Tudo sobre Inteligência Artificial
Um em cada cinco vazamentos corporativos de dados em 2025 teve a inteligência artificial como vetor. O número, do IBM Cost of a Data Breach Report 2025, mede uma categoria que praticamente não existia dois anos atrás: o Shadow AI, o uso não sancionado de ferramentas de IA generativa por funcionários. Cada incidente adicionou em média US$ 670 mil ao custo total da violação, segundo o relatório. E essa é só a parte visível do problema.
Continua após a publicidade
Em 97% das organizações que sofreram incidentes envolvendo IA, não havia controles de acesso adequados. Em 63%, sequer existia política formal de governança da tecnologia. Outra pesquisa, do LayerX Enterprise AI and SaaS Data Security Report 2025, aponta que cerca de 18% dos funcionários colam regularmente conteúdo em ferramentas de IA generativa, e que mais da metade desses eventos inclui informação corporativa. A Harmonic Security identificou que quase 17% das exposições de dados sensíveis ocorrem por meio de contas pessoais gratuitas, invisíveis para a área de TI.
O problema não está na IA em si. Está na topologia de operação. Modelos genéricos hospedados em jurisdição estrangeira recebem, processam e, em muitos casos, treinam-se com os prompts e arquivos que captam. Integrações lançadas em 2025 entre ChatGPT, Google Drive, OneDrive e plataformas de transcrição de reuniões ampliaram o perímetro de risco para muito além do prompt isolado. Em junho de 2025, a vulnerabilidade ShadowLeak, identificada pela Radware, demonstrou que agentes autônomos podiam ser explorados para extrair dados sem qualquer interação visível do usuário. A OpenAI corrigiu em setembro, mas o vetor existe, e variações dele vão continuar aparecendo.
Para empresas em setores regulados, há uma camada adicional. Onde o dado roda define a quem ele responde. A LGPD trata o dado pessoal sob jurisdição brasileira, mas quando o processamento ocorre em infraestrutura sediada em outro país, esse mesmo dado pode estar sujeito também a leis estrangeiras de acesso. O CLOUD Act americano permite ao governo dos Estados Unidos compelir provedores sediados naquele país a entregar dados, ainda que armazenados fora. Bancos que rodam modelos em ambientes terceirizados, hospitais que usam ferramentas de transcrição clínica em nuvens estrangeiras, escritórios de advocacia que processam documentos em LLMs públicos sem cláusulas claras de não-treinamento herdam, sem perceber, um regime regulatório que não escolheram.
A reação a esse cenário começou nos países que mais dependem do mercado norte-americano de IA. A França certifica há anos seu cloud de confiança sob o selo SecNumCloud, que protege legalmente contra leis estrangeiras de vigilância. Em janeiro de 2026, a Mistral AI captou €830 milhões em dívida institucional liderada por BNP Paribas, Crédit Agricole, HSBC e MUFG para construir um data center próprio na Europa, com aproximadamente 13.800 GPUs da NVIDIA. O Reino Unido criou em 2025 a Sovereign AI Unit, com aporte inicial de £500 milhões. A NVIDIA passou a tratar o tema como categoria de mercado e cunhou o termo soberania de IA: a capacidade de uma nação, ou de uma instituição, produzir inteligência artificial com a própria infraestrutura, os próprios dados e a própria força de trabalho.
No Brasil, o debate institucional sobre IA caminha em ritmo descolado da operação. O PL 2338/2023, marco legal da IA aprovado pelo Senado em dezembro de 2024, segue parado na Câmara dos Deputados. Enquanto o cenário regulatório se define, o setor privado opera. Empresas listadas processam documentos confidenciais em LLMs públicos. Bancos rodam workflows automatizados em modelos hospedados fora do país. Hospitais embarcam IA em prontuários eletrônicos sem mapeamento claro de onde os dados terminam. O custo dessa zona cinzenta é assumido individualmente por cada empresa, sem amparo regulatório consolidado e sem alternativa estruturada de mercado.
É nesse contexto que soberania de IA deixa de ser tese acadêmica e vira pauta de board. Soberania, aqui, não significa nacionalismo tecnológico. Significa gestão de risco. Significa garantir que o sistema permaneça operável, auditável e ajustável sob jurisdição local, independentemente das mudanças nas relações comerciais e diplomáticas entre fornecedores globais e o país onde a empresa opera. Significa também adaptar o modelo ao contexto regulatório local — LGPD, sigilos setoriais, exigências de explicabilidade — sem depender de pipelines opacos sobre os quais o cliente final não tem visibilidade nem controle.
Continua após a publicidade
Em termos práticos, a pergunta deixou de ser técnica. Virou financeira, jurídica e reputacional. Quando uma decisão automatizada nega um benefício, classifica um paciente em triagem, autoriza ou bloqueia uma operação financeira, é necessário responder a quatro perguntas concretas: onde os dados rodam, quem treina o modelo, quem audita as decisões e o que acontece se o fornecedor mudar de política, mudar o preço ou simplesmente desligar o serviço. Quem não tem essas respostas opera no escuro, e o custo de descobrir tarde demais não cabe em rubrica de TI.
Controlar o botão, na prática, exige domínio das quatro camadas que compõem qualquer sistema de IA em produção: a infraestrutura onde tudo roda, os modelos que tomam as decisões, o framework que orquestra a operação e as aplicações que conversam com o cliente final. Quem comanda essas quatro camadas define como a IA opera, sob qual jurisdição responde e em que condições continua funcionando. Quem não comanda, depende de quem comanda. E em ambiente regulado, dependência não é estratégia. É passivo.
Continua após a publicidade
O debate em 2026 não é mais se a IA está dentro da operação. Já está. É outra pergunta, mais incômoda e mais determinante para CEOs, CISOs e gestores: a inteligência artificial que sua empresa usa, quem controla o botão?
Fonte: Olhar Digital
