Uma nova pesquisa divulgada pela empresa de segurança cibernética Heimdal revela uma lacuna significativa na percepção de riscos de inteligência artificial (IA) dentro das organizações. O estudo, intitulado "The State of AI Risk Management in 2026", baseia-se em uma pesquisa com 1.000 profissionais de TI no Reino Unido e nos Estados Unidos, conduzida entre 1 e 8 de maio de 2026. Os dados apontam que executivos estão quatro vezes mais confiantes sobre o controle de riscos de IA do que as equipes que gerenciam a tecnologia no dia a dia.
Divisão interna nas organizações
O achado principal do relatório é uma divisão dentro das mesmas organizações: quanto mais próxima uma pessoa está da execução diária da IA, menos confiante ela está de que o risco está contido. Nos Estados Unidos, 29% dos executivos de C-suite e VP afirmam que a organização tem o risco de IA sob controle, contra apenas 7% dos profissionais de nível médio que o gerenciam. No Reino Unido, a lacuna segue a mesma direção, 18% contra 11%. Ambas as lacunas são estatisticamente significativas.
A pesquisa também registra um padrão contra-intuitivo: as equipes que veem seu uso de IA mais claramente são as mais preocupadas com ele, não as menos. Entre as equipes do Reino Unido com visibilidade total do uso de IA, 56% sinalizam o vazamento de dados como uma preocupação principal, contra 27% das equipes sem nenhuma. Nos EUA, a figura é de 59% entre as equipes com visibilidade total.
Adoção supera controles de segurança
Ferramentas de IA já estão presentes na maioria dos ambientes de TI, e a maioria das equipes executa várias ao mesmo tempo. No entanto, os controles não acompanharam o ritmo. Em ambos os mercados, o relatório encontra que a adoção superou os controles de segurança por aproximadamente dois para um. Apenas cerca de 4 em cada 10 equipes classificam sua pilha de segurança como pronta para riscos relacionados à IA.
Os dados mostram que o ChatGPT roda em 72% dos ambientes de TI do Reino Unido e 69% dos EUA, e o Microsoft Copilot em 68% do Reino Unido e 59% dos EUA. A prontidão para lidar com esses riscos, no entanto, está em baixa, com quase três quartos das equipes de TI e segurança perdendo pelo menos um quarto de sua semana para trabalho repetitivo e de baixo valor.
Incidente da CISA e visibilidade
O relatório da Heimdal descreve a visibilidade como o diagnóstico, e não a cura. Em um incidente publicamente divulgado em janeiro de 2026, o diretor interino da CISA, a agência de cibersegurança dos Estados Unidos, enviou documentos marcados "Para Uso Oficial Apenas" para o ChatGPT público em meados de 2025. O monitoramento da própria agência sinalizou a atividade dentro de uma semana, mas a política de uso não a impediu.
Adam Pilton, Conselheiro de Cibersegurança na Heimdal, destacou: "Confiança equivocada é uma das coisas mais perigosas na segurança. Estes dados mostram que os executivos estão muito mais confiantes de que o risco de IA está sob controle do que as evidências suportam. A maior parte da conversa agora é sobre produtividade, quando a pergunta maior é como a IA pode ser voltada contra o negócio. O relatório mostra a lacuna entre quão seguros os líderes se sentem e quão seguros eles realmente são".
Recomendações para governança de IA
O relatório conclui que as organizações devem tratar a IA como parte do patrimônio de TI principal, aplicando o mesmo escrutínio aos serviços de IA como a qualquer outro fornecedor crítico. Isso inclui revisão de contratação, termos contratuais de manuseio de dados, um inventário atual de ferramentas de IA sancionadas e não sancionadas, e controles técnicos sobre acesso, execução, cadeias de ação e privilégio.
Rafay Baloch, CEO e Fundador da REDSECLABS, acrescentou: "O risco que mais me preocupa não é a IA em si, mas os pontos cegos que ela pode criar. Quando as equipes usam ferramentas de IA sem supervisão clara, informações sensíveis, propriedade intelectual e dados de negócios podem acabar em lugares que os líderes nunca pretendiam. Muitas organizações acreditam que ter uma política de IA significa que estão preparadas, mas uma política sozinha não cria visibilidade. As empresas que veem os melhores resultados não são as que tentam restringir a IA. São as que criam guardrails claros enquanto ajudam os funcionários a usar a IA de forma responsável".
Implicações para CISOs e equipes de segurança
Para profissionais de segurança, a mensagem é clara: a confiança da liderança não deve substituir a visibilidade técnica. A implementação de controles de segurança para IA deve ser tratada com a mesma seriedade que a segurança de endpoints ou rede. A falta de inventário de ferramentas de IA (Shadow AI) continua sendo um dos maiores vetores de risco, permitindo que dados sensíveis vazem para modelos públicos. A prioridade deve ser a criação de guardrails técnicos e a educação contínua, garantindo que a produtividade não comprometa a segurança dos dados corporativos.