Imprimir esta página

Ameaças de IA e novos regulamentos europeus colocam executivos na linha da frente

João Fernandes Por
maio 26, 2026
Ameaças de IA e novos regulamentos europeus colocam executivos na linha da frente
Segurança e Redes

No oitavo aniversário da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), o panorama do cumprimento regulamentar nas empresas tornou-se consideravelmente mais complexo e arriscado. Além do RGPD, as organizações enfrentam agora as exigências severas das diretivas NIS 2 e DORA, que visam promover uma maior ciberresiliência no espaço europeu. No entanto, o surgimento de modelos avançados de Inteligência Artificial veio potenciar novos vetores de ataque, aumentando exponencialmente o risco e a probabilidade de sucesso de invasões cibernéticas que comprometem dados sensíveis.

O grande fator de alarme reside na capacidade de novos modelos de IA, como o Claude Mythos desenvolvido pela Anthropic, identificarem autonomamente vulnerabilidades até então desconhecidas nos sistemas informáticos. Como prova deste poder computacional, o Mythos detetou recentemente uma falha de negação de serviço (DoS) no OpenBSD que permanecia latente há 27 anos, bem como um erro com 16 anos no FFmpeg que já tinha sido analisado milhões de vezes por ferramentas automáticas de segurança. Esta capacidade de encadear e explorar falhas em massa coloca o software de código aberto e as infraestruturas corporativas sob uma pressão sem precedentes.

A sofisticação dos ataques promete escalar à medida que os cibercriminosos adaptam estas ferramentas de IA para fins maliciosos, especialmente no desenvolvimento de campanhas de phishing altamente personalizadas e direcionadas para o roubo de credenciais de utilizadores internos. Segundo dados da indústria, cerca de 90% dos ciberataques atuais exploram falhas na gestão de identidades. Paralelamente, as empresas enfrentam riscos internos gerados pelos próprios colaboradores, que frequentemente introduzem dados corporativos confidenciais em plataformas de IA externas sem salvaguardas contratuais ou acordos de tratamento de dados (DPA) em conformidade com o RGPD.

Esta nova realidade choca diretamente com os prazos de notificação extremamente exigentes impostos pelo novo quadro legal europeu. Enquanto o RGPD estipula um limite de 72 horas para comunicar violações de dados, a NIS 2 e a DORA reduzem essa janela para 24 horas - e, no caso da DORA, para apenas 4 horas em incidentes classificados como graves. Adicionalmente, as novas diretivas introduzem uma alteração regulamentar profunda e com impacto direto na liderança: os próprios executivos das empresas podem ser considerados pessoalmente responsáveis e ver os seus ativos em risco caso falhem na garantia da resiliência operacional.

Para fazer face a este cenário de rutura, onde a recuperação tradicional demora em média 24 dias, as organizações necessitam de adotar estratégias de automação e o conceito de "negócio mínimo viável" (MVB). Este modelo define as infraestruturas e aplicações absolutamente vitais para assegurar operações de emergência, isolando-as preventivamente de forma segura. Esta abordagem faz parte de uma nova disciplina operacional designada por ResOps (Resilience Operations), que une equipas de segurança, infraestrutura e gestão para mitigar as consequências de um ataque e garantir a continuidade ativa do negócio em plena crise.

Classifique este item
(0 votos)
Ler 92 vezes
Tagged em

Itens relacionados