O custo médio de uma violação de dados no Brasil alcançou R$ 7,2 milhões em 2025, segundo a nova edição do estudo “Cost of a Data Breach”, divulgada hoje (30) pela IBM. O número representa um aumento de 6,5% em relação ao ano anterior e, entre os pontos de maior atenção para essas perdas estão os riscos ampliados pela baixa maturidade no uso da Inteligência Artificial.
De acordo com Fernando Carbone, sócio de Serviços de Segurança da IBM Consulting para a América Latina, o levantamento aponta que a adoção acelerada de plataformas e aplicações de IA, muitas vezes sem os devidos controles de segurança, tem contribuído significativamente para o aumento dos incidentes e seus impactos. Um dos dados do relatório mostra que 13% dos entrevistados afirmaram ter sofrido violações diretamente associadas ao uso de modelos ou aplicações de Inteligência Artificial.
“Além disso, 32% dos entrevistados notaram uma violação envolvendo shadow AI. De fato, o que está sendo implementado nas corporações muitas vezes não endereçam todas as demandas dos colaboradores, e isso, aliado a simples proibição tende a ampliar os focos de uso das IAs não homologadas”, explica Carbone, em coletiva de imprensa sobre a pesquisa.
Devido a esse risco, é essencial preservar controles de uso dos dados em plataformas de IA sem que a tecnologia seja completamente bloqueada. Por isso, o executivo recomenda que a gestão de dados nas ferramentas deve ser a primeira linha de defesa, visto que, também de acordo com o relatório, 97% dos ataques em IA se deram em um cenário de baixo controle sobre a tecnologia.
Essa estratégia deve ser gerenciada por uma atenção direta das altas diretorias da corporação, por meio da formação de comitês executivos com todos os departamentos interessados, incluindo Segurança, Negócios e Tecnologia. A partir desse time de gestão, a empresa poderá estabelecer controles que impeçam os usuários de levar dados críticos para interagirem ou alimentarem linguagens de IA, sem precisar que a própria ferramenta seja bloqueada.
“O mais interessante para as organizações é oferecer de forma controlada o uso amplo dessas tecnologias, e isso envolve estabelecer guardrails que impeçam esses dados de chegarem às plataformas. Por isso que esse é um tema que não pode ficar restrito a SI, mas envolver um time multidisciplinar, capaz de congregar todas as visões na empresa e equilibrar a geração de valor e a Segurança”, acrescenta.
Cenário de vazamentos
O resultado de perda de dados no país vai na contramão da média global, que marcou a primeira queda no valor médio de prejuízos em cinco anos: US$ 4,44 milhões. Esse valor é 9% menor que o do ano passado e representa um retorno aos níveis marcados em 2023. Além disso, o setor de Saúde se manteve com a maior média de perdas por vazamentos pela 14ª vez, apesar de esse custo ter caído para US$ 7,42 milhões.
O “Cost of Data Breach” também mapeou os métodos de exposição de dados usados pelos cibercriminosos nacionalmente, e em 2025, as campanhas de phishing foram o vetor de acesso mais comum, representando 18% dos incidentes. Esse tópico foi seguido por comprometimento de fornecedores terceirizados, envolvidos em 15% dos ataques, e exploração de vulnerabilidades, com 13%.
“De algum modo, todos esses três vetores também estão sendo fortalecidos pelo uso nocivo das IAs pelos agentes hostis, que podem usar essas ferramentas tanto para criar e-mails phishing mais consistentes, quanto para monitorar ambientes em busca de brechas. Diante de um cenário como esse, quanto maior for o controle sobre as tecnologias de dentro de casa, mais reduzidos serão os riscos gerais”, conclui Carbone.
