Agora, quanto mais a IA também tem sido usada em processos de negócios, como análise de dados, previsão de tendências e suporte em decisões estratégicas, mais as empresas precisam se preparar para que a inserção dessa nova tecnologia não se torne um problema no futuro.  

Não se trata apenas de empregar uma tecnologia inovadora, mas de assegurar que sua implementação seja feita de modo consistente.

Nesse sentido, vale lembrar que cada empresa possui demandas específicas em termos de segurança cibernética, conformidade na governança de dados e robustez de infraestrutura. Ao observá-las de forma integrada, é possível explorar todo o potencial da IA generativa sem comprometer a estabilidade e a reputação do negócio.

E, para isso, é necessário considerar três pilares: segurança cibernética, governança de dados e infraestrutura, antes de integrar essa inovação.

Segurança da informação: preocupação constante

O primeiro deles, o desafio de cibersegurança, é um problema em nível global. No Brasil em especial, os executivos estão conscientes dos riscos: a pesquisa Global Digital Trust Insights 2025, conduzida pela PWC, apontou que 68% dos tomadores de decisão brasileiros têm a percepção de que a IA aumenta a superfície de ataque.

Isso significa que, com a IA generativa, surgem vetores de ataque mais complexos e imprevisíveis, tornando as organizações potencialmente mais vulneráveis. Ainda de acordo com a mesma pesquisa, ao menos 74% dos CEOs no Brasil acreditam que a IA generativa provavelmente aumentará o risco de cibersegurança. A média global é de 64%.  

Em termos de prontidão, porém, muitas empresas brasileiras ainda estão estruturando seus programas de segurança para IA. Tecnologias modernas de defesa (como monitoramento de modelos em produção, detecção de deepfakes) começam a ser adotadas pelas grandes empresas no país, enquanto nos EUA e Europa já há iniciativas maduras focadas em segurança de modelos de IA.

Regulamentações em discussão (no Brasil, o PL 2338/2023; na UE, o AI Act) também influenciam: na Europa, por exemplo, espera-se obrigatoriedade de proteção contra ataques, e requisitos de cibersegurança por projeto para sistemas de IA de alto risco – nosso país tende a seguir padrões similares de exigência no futuro.  

Do ponto de vista ofensivo, criminosos podem usar IA generativa para automatizar e aprimorar ataques cibernéticos. Por exemplo, a tecnologia permite criar phishing altamente personalizado e convincente, imitando comunicações de fontes confiáveis. A tecnologia também viabiliza a geração de deepfakes (vídeos ou áudios falsos de executivos) usados em fraudes de engenharia social. Outras ameaças incluem a criação automatizada de malware adaptativo e a busca por vulnerabilidades zero-day em códigos usando algoritmos de IA.

Do lado defensivo, vale notar que a IA generativa também pode auxiliar na cibersegurança, por exemplo, na análise de padrões de ataque ou na automação de respostas a incidentes. Porém, o consenso global é que os riscos superam as vantagens se não houver preparo adequado. Empresas no Brasil e no mundo estão aumentando investimentos para lidar com esses desafios: 80% dos executivos brasileiros afirmam ter ampliado investimentos em gestão de riscos e governança de IA nos últimos 12 meses (vs. 72% globalmente), de acordo com o estudo da PWC.

Ou seja, há um movimento forte para aprimorar a resiliência cibernética diante da IA generativa, seja adotando frameworks de gestão de risco, seja aprimorando ferramentas de proteção.

Governança de dados: ainda precisamos avançar

Implementar IA generativa de forma responsável requer uma sólida governança de dados. Isso envolve lidar com exigências regulatórias, aderir a frameworks de conformidade e superar desafios práticos na gestão de dados usados por modelos de IA.

Diferentemente da governança tradicional de TI, a governança de IA abrange aspectos de ética, transparência e accountability no uso de algoritmos e dados. Dentro dessa perspectiva, duas frentes são críticas: atender às leis e regulações aplicáveis e estabelecer processos internos que garantam qualidade e uso adequado dos dados.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) impõe obrigações rígidas sobre coleta, armazenamento e uso de dados pessoais. Isso significa que projetos de IA generativa devem, desde a concepção, incorporar princípios de privacidade por design, assegurando finalidade específica, minimização de dados e consentimento para uso de informações pessoais. O não cumprimento dessas regras pode levar a multas severas e danos reputacionais.

Além da LGPD, está em tramitação o Marco Legal da IA (PL nº 2338/2023), que estabelece diretrizes gerais para o desenvolvimento e aplicação de IA no país. Embora ainda não aprovado, esse projeto de lei já sinaliza direitos que as empresas deverão respeitar, como: direito à informação prévia (informar quando o usuário está interagindo com um sistema de IA), direito à explicação das decisões automatizadas, direito de contestar decisões algorítmicas e direito à não-discriminação por vieses algorítmicos.

Esses pontos exigirão que empresas implementem transparência nos sistemas de IA generativa (por exemplo, deixando claro quando um texto ou resposta foi gerada por máquina) e mecanismos de auditoria para explicar como o modelo chegou a determinada saída.

A Europa também está endurecendo a regulamentação sobre a IA. O EU AI Act classifica sistemas de IA em categorias de risco (mínimo, limitado, alto e inaceitável) e impõe requisitos proporcionais. Modelos de uso geral e IA generativa (como grandes modelos de linguagem) deverão cumprir obrigações de transparência e segurança adicionais.  

Por exemplo, fornecedores de modelos genéricos serão obrigados a realizar avaliação de riscos dos sistemas, documentar rigorosamente os modelos (incluindo fornecer resumos dos dados de treinamento e garantias de conformidade com leis de direitos autorais) e reportar incidentes graves. Também há exigências de indicar quando conteúdo é gerado por IA. A UE demandará etiquetagem de deepfakes e aviso aos usuários ao interagirem com chatbots, por exemplo.

Os Estados Unidos não contam com uma legislação específica, mas o NIST AI Risk Management Framework orienta as empresas a adotarem princípios de governança semelhantes, focando em transparência, equidade e accountability.

Apesar dessas referências, na prática muitas empresas enfrentam desafios de implementação de governança na IA generativa. Um estudo recente no Brasil revelou que 98% das organizações não possuem uma estrutura abrangente de governança para IA generativa. Ou seja, apenas 2% têm algo próximo de um framework completo atualmente. Além disso, menos de 5% oferecem treinamento avançado em governança e monitoramento de IA para suas equipes.

Infraestrutura tecnológica para IA generativa

Um estudo recente realizado pela Cisco apontou que 74% dos gestores de TI brasileiros devem aumentar a capacidade de processamento, com mais GPUs em data centers para suportar futuras cargas de IA.

Em ambientes on-premises, isso pode significar adquirir clusters de servidores equipados com múltiplas GPUs e interconectados por redes de alta velocidade (por exemplo, redes InfiniBand de 100 Gbps ou mais, para garantir baixa latência entre nós de processamento).

Já em ambientes de nuvem, as empresas estão optando por instâncias otimizadas para ML oferecidas pelos fornecedores de nuvem pública, nas quais é possível alugar GPUs por hora.

A decisão entre construir infraestrutura local ou usar a nuvem é estratégica. A nuvem oferece elasticidade – ou seja, recursos podem ser escalados sob demanda, o que é ideal para projetos de IA com carga variável ou experimental. Além disso, fornecedores de nuvem mantêm o hardware atualizado, liberando a empresa do ônus de atualizações frequentes.

No contexto de IA generativa, onde novas arquiteturas e chips aparecem rapidamente, essa agilidade é um ponto forte. No Brasil, muitas empresas estão adotando a nuvem híbrida: mantêm alguns recursos on-premises (por questões de soberania de dados ou latência local) e alavancam nuvens públicas para picos de processamento ou para acessar recursos avançados indisponíveis internamente.  

Contudo, a nuvem traz preocupações com custos de longo prazo (o uso intensivo de GPUs pode gerar contas elevadas se não houver planejamento) e localização dos dados, empresas reguladas às vezes precisam garantir que dados sensíveis fiquem em data centers localizados em solo nacional.  

No Brasil, embora as grandes corporações (bancos, telecom, etc.) tenham orçamentos de TI significativos, historicamente o investimento em HPC (computação de alta performance) era voltado para segmentos específicos.

Com a explosão da IA generativa, vemos uma corrida para atualizar a infraestrutura: em 2024, 54% dos líderes de TI brasileiros se consideravam apenas moderadamente preparados, no máximo, quanto à infraestrutura para IA, e quase metade admite limitações de escalabilidade em seus ambientes atuais. Ou seja, há um terreno a evoluir.

Ainda assim, 62% das empresas no Brasil já figuram entre os perfis mais avançados (pacesetters ou chasers) em prontidão de infraestrutura de IA, um número ligeiramente menor que a média global, mas próximo.  

Isso indica que o Brasil não está muito atrás na adoção de infraestrutura moderna, ainda que a lacuna de topo exista (empresas globais de tecnologia operando no país têm vantagens).  

Em síntese, a adoção de IA generativa com foco em segurança cibernética, governança de dados e infraestrutura sólida tem o potencial de impulsionar a competitividade das empresas brasileiras em um cenário cada vez mais orientado pela inovação.

Embora haja desafios, como a necessidade de ampliar frameworks de governança, alinhar políticas internas às regulamentações, e investir em infraestrutura de alta performance, observa-se um movimento consistente de amadurecimento no país.

Cada organização deve analisar suas demandas específicas, seja priorizando a proteção de dados pessoais, estabelecendo processos de auditoria e transparência ou ampliando a capacidade computacional para lidar com algoritmos de última geração.