MADRID 23 mar. (Portaltic/EP) -
A rápida adoção da inteligência artificial (IA) por parte das empresas e organizações europeias está revelando uma falta de governança e de protocolos para o uso dessa tecnologia, uma vez que, em um contexto de crise, a maioria não sabe com que rapidez poderia desativar um sistema de IA afetado, e muitas também não seriam capazes de explicar a falha posteriormente.
Isso foi divulgado pela associação profissional global de auditoria, segurança e governança de TI ISACA, que apresentou alguns resultados de seu novo estudo AI Pulse Poll 2026, no âmbito de um encontro com a imprensa realizado nesta segunda-feira, embora esteja previsto que o estudo seja publicado oficialmente na íntegra em 5 de maio deste ano.
Especificamente, a ISACA quis antecipar algumas das conclusões obtidas, que destacam como, embora a maioria das empresas esteja adotando ferramentas de IA em seus fluxos de trabalho, atualmente elas são incapazes de governá-la e, portanto, enfrentam diversos problemas de segurança e aproveitamento dessa tecnologia.
Foi o que afirmou durante o encontro o especialista da ISACA e consultor de segurança cibernética da Balusian, Pablo Ballarín, que garantiu que a IA está sendo adotada “muito rapidamente, sem protocolos e com desconhecimento” por parte das organizações e empresas.
“Essa integração forçada da IA” causa o “desconhecimento sobre que tipo de ferramentas estão sendo introduzidas” na empresa, avaliou ele, apelando para a necessidade de apostar na responsabilidade, já que “não se trata de um problema tecnológico, mas de um problema de controle e governança”.
Isso destaca uma “lacuna significativa e crescente” entre a adoção da IA e a preparação das organizações para gerenciar os riscos que ela acarreta.
Conforme detalhado pelos profissionais entrevistados, que totalizaram 681 especialistas em segurança digital na Europa, quase três quintos (59%) afirmam não saber com que rapidez sua organização poderia desativar um sistema de IA caso identificasse um incidente de segurança.
De fato, apenas 21% indicaram que poderiam fazê-lo em menos de meia hora e, entre eles, apenas 5% poderiam interrompê-lo em cerca de um minuto. Isso mostra como um sistema de IA comprometido poderia operar sem controle por mais de 30 minutos em uma grande porcentagem dos casos, o que pode acarretar diversos problemas de segurança.
Segundo Ballarín, esse panorama está relacionado ao desconhecimento das empresas sobre as ferramentas de IA que implementam em seu fluxo de trabalho, já que o fazem sem saber como elas funcionam e como podem impactar internamente. “Se não sabemos como funcionam, não sabemos o que podem alcançar e o que podem causar”, destacou o especialista.
A ISACA também destacou que a ausência de procedimentos claros de resposta dentro das organizações diante do uso dessas tecnologias também afeta, com implicações diretas na exposição regulatória, no risco reputacional da empresa e na continuidade dos processos e serviços que esses sistemas suportam.
CAPACIDADE DA ORGANIZAÇÃO DE INVESTIGAR UM INCIDENTE DE IA
Essas dificuldades para interromper sistemas de IA em caso de um incidente de segurança se intensificam ainda mais devido às “importantes lacunas na capacidade das organizações de compreender e explicar o que ocorreu quando o sistema falhou”, como destacou a ISACA.
Conforme refletem os resultados do estudo, menos da metade dos entrevistados (42%) confia na capacidade de sua organização para investigar e explicar um incidente grave de IA à diretoria.
Nesse contexto, a ISACA destacou a importância de saber explicar o que ocorreu, levando em conta a chegada de regulamentações como o Regulamento de IA da União Europeia, que atualmente está em fase de implementação e estabelece requisitos explícitos em matéria de explicabilidade e responsabilidade.
Ou seja, trata-se de uma legislação que não apenas exige a implementação de controles técnicos, mas também “estruturas de governança, rastreabilidade e profissionais com as competências necessárias para interpretar e comunicar o comportamento dos sistemas de IA”.
Levando tudo isso em conta, os resultados do estudo da ISACA refletem que essas capacidades ainda não estão implementadas em grande escala dentro das organizações. Apenas 11% dos entrevistados se mostram totalmente confiantes nas capacidades de sua empresa para investigar e explicar um incidente de IA.
Vale ressaltar que o problema se agrava ainda mais, pois nem todas as organizações exigem que seus funcionários informem quando utilizaram ferramentas de IA em seus trabalhos. Tanto é assim que, de acordo com os dados coletados no relatório, em um terço das empresas (33%), os funcionários não precisam revelar se utilizaram IA e, em 15%, eles desconhecem se precisam fazê-lo.
Apenas 17% dos entrevistados afirmam que sua empresa exige que se informe sobre o uso de ferramentas de IA. Como resultado, surgem importantes lacunas de visibilidade sobre onde e como essa tecnologia está sendo utilizada na empresa, dificultando significativamente identificar a origem dos incidentes de segurança.
Portanto, Ballarín afirmou que, em termos de governança, deveria haver um inventário de todas as ferramentas de IA existentes, quais são utilizadas pelos funcionários e se estão sendo executadas em um ambiente controlado, ou seja, saber de onde as informações foram obtidas e garantir que não saiam para fora da empresa.
GOVERNANÇA: QUEM SERIA O RESPONSÁVEL FINAL?
Todas essas conclusões do estudo da ISACA revelam que existe um problema mais profundo em nível estrutural, uma vez que 20% dos entrevistados não sabem quem seria o responsável final caso um sistema de IA causasse danos, enquanto 38% identificam o Conselho de Administração ou um diretor responsável nessa área.
Segundo Ballarín, é complexo definir uma responsabilidade nessas áreas. Assim, ele se referiu à tendência regulatória atual, que atribui a responsabilidade aos níveis mais altos da organização, que são os que tomam as decisões em última instância e se encarregam das estratégias.
Quanto à supervisão por parte dos executivos, o estudo revela “certo otimismo”, já que 40% dos entrevistados afirmam que as ações geradas pela IA em sua organização são aprovadas por humanos antes de sua execução.
Com tudo isso, a ISACA aponta o risco da IA como um problema que também deve ser visto como “um desafio de governança transversal a toda a empresa”, especialmente quando a IA influencia cada vez mais as decisões e estas devem ser supervisionadas por uma “infraestrutura de governança mais ampla que a respalde”.
“O fato de a IA ser capaz de prever e realizar ações humanas tem impactos que as TICs normais não têm. A segurança cibernética, juntamente com outros aspectos relacionados a usos inesperados, é o que precisa ser controlado”, afirmou Ballarín.
“A lacuna entre implantação e governança não está se fechando, mas se ampliando. As organizações devem definir responsabilidades, desenvolver capacidades de resposta a incidentes e gerar visibilidade sobre o uso da IA por meio de auditorias que promovam uma cultura de supervisão eficaz”, afirmou a esse respeito o diretor de Estratégia Global da ISACA, Chris Dimitriadis.
Esta notícia foi traduzida por um tradutor automático