Vazamentos de senhas, insegurança bancária, o fiasco da IA - Ep. 405 do Podcast Segurança Legal

Não é segredo que a tecnologia avança em um ritmo vertiginoso, trazendo consigo inovações que transformam o dia a dia das pessoas e o ambiente de negócios. A IA, em particular, deixou de ser uma promessa para se tornar uma ferramenta onipresente (seja em ambientes privados ou corporativos). Contudo, essa rápida adoção também abre portas para novos riscos, dilemas éticos e desafios de segurança da informação. Como as empresas devem se posicionar? Qual a responsabilidade das instituições financeiras em um cenário de golpes cada vez mais sofisticados? E quais perigos se escondem nas novas ferramentas de IA que usamos?

No episódio #405 do podcast Segurança Legal, Guilherme Goulart e Vinícius Serafim mergulham nesses temas complexos. Com a clareza e a profundidade que são marcas registradas do programa, eles analisam notícias recentes que vão desde vazamentos de senhas e fraudes bancárias até os riscos emergentes dos navegadores com IA e as consequências do uso descuidado da tecnologia por grandes corporações. Este artigo resume os principais pontos e insights dessa conversa indispensável para profissionais de direito, TI, compliance e segurança.

O Dilema da IA no ambiente corporativo: entre a proibição e o "Shadow IT"

O episódio começa abordando uma dor comum em muitas empresas: a falta de diretrizes claras sobre o uso de ferramentas de Inteligência Artificial, como os LLMs. Trata-se de um problema crescente, o "Shadow AI", onde, na ausência de regras, os funcionários utilizam as ferramentas que bem entendem, muitas vezes sem as configurações de segurança adequadas. Vinícius Serafim destaca os dois extremos perigosos que as empresas adotam:

"Eu tenho visto tanto situações que a empresa simplesmente diz que não pode usar [...] E há também um outro extremo, em que o pessoal utiliza o que lhe vem na telha. Então não há uma recomendação formal por parte da empresa."

A falta de uma política de uso não impede a utilização da IA; apenas a torna invisível e descontrolada, expondo a empresa a vazamentos de dados, violações de propriedade intelectual e outros riscos jurídicos e reputacionais.

Fraudes bancárias e o dever de segurança: A posição do STJ

Um dos tópicos centrais do episódio foi a análise de uma decisão recente do Superior Tribunal de Justiça (STJ) que ampliou a responsabilidade de instituições de pagamento em casos de golpes de engenharia social. A decisão estabelece que essas instituições têm um dever de segurança que vai além da simples proteção contra vazamentos de dados.

Guilherme Goulart explica que as empresas devem analisar o comportamento dos seus clientes para identificar atividades suspeitas. No caso julgado, um cliente que raramente movimentava sua conta teve 14 transações realizadas em um único dia. O STJ entendeu que essa quebra no padrão de uso deveria ter acionado um alerta. Segundo Goulart, as instituições devem monitorar:

Transações que fogem do perfil do cliente.
Horário e local das operações.
Intervalo de tempo e sequência das transações.
Contratação de empréstimos atípicos.

Essa decisão consolida o entendimento de que o risco da atividade não pode ser totalmente transferido para o consumidor, forçando as instituições financeiras a investirem em tecnologias, incluindo IA, para a detecção preventiva de fraudes.

A nova ameaça: prompt injection em navegadores com IA

A popularização de navegadores com IA integrada, como o Atlas (do ChatGPT) e o Comet (do Perplexity), inaugura uma nova era de conveniência, mas também de vulnerabilidades. Vinícius Serafim alerta para o perigo do prompt injection nesses ambientes.

Esses navegadores funcionam como agentes que podem executar ações em nome do usuário, como fazer compras, enviar e-mails ou interagir com redes sociais. Se um usuário acessa uma página ou abre um arquivo malicioso contendo um prompt injection, a IA pode ser "convencida" a executar comandos não autorizados.

"Em essência é isso que esses navegadores conseguem fazer. E aí, obviamente, começou a aparecer ataque de prompt injection contra navegadores de IA. [...] as possibilidades em tese são infinitas, porque tu tem uma ferramenta que consegue interagir com a internet em teu nome", alerta Vinícius.

O risco é que a IA, interagindo com as contas já logadas do usuário, pode ser usada para roubar dados, realizar compras fraudulentas ou executar outras ações maliciosas, sem a necessidade de roubar senhas.

O "fiasco da IA": quando a confiança cega custa caro

O episódio se encerra com um caso emblemático: a consultoria Deloitte teve que devolver 1.5 milhão de dólares australianos ao governo após entregar um relatório gerado por IA repleto de "alucinações", como citações de artigos acadêmicos e livros que não existiam.

Guilherme Goulart usa o caso para discutir as consequências reais do uso descuidado da IA, conectando-o a casos de advogados no Brasil que foram multados por litigância de má-fé ao apresentarem petições com jurisprudência inventada por IA. Isso levanta uma questão fundamental sobre o adimplemento por IA, ou seja, quando e como a inteligência artificial pode ser usada na prestação de um serviço contratado.

"A gente vai ter que começar a repensar os arranjos contratuais para, até respeitando a boa fé objetiva, deixar claro e transparente quando e como a IA vai ser utilizada", reflete Guilherme.

A lição é clara: a IA é uma ferramenta de apoio, não um substituto para a verificação e a responsabilidade profissional. A falta de transparência e o excesso de confiança podem manchar reputações e gerar prejuízos financeiros significativos.

Conclusão

O episódio #405 do Segurança Legal funciona como um círculo completo: começa com a falta de governança interna sobre IA e termina mostrando as graves consequências externas dessa negligência. As discussões demonstram que, em um mundo movido pela tecnologia, a segurança da informação e a conformidade legal precisam evoluir constantemente. Ignorar os novos riscos não é uma opção.

Para aprofundar a discussão com exemplos práticos e análises detalhadas, ouça o episódio completo do Café Segurança Legal. E se você valoriza conteúdo independente e de qualidade sobre segurança, direito e tecnologia, considere apoiar o podcast em sua campanha de financiamento coletivo.