Um levantamento recente do Netskope Threat Labs revelou que 64% das violações de políticas de dados em aplicações de inteligência artificial generativa no Brasil envolvem informações sensíveis ou reguladas. O estudo, divulgado em maio de 2026 e baseado em dados de 2025, analisou organizações brasileiras e identificou que a velocidade de adoção da IA supera em muito a maturidade dos controles de segurança, expondo empresas a riscos crescentes de conformidade com a LGPD e a prejuízos financeiros que já ultrapassam R$ 7 milhões por incidente.
Brasil lidera adoção de IA, mas governança fica para trás
O Brasil se tornou um dos países mais avançados na adoção de inteligência artificial generativa entre empresas. Hoje, 100% das organizações analisadas pelo Netskope Threat Labs já utilizam alguma aplicação de IA generativa. O uso ativo saltou de 50% para 71% em apenas um ano. O problema é que a segurança não acompanhou esse ritmo.
O Netskope Threat Labs Report: Brazil 2026 trouxe um dado que deve preocupar qualquer executivo de TI, 64% das violações de políticas de dados em aplicações de IA generativa no Brasil envolvem dados regulados ou sensíveis. Informações protegidas pela LGPD, como dados financeiros, de saúde e pessoais identificáveis, estão no centro desse risco.
O cenário se agrava quando o foco recai sobre aplicações pessoais usadas no ambiente de trabalho. Nesse grupo, as violações de dados sensíveis chegam a 66%. Ou seja, colaboradores que acessam ferramentas de IA com contas pessoais representam uma brecha significativa nos controles corporativos.
Shadow AI: o risco invisível nas redes corporativas
O uso de ferramentas de IA fora dos canais oficiais da empresa, o chamado shadow AI, permanece um desafio crítico. Segundo o relatório, 52% dos usuários ainda recorrem a aplicações pessoais de IA generativa durante o expediente. E um detalhe alarmante, a alternância entre contas pessoais e corporativas dobrou, passando de 10% para 22% em um ano.
Esse comportamento cria janelas de risco que os times de segurança têm dificuldade de monitorar. Quando um funcionário cola um trecho de código ou um contrato em uma ferramenta pessoal de IA, esse dado sai do perímetro corporativo sem qualquer rastreamento.
O impacto financeiro é concreto. De acordo com o relatório Cost of a Data Breach 2025, da IBM em parceria com o Ponemon Institute, o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões em 2025, alta de 6,5% em relação ao ano anterior. O shadow AI, especificamente, adiciona em média R$ 591.400 por incidente. São números que transformam uma questão de governança em um problema direto para o resultado financeiro da empresa.
Código-fonte entre os principais dados vazados
Um achado do relatório chama atenção pelo perfil técnico, o código-fonte representa 21% das violações de dados sensíveis relacionadas à prevenção contra perda de dados (DLP) em ambientes de IA generativa. Desenvolvedores que utilizam assistentes de código, seja em contas pessoais ou fora de políticas corporativas, frequentemente compartilham propriedade intelectual crítica sem perceber.
Esse risco tem levado muitas organizações a adotarem uma postura de bloqueio temporário de certas aplicações enquanto estruturam políticas de uso mais robustas. É uma solução de curto prazo, mas que evidencia a urgência do problema.
Globalmente, 13% das organizações já relataram violações envolvendo diretamente modelos ou aplicações de IA, conforme o mesmo relatório da IBM. No Brasil, os casos mensais de violações de políticas relacionadas à IA generativa dobraram em 2025, atingindo uma média de 223 incidentes por mês.
Gestão corporativa avança, mas brechas persistem
Há avanço no lado da gestão. O uso de soluções de IA generativa gerenciadas pelas próprias organizações saltou de 29% para 70% no período analisado. Isso indica que líderes de TI estão agindo, consolidando ferramentas homologadas e criando ambientes mais controlados.
Mas o progresso não elimina o problema. Enquanto 70% dos usuários acessam ferramentas corporativas gerenciadas, 52% ainda utilizam aplicações pessoais em paralelo. A coexistência dos dois ambientes é o nó central da questão. Não basta oferecer uma alternativa segura se o comportamento do usuário final não muda.
Além disso, 96% dos usuários já utilizam ferramentas com recursos de IA generativa incorporada, funcionalidades embutidas em plataformas de produtividade, e-mail, CRM e outras soluções do dia a dia. Isso amplia exponencialmente a superfície de exposição, porque muitos colaboradores sequer percebem que estão interagindo com IA ao usar essas ferramentas.
O que os líderes de TI precisam fazer agora
O relatório aponta um descompasso estrutural: empresas brasileiras adotaram IA em velocidade recorde, mas os processos de governança de dados não evoluíram na mesma proporção. A pressão sobre CISOs, diretores de TI e profissionais de segurança é crescente.
Três frentes se tornam prioritárias nesse contexto. A primeira é a visibilidade — entender quais ferramentas de IA os colaboradores estão usando, tanto as corporativas quanto as pessoais. Sem essa visibilidade, qualquer política de DLP tem eficácia limitada.
A segunda frente é a política de uso. Definir claramente quais dados podem ou não ser inseridos em ferramentas de IA, com regras práticas e comunicação ativa para os times técnicos e de negócio. O código-fonte representar 21% das violações é um sinal de que desenvolvedores precisam de orientação específica.
A terceira frente é a conformidade com a LGPD. As violações de dados sensíveis identificadas no relatório envolvem justamente as categorias mais protegidas pela legislação brasileira. Uma violação nessa esfera não gera apenas custo financeiro, gera risco regulatório, reputacional e potencial de sanções da ANPD.
O Marco Legal da IA (PL 2.338/2023) ainda tramita na Câmara dos Deputados, mas a pressão por regulamentação mais robusta cresce. Empresas que anteciparem a adequação sairão na frente, tanto em segurança quanto em posicionamento de mercado.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!