Por James Robinson
A IA já faz parte do dia a dia das empresas, mas o maior risco nem sempre está na tecnologia em si, e sim na forma como as pessoas reagem a ela. Os números de adoção passam a impressão de que todos estão abraçando a IA com entusiasmo, com dados recentes indicando que 89% das organizações já utilizam ao menos uma aplicação de IA generativa (genAI) na nuvem. Na prática, esse entusiasmo não é igual em todas as empresas.
Uma pesquisa da Writer revela que 31% dos colaboradores já adotam comportamentos que prejudicam a adoção de IA. Entre os grupos mais resistentes, começa a surgir um novo tipo de risco interno, ligado a medo e incerteza. Não se trata de má intenção, mas de pessoas que ainda não sabem o que a IA significa para seu trabalho ou para o seu futuro e, por isso, passam a agir de forma diferente.
Incerteza, distração e falta de confiança aumentam o risco de erro humano, e isso já aparece de forma clara nos números. Hoje, 68% das violações no mundo envolvem o fator humano. Quando esse cenário se estende ao uso de IA, até ações simples podem abrir novas brechas de segurança, algo que as equipes precisam considerar à medida que a adoção da tecnologia avança.
O perfil de cada ansioso
O risco interno está mudando porque a relação com a IA também evolui o tempo todo. Em empresas que avançam rápido na adoção da tecnologia, começam a aparecer alguns padrões de comportamento que já geram atrito no dia a dia:
- O sabotador – comportamento negativo motivado por desconfiança e resistência
Colaboradores resistentes que, de forma intencional, passam a desacelerar ou dificultar a adoção de IA no dia a dia, seja atrasando projetos, retomando processos manuais ou influenciando outros a não avançar. - O resistente – comportamento de evitação motivado por medo e insegurança
Colaboradores que evitam o uso de ferramentas de IA por receio do impacto da tecnologia em suas funções. Esse afastamento cria lacunas no fluxo de trabalho e reduz a visibilidade das operações, à medida que passam a contornar os sistemas. - O sobrecarregado – comportamento errático por sobrecarga cognitiva
Colaboradores que querem acompanhar o ritmo, mas não conseguem. Com o aumento da complexidade, passam a usar a IA de forma inadequada ou cometem erros que são executados e ampliados por agentes automatizados que atuam sob sua identidade.
O medo é um problema real de segurança. Ele é previsível e, por isso, se torna explorável por atacantes. Em um cenário de mudanças trazidas pela IA, equipes que operam sob ansiedade tendem a cometer mais erros, seja por evitar as ferramentas, não concluir treinamentos ou tentar preencher lacunas na base da tentativa e erro. O estresse afeta diretamente a capacidade de execução. Quando alguém não tem confiança sobre como um agente de IA funciona, passa a atuar de forma mais lenta e com menos segurança, o que aumenta significativamente a chance de configurações incorretas, de cair em manipulação ou de ampliar o impacto de uma instrução errada.
Quando um agente executa uma ação incorreta, o atacante deixa de depender do fator humano e passa a explorar o próprio sistema, induzindo ações como o envio de links maliciosos ou a inclusão de conteúdos comprometidos. Um único deslize pode abrir caminho para o controle de um sistema autônomo. Além disso, sistemas agênticos trazem novos tipos de falha, como execução de instruções erradas, decisões fora do escopo ou ações baseadas em acessos excessivos. Esses comportamentos não se encaixam nos modelos tradicionais de risco interno, mas se manifestam como se fossem ações legítimas dentro da empresa.
Leia mais: SAP vê Brasil mais avançado em cloud e aposta no País para acelerar empresa autônoma
A combinação entre a incerteza humana e a autonomia dos agentes amplia a superfície de ataque, que cresce em um ritmo mais rápido do que as organizações conseguem acompanhar.
O que o CISO precisa fazer agora
O risco interno associado à IA não se resolve apenas com controles técnicos. É preciso apoiar as pessoas nesse processo de adaptação, com clareza sobre como a tecnologia funciona e o que se espera no dia a dia. Em cenários de incerteza, diretrizes objetivas de segurança fazem diferença no comportamento das equipes.
A governança também precisa sair do modelo centralizado. Levar orientação para dentro das áreas, por meio de iniciativas como embaixadores de IA, aproxima segurança da operação e agiliza decisões sem perder controle. Um exemplo são programas de embaixadores de IA, que colocam profissionais dentro das próprias equipes, fora da estrutura de segurança, mas com domínio da tecnologia e das diretrizes. Eles atuam no dia a dia, esclarecendo dúvidas e orientando decisões antes de qualquer escalonamento, o que aproxima segurança da operação e dá mais agilidade à adoção.
Por fim, os controles devem considerar que o erro humano vai acontecer. Sistemas agênticos ampliam falhas, o que exige mecanismos de proteção preparados para desvios, acessos excessivos e instruções equivocadas. Não podemos simplesmente esperar que isso não aconteça.
Como lidar com o novo cenário
A IA está mudando a forma como as organizações operam, mas a transformação mais profunda acontece nas pessoas que tentam acompanhar esse ritmo. Ansiedade, incerteza e hesitação influenciam comportamento, decisões e a forma como brechas de segurança surgem, e esses padrões não se ajustam sozinhos nem acompanham ciclos lentos de governança.
Por isso, os CISOs precisam adotar uma abordagem mais intencional e centrada nas pessoas. Controles técnicos evoluem, mas o impacto da IA exige liderança ativa. Assim como na direção, não se evita o risco impedindo o uso, e sim com preparo, confiança e orientação para lidar com o novo. Na prática, isso significa dar clareza, treinamento e suporte para que as equipes incorporem a IA no dia a dia com segurança. Ignorar o fator humano não reduz o risco, apenas adia o problema.
Siga oIT Forum no LinkedIn e fique por dentro de todas as notícias!
