De acordo com uma pesquisa divulgada em junho de 2024, realizada pela consultoria McKinsey & Company, 72% das empresas passaram a utilizar inteligência artificial (IA) em suas operações. Esse aumento é atribuído à retomada das atividades econômicas e à busca por eficiência operacional. Os entrevistados destacaram que o uso de IA analítica contribui para a redução de custos nos serviços e aprimora a tomada de decisões. No entanto, a crescente dependência da IA também introduziu novos riscos, incluindo ameaças à segurança de dados e à privacidade. Este artigo explora como o uso indevido da IA pode resultar em vazamentos de dados, destacando suas implicações legais e formas de mitigação.
Escrito por Julia Medeiros
O que é um vazamento de dados?
Um vazamento de dados ocorre quando informações confidenciais são expostas, acessadas ou roubadas a partes não autorizadas. Esses incidentes podem impactar tanto empresas quanto indivíduos, resultando em prejuízos financeiros, danos à reputação e possíveis penalidades legais. Os principais tipos de dados vulneráveis incluem informações pessoais (como CPF e endereço), dados financeiros, segredos comerciais e credenciais de acesso.
Como a IA pode ser usada para proteção de dados?
A IA desempenha um papel fundamental na segurança cibernética, sendo utilizada para detectar padrões de ameaças, monitorar redes em tempo real e responder rapidamente a incidentes. Tecnologias baseadas em IA podem identificar vulnerabilidades em sistemas, prever ataques cibernéticos e automatizar processos de segurança, tornando-se uma grande aliada na prevenção de vazamentos de dados.
Uso indevido da IA e sua relação com vazamentos de dados
Apesar de suas vantagens, a IA também pode ser explorada por criminosos para facilitar ataques cibernéticos. Um dos riscos mais comuns está na inserção de dados pessoais ou empresariais em ferramentas públicas de IA sem a devida segurança. Além disso, hackers utilizam IA para aprimorar ataques de engenharia social, criando e-mails fraudulentos altamente convincentes e automatizando campanhas de phishing.
Leia também: Como prevenir ataques cibernéticos através do pentest
Principais formas de uso indevido da IA que levam a vazamentos de dados
Dentre as principais formas de uso indevido da IA que podem resultar em vazamentos de dados, destacam-se:
- Processamento de dados sensíveis e confidenciais em ferramentas públicas de IA, como chatbots e geradores de texto.
- Compartilhamento inadvertido de credenciais e informações sigilosas com modelos de IA.
- Utilização de IA para automatizar ataques de phishing e coleta de dados para fraudes.
- Falhas em sistemas de IA que permitem o vazamento de informações armazenadas ou processadas.
Casos reais de vazamentos de dados impulsionados por IA
Casos recentes demonstram que a IA tem sido um elemento central em diversos ataques cibernéticos. Empresas que permitiram o processamento de informações confidenciais em ferramentas públicas acabaram expondo seus dados a terceiros. Em fevereiro de 2025, a plataforma de IA DeepSeek enfrentou um grave vazamento de dados devido a uma configuração inadequada de seu banco de dados ClickHouse, que estava acessível na internet sem autenticação. Esse incidente expôs informações sensíveis, incluindo históricos de chats, chaves de API e metadados operacionais, levantando grandes preocupações sobre a segurança de plataformas emergentes de IA. Além disso, surgiram alegações de que milhões de credenciais de usuários do ChatGPT foram comprometidas e disponibilizadas em fóruns criminosos, possivelmente devido a malwares conhecidos como “Trojans Stealers”.
Outro exemplo comum são ataques de deepfake e phishing automatizado, que exploram IA para manipular usuários e obter acesso indevido a sistemas corporativos.
De acordo com o Panorama de Ameaças da Kaspersky, entre junho de 2022 e julho de 2023, o Brasil registrou um aumento de mais de cinco vezes nas tentativas de phishing, totalizando 134 milhões de ataques bloqueados. Esse crescimento é atribuído à retomada das atividades econômicas pós-pandemia e ao uso de ferramentas de IA para automatizar a criação de conteúdos fraudulentos.
Em 2024, a empresa de engenharia britânica Arup foi vítima de uma fraude sofisticada envolvendo deepfakes. Funcionários participaram de uma videoconferência com indivíduos que acreditavam ser executivos seniores da empresa. No entanto, os golpistas utilizaram tecnologia de deepfake para replicar a aparência e a voz dos executivos, convencendo um funcionário a transferir US$ 25 milhões para contas controladas pelos criminosos. Este incidente destaca como a IA pode ser explorada para criar falsificações convincentes, levando a perdas financeiras substanciais (Cibercrime: lições aprendidas com um ataque deepfake de US$ 25 milhões | Fórum Econômico Mundial).
Diante desses casos, fica evidente que IA, quando mal utilizada, pode potencializar ataques cibernéticos de forma alarmante, facilitando fraudes, vazamentos de dados e manipulações sofisticadas, o que demonstram a necessidade urgente de reforçar políticas de segurança, implementar mecanismos avançados de detecção e conscientizar usuários sobre os riscos associados ao uso dessas tecnologias. É fato que empresas e indivíduos devem adotar uma abordagem proativa para mitigar essas ameaças, combinando inovação com estratégias de proteção robustas.
Desafios da regulamentação da IA na proteção de dados
A regulamentação da IA ainda está em desenvolvimento em muitos países. A LGPD e o GDPR estabelecem diretrizes sobre a proteção de dados pessoais, mas há uma necessidade crescente de normativas específicas para IA. O desafio está em equilibrar inovação e segurança, garantindo que empresas adotem boas práticas na governança da IA.
No Brasil, a regulamentação de IA está em desenvolvimento, com destaque para o PL 2338/2023, que propõe um marco legal baseado na classificação de risco dos sistemas de IA, diferenciando aplicações de alto risco (como decisões médicas e judiciais) das de baixo risco. O projeto prevê regras para transparência, explicabilidade, proteção contra vieses e supervisão regulatória, embora ainda haja debates sobre qual órgão será responsável pela fiscalização. O Brasil busca alinhar-se a padrões internacionais, como o AI Act da União Europeia e diretrizes da OCDE, para equilibrar inovação e segurança jurídica.
Leia também: Políticas de tratamento de dados
Como mitigar os riscos do uso indevido da IA?
Para reduzir os riscos do uso indevido da IA, é essencial adotar medidas como:
Implementação de uma Política de Segurança da Informação (PSI) para Uso de IA
- Criar uma Política de Uso de IA que estabeleça diretrizes claras sobre quais tipos de IA podem ser utilizados e para quais finalidades.
- Definir critérios para homologação de ferramentas de IA, incluindo requisitos de segurança, privacidade e conformidade com normas regulatórias (LGPD, ISO 27001, NIST, etc.).
- Determinar restrições para uso de dados sensíveis e informações confidenciais ao utilizar IA.
Processo de Análise de Risco para Homologação de IA
- Mapeamento de Riscos: Identificar riscos associados ao uso da IA, como vazamento de dados, viés algorítmico, decisões automatizadas inadequadas e falhas de segurança.
- Avaliação Técnica e Jurídica: Criar um checklist para avaliação de segurança da ferramenta, considerando:
- Segurança dos dados: Como a IA trata e armazena os dados?
- Privacidade e compliance: Atende aos requisitos regulatórios (LGPD, GDPR, etc.)?
- Auditoria e transparência: Existe registro de logs e possibilidade de rastrear decisões automatizadas?
- Acesso e permissões: Quem pode usar e quais níveis de acesso são necessários?
- Homologação Formal: Aprovação pelo time de segurança da informação e compliance antes da adoção.
Treinamento e conscientização dos colaboradores
- Criar um programa de conscientização para ensinar boas práticas no uso de IA.
- Explicar os riscos associados ao vazamento de dados e como evitar o compartilhamento de informações sensíveis em plataformas de IA.
- Implementar um fluxo de reporte para casos de uso inadequado ou suspeito de IA.
Monitoramento contínuo e reavaliação
- Implementar ferramentas de monitoramento de atividades suspeitas, como o uso de IA não homologadas ou compartilhamento de dados sensíveis.
- Revisar periodicamente as IAs aprovadas e reavaliar os riscos conforme novas vulnerabilidades ou mudanças regulatórias.
A implementação de uma Política de Segurança para o uso de IA é essencial para garantir que a tecnologia seja utilizada de maneira responsável, segura e alinhada aos objetivos estratégicos da organização. Sem diretrizes claras, o uso da IA pode expor a empresa a riscos significativos, como vazamento de dados, decisões automatizadas injustas e utilização indevida de informações sensíveis e confidenciais. Além disso, a conformidade com regulamentações, como a LGPD e o GDPR, exige que as organizações adotem medidas de governança para evitar sanções e multas, garantindo que a IA seja utilizada de forma ética e transparente.
Outro ponto fundamental é a capacitação dos colaboradores sobre a necessidade de seguir a política e as regras de uso da IA. Mesmo com controles tecnológicos robustos, o fator humano continua sendo um dos principais desafios na segurança da informação. Sem um treinamento adequado, os profissionais podem acabar expondo dados sensíveis e confidenciais a modelos de IA sem perceber, compartilhando informações estratégicas ou tomando decisões baseadas em resultados enviesados. A conscientização é essencial para garantir que os funcionários compreendam os riscos e saibam como utilizar a IA de forma segura, evitando erros que possam comprometer a confidencialidade e integridade dos dados.
Além de mitigar riscos, uma política bem definida e um programa de capacitação eficaz ajudam a criar uma cultura organizacional voltada para a segurança e a inovação responsável. Quando os colaboradores entendem a importância das diretrizes e aplicam boas práticas no dia a dia, a empresa não apenas reduz ameaças, mas também melhora sua reputação e competitividade no mercado. Portanto, investir em governança e capacitação para o uso da IA não é apenas uma medida de proteção, mas um diferencial estratégico para qualquer organização que deseja utilizar essa tecnologia com segurança e eficiência.
Conclusão
O crescimento da IA traz tanto oportunidades quanto desafios no campo da segurança da informação. O uso indevido dessa tecnologia pode resultar em vazamentos de dados com impactos severos para empresas e indivíduos. Regulamentações e políticas corporativas adequadas, bem como a aplicação de boas práticas de segurança são fundamentais para mitigar esses riscos. Empresas e usuários devem estar atentos às implicações legais e técnicas do uso da IA garantindo sua aplicação de maneira ética e responsável.
Advogada, especialista em Direito Digital com foco em Segurança da Informação e Proteção de Dados. LLM em Direito Empresarial pela FGV. Pós-graduada em Compliance, Risco e Governança e em Direito Digital. Presidente da Comissão de Proteção de Dados da OAB/Jaboatão dos Guararapes. Possui Certificações de PDPE Essentials EXIN (Especialização em LGPD) e de DPO (Encarregada de Dados). Auditora líder das Normas ISO 27001:22 e ISO 27701:19.
Referências:
CNN BRASIL. Uso de inteligência artificial aumenta e alcança 72% das empresas, diz pesquisa. 2025. Disponível em:
https://www.cnnbrasil.com.br/economia/negocios/uso-de-inteligencia-artificial-aumenta-e-alcanca-72-das-empresas-diz-pesquisa/. Acesso em: 24 fev. 2025.
FÓRUM ECONÔMICO MUNDIAL. Cibercrime: lições aprendidas com um ataque deepfake de US$ 25 milhões. 2025. Disponível em:
https://www.weforum.org/. Acesso em: 24 fev. 2025.
FINTECH LAB. Vazamentos em cadeia na guerra da IA: DeepSeek e ChatGPT expostos. 2025. Disponível em:
https://fintechlab.com.br/index.php/2025/02/07/vazamentos-em-cadeia-na-guerra-da-ia-deepseek-e-chatgpt-expostos/. Acesso em: 24 fev. 2025.
OLHAR DIGITAL. DeepSeek: IA chinesa sofre falha crítica e expõe milhões de dados confidenciais. 2025. Disponível em:
https://olhardigital.com.br/2025/01/30/seguranca/deepseek-ia-chinesa-sofre-falha-critica-e-expoe-milhoes-de-dados-confidenciais/. Acesso em: 24 fev. 2025.