Mais de 60% das violações de dados com IA generativa no Brasil envolvem dados regulamentados, como informações de clientes e registros financeiros
Todas as organizações brasileiras já adotam IA generativa, mas uso pessoal e corporativo misturado amplia risco de vazamentos.
GitHub e Microsoft OneDrive lideram distribuição de malware via nuvem no Brasil, atingindo 10% das organizações cada.
Pixabay
A inteligência artificial chegou às empresas brasileiras prometendo eficiência. Entregou, e trouxe junto um vetor de risco que a maioria dos gestores ainda não consegue dimensionar. As ferramentas de IA generativa já estão presentes em 100% das organizações monitoradas no Brasil. Operam em editores de texto, plataformas de atendimento, sistemas de gestão e aplicativos de produtividade. Muitas vezes, funcionam nos bastidores, invisíveis às políticas de segurança que foram desenhadas para um ambiente corporativo que já não existe mais.
O resultado aparece em números. O Netskope Threat Labs Report Brasil 2026, divulgado com exclusividade pelo Times Brasil – Licenciado Exclusivo CNBC, identifica que 64% das violações de políticas de dados em aplicações de IA generativa no país envolvem dados sensíveis, regulamentados, informações de clientes, registros financeiros e contratos sujeitos a normas de conformidade.
Código-fonte representa outros 21% dos incidentes, seguido por senhas e chaves de API, com 9%, e propriedade intelectual, com 7%.
O levantamento cobre o período de 1º de março de 2025 a 31 de março de 2026 e é baseado em dados de uso coletados pela plataforma Netskope One junto a organizações no Brasil.
Pela primeira vez, a adoção de IA generativa atingiu a totalidade das organizações monitoradas no Brasil. Ao mesmo tempo, a fatia de usuários que utiliza essas ferramentas ativamente saltou de 50% para 71% em um ano.
O avanço, porém, vai além do uso direto. Segundo o relatório, 96% dos usuários trabalham com ferramentas que incorporam recursos de IA generativa de forma indireta, sem que, muitas vezes, tenham consciência disso. São editores de texto, plataformas de atendimento, sistemas de gestão e aplicativos de produtividade que operam com IA nos bastidores, processando e expondo dados sem passar pelos mesmos controles aplicados às ferramentas explicitamente aprovadas.
“A IA já está incorporada à operação das empresas brasileiras, mas muitas ainda não têm visibilidade suficiente sobre como dados sensíveis circulam entre aplicações corporativas, ferramentas pessoais e recursos de IA usados diariamente pelos funcionários. Quando informações de clientes, código-fonte e propriedade intelectual começam a trafegar nesse ambiente sem governança adequada, o risco deixa de ser hipotético e passa a ter impacto direto para o negócio”, afirmou Claudio Bannwart, country manager da Netskope no Brasil.
Fronteira entre uso pessoal e corporativo ainda é porosa
Houve avanço na adoção de soluções de IA gerenciadas pelas próprias organizações: a fatia subiu de 29% para 70%. Mas o uso pessoal não recuou na mesma proporção. Ainda são 52% dos usuários que recorrem a contas pessoais de IA generativa no ambiente de trabalho.
Mais preocupante é a alternância entre os dois ambientes. A parcela de usuários que transita entre contas pessoais e corporativas foi de 10% para 22% no período. Isso cria brechas de controle que as políticas de segurança corporativa não conseguem cobrir integralmente.
Em aplicações pessoais usadas dentro das organizações, os dados regulamentados lideram as violações de políticas de DLP (Data Loss Prevention), com 66%. Código-fonte aparece em seguida, com 23%, propriedade intelectual responde por 7% e senhas e chaves de API, por 4%.
🔍 DLP é o sistema de segurança que monitora e bloqueia o envio não autorizado de informações sensíveis para fora da rede corporativa.
Plataformas de confiança viram canal para malware
Uma tendência preocupante identificada pelo relatório é o uso de plataformas corporativas amplamente reconhecidas como veículo para distribuição de malware. No Brasil, GitHub e Microsoft OneDrive foram as mais utilizadas para esse fim, afetando 10% das organizações cada. O Google Drive aparece na sequência, com impacto em 6% dos casos.
Arquivos hospedados em serviços conhecidos passam por menos suspeita, tanto por parte dos usuários quanto de sistemas de filtragem. O efeito prático é que o tráfego malicioso se mistura ao legítimo, dificultando a detecção.
O Times Brasil | CNBC procurou o GitHub, Microsoft e o Google para pedir posicionamentos.
O GitHub afirmou ao Times Brasil | CNBC estar comprometido em investigar os problemas de segurança reportados, e que suas políticas de uso proíbem a publicação de conteúdo que apoie diretamente ataques ilegais em andamento ou campanhas de malware que causem danos técnicos.
DeepSeek lidera lista de IA bloqueada
No campo das restrições, o DeepSeek é a aplicação de IA mais bloqueada pelas organizações no Brasil, com 37% dos casos. O Tactiq aparece em segundo lugar, com 36%, e o Sider AI, em terceiro, com 33%. As três ferramentas têm em comum o fato de atuarem como extensões de navegador, sobreposições de produtividade ou sistemas de transcrição de reuniões, categorias que ampliam o acesso a dados sensíveis com pouco controle sobre como essas informações são processadas.
O padrão de bloqueios indica que as organizações brasileiras estão adotando uma postura preventiva, restringindo ferramentas que apresentam risco elevado enquanto definem critérios de governança mais maduros.
Brasil lidera adoção, mas enfrenta déficit de controle
Vini Egerland, engenheiro sênior de Pesquisa de Ameaças do Netskope Threat Labs, avalia que o Brasil ocupa posição de destaque global na adoção de IA generativa, mas que o avanço tecnológico está à frente dos mecanismos de proteção. Segundo ele, o código-fonte isoladamente já representa 21% das violações de DLP, e muitas organizações estão optando por bloquear aplicações inteiras enquanto as políticas de governança ainda estão sendo definidas.
O relatório recomenda que as organizações ampliem a inspeção de tráfego HTTP e HTTPS, implementem políticas de DLP para monitorar movimentações de dados sensíveis e utilizem tecnologias de isolamento de navegador para categorias de risco elevado. A orientação é que qualquer aplicação sem finalidade comercial clara seja bloqueada por padrão.
Ações de Boeing, veículos elétricos e chips ficam no radar durante negociações entre Trump e Xi 
