43% dos trabalhadores já compartilharam dados sensíveis com ferramentas de IA
Estudo revela lacuna crítica entre adoção acelerada de IA generativa e treinamento em cibersegurança nas empresas
O uso de ferramentas de inteligência artificial generativa, como ChatGPT e Gemini, está se expandindo rapidamente no ambiente corporativo — mas os esforços para educar os colaboradores sobre os riscos de segurança cibernética associados a essas tecnologias não acompanham esse ritmo. Um estudo recente conduzido pela National Cybersecurity Alliance (NCA), ONG dos Estados Unidos voltada à privacidade de dados, em parceria com a empresa de cibersegurança CybSafe, revela que 65% dos mais de 6.500 entrevistados em sete países utilizam IA em suas rotinas diárias, um aumento de 21% em relação ao ano anterior. Apesar desse crescimento exponencial, 58% dos profissionais afirmaram não ter recebido qualquer treinamento de seus empregadores sobre os riscos de privacidade e segurança ao interagir com essas plataformas.
Esse descompasso gera um cenário de exposição significativa: 43% dos trabalhadores admitiram já ter inserido informações sensíveis em conversas com assistentes de IA, incluindo dados financeiros da empresa e informações confidenciais de clientes. A diretora-executiva da NCA, Lisa Plaggemier, destacou em um comunicado que “as pessoas estão adotando a IA em suas vidas pessoais e profissionais mais rapidamente do que estão sendo educadas sobre seus riscos”. Esse comportamento não é isolado — casos reais já ilustram as consequências. Em 2023, engenheiros da Samsung vazaram acidentalmente dados confidenciais ao utilizar o ChatGPT, levando a empresa a proibir o uso da ferramenta internamente. O incidente serviu como alerta para organizações que implementam IA sem políticas claras de governança de dados.
Riscos ampliados
O cenário de risco se agrava com o avanço dos chamados “agentes de IA”, sistemas capazes de executar tarefas complexas de forma autônoma, como acessar navegadores, manipular arquivos ou interagir com APIs corporativas. Embora prometam ganhos de produtividade, esses agentes frequentemente exigem permissões amplas a sistemas internos, criando novas brechas de segurança. Uma pesquisa da SailPoint, divulgada em maio de 2024, mostrou que 96% dos profissionais de TI consideram esses agentes uma ameaça à segurança, mesmo com 84% das empresas já os utilizando internamente. Em um caso extremo relatado no início do ano, um agente mal configurado chegou a excluir acidentalmente um banco de dados corporativo inteiro.
Além disso, a integração silenciosa da IA em ferramentas cotidianas — como os recentes anúncios da Microsoft de agentes de IA no Word, Excel e PowerPoint — amplifica o problema. Muitos usuários não percebem que estão interagindo com sistemas de IA, muito menos que suas entradas podem ser armazenadas, processadas ou usadas para treinar modelos futuros. A maioria dos grandes provedores de chatbots não garante confidencialidade absoluta das interações, e os dados inseridos podem ser incorporados a conjuntos de treinamento. Essa falta de transparência, combinada à ausência de capacitação formal, coloca empresas em risco de violações regulatórias (como a LGPD no Brasil ou o GDPR na Europa) e de perda de ativos intelectuais críticos.
Tendências emergentes e respostas do mercado
Diante desse cenário, o mercado começa a reagir com soluções especializadas. Empresas estão desenvolvendo plataformas de governança de IA voltadas para monitorar, auditar e controlar o uso de ferramentas generativas dentro das organizações. Essas soluções incluem desde firewalls de dados que impedem o envio de informações sensíveis até sistemas de classificação automática de conteúdo, que alertam os usuários antes que compartilhem dados críticos. Paralelamente, há um movimento crescente por regulamentação: a União Europeia já avança com o AI Act, e nos Estados Unidos, agências como a Comissão de Comércio (FTC) intensificam investigações sobre práticas de privacidade em modelos de IA.
Projeções da consultoria Gartner indicam que, até 2026, mais de 80% das grandes empresas terão implementado políticas formais de uso de IA generativa, impulsionadas tanto por riscos operacionais quanto por exigências regulatórias. No entanto, a eficácia dessas políticas dependerá diretamente da capacitação contínua dos colaboradores.
Boas práticas de treinamento em cibersegurança voltado para IA
Programas eficazes de capacitação em cibersegurança para o uso de inteligência artificial generativa vão além de módulos genéricos de conscientização. As organizações líderes estão adotando abordagens contextualizadas, com treinamentos segmentados por função — por exemplo, equipes de marketing recebem orientações sobre proteção de dados de campanhas, enquanto desenvolvedores aprendem a evitar a inserção de snippets de código proprietário em assistentes de programação como o GitHub Copilot. Essa personalização aumenta a retenção e a aplicabilidade das orientações, conforme apontado por relatórios da SANS Institute, que destacam que treinamentos baseados em cenários reais reduzem em até 60% os incidentes relacionados a erro humano.
Além disso, as melhores práticas incluem simulações interativas que reproduzem interações com chatbots de IA, permitindo que os colaboradores pratiquem decisões seguras em tempo real. Algumas empresas já implementam “sandboxes” controlados — ambientes isolados onde os funcionários podem testar ferramentas de IA com dados sintéticos, sem risco de exposição de informações reais. Esse tipo de imersão prática, combinada com feedback imediato, demonstra maior eficácia do que treinamentos passivos em vídeo. O estudo da NCA e da CybSafe relata ainda que organizações que utilizam simulações comportamentais veem uma redução de 45% no compartilhamento acidental de dados sensíveis em até seis meses após a implementação.
Outro pilar essencial é a atualização contínua. Dada a velocidade com que novos modelos e funcionalidades de IA são lançados, políticas estáticas tornam-se obsoletas rapidamente. Empresas como a IBM e a Cisco adotaram ciclos trimestrais de revisão de diretrizes, aliados a newsletters mensais com alertas sobre novos riscos — como a recente capacidade de alguns agentes de IA de acessar e-mails ou agendas corporativas. Essa comunicação proativa, aliada a canais simples para relato de incidentes (como bots internos de segurança), cria uma cultura de responsabilidade coletiva. Por fim, líderes de equipe são treinados não apenas como usuários, mas como multiplicadores, capazes de identificar comportamentos de risco e reforçar normas no dia a dia — transformando a governança de IA em uma prática operacional, e não apenas técnica.