos de recrutamento, concessão de crédito, precificação e análise de risco.
Além do impacto ético, há um risco legal crescente. Segundo o Gartner, as ações judiciais relacionadas à IA devem superar 2.000 casos até o final de 2026 por falta de medidas de proteção nos sistemas em uso.
5. Dependência operacional
A dependência operacional acontece quando processos críticos de uma empresa ficam tão atrelados a sistemas de IA que, se essas ferramentas falham, a operação para. Pode até parecer exagero — até acontecer.
Segundo a Cybersecurity Insiders, 37% das organizações sofreram problemas operacionais causados por agentes de IA no último ano — e 8% foram graves o suficiente para causar interrupções de serviço ou corrupção de dados.
Quanto mais tarefas essenciais são delegadas à IA sem um plano alternativo, maior é a exposição a esse risco. Diferente de um erro humano, que costuma ser pontual, uma falha de agente de IA pode se propagar antes que alguém perceba o que está acontecendo.
6. Conformidade regulatória
Adotar uma ferramenta de IA sem verificar se ela está em conformidade com a legislação vigente é um risco que muitas empresas só percebem quando chega uma notificação judicial.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) se aplica a qualquer sistema que processe dados pessoais, o que inclui a maioria das ferramentas de IA corporativas. As penalidades vão de advertências a multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Para empresas que operam na Europa, o EU AI Act, conhecido como Lei de Inteligência Artificial da União Europeia, vai além: estabelece requisitos de transparência, explicabilidade e documentação para sistemas classificados como de alto risco. O descumprimento pode resultar em multas de até 30 milhões de euros ou 6% do faturamento global anual.
Leia também: O que é prompt, como criar e como usar
Riscos e desafios da IA Generativa: o que é diferente?
A Inteligência Artificial Generativa — a vertente da IA que cria conteúdos como texto e vídeo do zero —, trouxe um conjunto específico de desafios para as empresas. Três deles merecem atenção especial:
- Opacidade: ferramentas generativas raramente explicam como chegaram a uma resposta ou de onde vieram as informações usadas, já que a IA Generativa usa dados já existentes para criar novos materiais a partir deles. Isso dificulta a auditoria e a responsabilização em caso de erros ou plágios, além de criar uma falsa sensação de confiança nos resultados.
- Escala: a facilidade de ter a IA no nosso dia a dia, como nos celulares, democratizou o acesso a essas ferramentas. Mas isso também aumentou o volume de dados corporativos que trafegam por plataformas externas sem controle.
- Sofisticação das ameaças: como vimos no caso de Hong Kong, a IA Generativa também está nas mãos de pessoas criminosas, que usam a tecnologia para tornar ataques de engenharia social difíceis de identificar.
Leia também: Vibe coding – o que é e como funciona?
Como usar a IA com governança nas empresas?
A governança de IA é o conjunto de políticas, processos e responsabilidades que uma empresa define para garantir que a Inteligência Artificial seja usada de forma segura, ética e em conformidade com as regras aplicáveis.
Vale a pena dizer que essa documentação não é uma questão isolada do departamento de TI; ela deve envolver os setores jurídico, RH, segurança e operações.
Na prática, uma estrutura básica de governança inclui:
- Inventário de ferramentas: não dá para proteger o que não se sabe que existe. Mapear todas as ferramentas de IA em uso, incluindo as que os times adotaram por conta própria, é o ponto de partida de qualquer estratégia de segurança.
- Política de uso: o que pode e o que não pode ser feito com ferramentas de IA no contexto da empresa? Quais dados podem ser inseridos? Quais plataformas são permitidas? Quais decisões precisam de revisão humana? Sem respostas claras para essas perguntas, cada pessoa colaboradora decide por conta própria.
- Classificação de risco: uma ferramenta usada para sugerir temas de conteúdo é diferente de um sistema que analisa currículos ou que tem acesso a dados financeiros de clientes. Nem tudo precisa do mesmo nível de controle.
- Capacitação contínua: políticas só funcionam se as pessoas souberem que existem e entenderem o motivo da preocupação da empresa. Por isso, promova conversas e formações para que o time acompanhe a evolução da IA de forma consciente.
Leia também: Modo IA disponível no Brasil — saiba mais sobre o recurso!
Perguntas frequentes sobre os riscos da IA nas empresas
Para fechar, abaixo respondemos a algumas das principais dúvidas que aparecem com mais frequência quando o assunto é o uso seguro de IA no ambiente corporativo. Confira:
1. A empresa pode ser responsabilizada por uma decisão errada tomada por IA?
Sim. Se um sistema de IA tomar uma decisão que cause dano a pessoas ou empresas terceiras, como reprovar alguém por viés algorítmico ou expor dados de clientes, a responsabilidade recai sobre a empresa que o adotou, não sobre a fornecedora da ferramenta.
2. Pequenas empresas também precisam se preocupar com governança de IA?
Sim, talvez mais do que as grandes, porque costumam ter menos estrutura para lidar com incidentes. O tamanho da empresa não reduz a exposição. Isso significa que um vazamento de dados ou uma fraude por deepfake podem ter impacto desproporcional em organizações menores.
3. Como saber se uma ferramenta de IA é segura para uso corporativo?
Aqui vão alguns critérios básicos que é possível conferir com a empresa fornecedora antes de adotar um modelo:
- A plataforma oferece contrato de processamento de dados (DPA)?
- Ela informa quais subprocessadores de IA utiliza?
- Quais dados são usados para treinar o modelo?
- Há opção de exclusão de dados?
Ferramentas que não respondem claramente a essas perguntas merecem atenção antes de qualquer adoção.
4. O que fazer se a empresa já usa IA sem uma política definida?
O primeiro passo é o inventário, ou seja, mapear o que está em uso antes de tentar regular. A partir daí, priorize as ferramentas que têm acesso a dados sensíveis e comece por elas.
É importante ressaltar que não é necessário proibir tudo para ganhar controle. Mas uma política clara de uso, mesmo que simples, já reduz significativamente o risco para as empresas.
Quer continuar acompanhando como a tecnologia está mudando a rotina das empresas? Explore outros artigos sobre Inteligência Artificial, Tecnologia e ferramentas digitais aqui no blog da Ecto!
Leia também: Modo IA disponível no Brasil — saiba mais sobre o recurso!
Imagem de capa — Fonte: DC Studio – Magnific.com