Quase 90% das empresas brasileiras ainda não têm governança de IA, aponta relatório da IBM
Estudo revela falta de políticas e controles de acesso à IA e destaca que o custo médio de uma violação de dados no Brasil alcançou R$ 7,19 milhões.
Crédito: Google
Um novo relatório global sobre segurança cibernética divulgado pela IBM em 30 de julho de 2025 aponta que uma grande maioria das organizações brasileiras ainda não implementou políticas formais de governança para inteligência artificial (IA), e mais da metade não possui mecanismos básicos de controle de acesso a essas tecnologias, expondo-as a riscos significativos de violação de dados.
De acordo com o estudo Cost of a Data Breach Report 2025, o custo médio de uma violação de dados no Brasil alcançou R$ 7,19 milhões em 2025, um aumento de aproximadamente 6,5% em comparação com os R$ 6,75 milhões registrados no ano anterior.
A análise indica ainda que empresas que adotam IA e automação com foco em segurança tendem a registrar prejuízos menores em casos de incidentes. Organizações com uso avançado dessas tecnologias relataram custos médios de cerca de R$ 6,48 milhões por violação, enquanto aquelas com implementação limitada enfrentaram valores um pouco superiores. Já as empresas que ainda não utilizam IA ou automação relatam custos médios ainda mais elevados, da ordem de R$ 8,78 milhões.
Entre os fatores que mais contribuem para aumentar os prejuízos financeiros em eventos de violação de dados estão vetores clássicos como phishing, que responde por uma proporção significativa dos incidentes no Brasil, além de problemas na cadeia de fornecedores e exploração de vulnerabilidades técnicas, conforme indicado no relatório.
Apesar de a tecnologia de governança de IA demonstrar capacidade de reduzir, em média, centenas de milhares de reais nos custos de uma violação, o documento revela que apenas cerca de 29% das empresas brasileiras estudadas utilizam esse tipo de ferramenta de forma eficaz. E, de forma mais ampla, quase 90% não dispõem de uma política estruturada para orientar a implantação e uso seguro de IA, número que destaca um enorme vácuo de gestão.
Além disso, o estudo da IBM evidencia que 61% das organizações no país não contam com mecanismos de controle de acesso específicos para tecnologias de IA — um componente crítico diante da adoção crescente dessas soluções nos processos internos e de tomada de decisão.
O relatório também identifica fenômenos emergentes, como a chamada “Shadow AI” (uso não autorizado de modelos de IA fora da governança formal), e ressalta que incidentes relacionados a essas práticas tendem a gerar custos superiores e maior exposição de dados sensíveis quando comparados a violações mais tradicionais.
Especialistas em segurança cibernética consultados pelo relatório enfatizam que a lacuna entre a adoção acelerada de IA e a ausência de controles e governança eficazes cria um ambiente propício para ataques e abusos, reduz a confiança das partes interessadas e amplifica custos operacionais e reputacionais em caso de incidentes.
O estudo reforça que, para enfrentar esse cenário, as organizações precisam avançar na formalização de políticas de uso de IA, estabelecer regras claras de acesso e auditoria, e integrar essas práticas às suas estratégias de proteção de dados e cibersegurança de forma ampla e contínua.
