O relatório “Cost of a Data Breach 2025” da IBM, divulgado nesta terça-feira, 30 de julho, revelou que o custo médio de uma violação de dados no Brasil subiu para R$ 7,19 milhões, um aumento de 6,5% em relação ao ano anterior (R$ 6,75 milhões). O estudo analisou o impacto financeiro de incidentes de segurança em mais de 600 organizações globais e apontou que os setores de Saúde, Finanças e Serviços continuam sendo os mais impactados, com perdas médias de R$ 11,43 milhões, R$ 8,92 milhões e R$ 8,51 milhões, respectivamente.
Em sua 20ª edição, o relatório mostra um cenário de ameaças cibernéticas mais sofisticadas e destaca o papel da inteligência artificial e da automação como fatores-chave na mitigação de riscos e custos.
IA segura reduz prejuízos com violação de dados
Segundo o relatório, organizações brasileiras que adotaram IA e automação seguras reportaram custos médios de R$ 6,48 milhões, enquanto aquelas com uso limitado dessas tecnologias tiveram custos de R$ 6,76 milhões. Já empresas que ainda não utilizam IA ou automação enfrentaram perdas médias de R$ 8,78 milhões por incidente.
Apesar dos benefícios comprovados, 87% das organizações no Brasil não possuem políticas de governança de IA, e 61% não têm controles de acesso aplicados à IA. Apenas 29% utilizam tecnologia de governança de IA para mitigar riscos cibernéticos associados a modelos de inteligência artificial.
“Nosso estudo mostra que já existe uma lacuna preocupante entre a rápida adoção da IA e a falta de governança e segurança adequadas, e agentes mal-intencionados estão explorando esse vácuo. A ausência de controles de acesso em modelos de IA expôs dados sensíveis e aumentou a vulnerabilidade das organizações. Empresas que subestimam esses riscos não estão apenas colocando informações críticas em risco, mas também comprometendo a confiança em toda a operação”, explica Fernando Carbone, Sócio de Serviços de Segurança da IBM Consulting na América Latina.
Phishing e terceiros são os principais vetores de ataque
Entre as principais causas de violações de dados no Brasil, o phishing lidera com 18% dos casos, gerando prejuízos médios de R$ 7,18 milhões. Em seguida, aparecem comprometimentos de terceiros e da cadeia de suprimentos (15%, com R$ 8,98 milhões) e a exploração de vulnerabilidades (13%, com R$ 7,61 milhões).
Outros vetores mencionados incluem credenciais comprometidas, erros internos e infiltrados mal-intencionados, o que reforça a complexidade do cenário de ameaças e os desafios enfrentados pelas equipes de segurança da informação.
Shadow AI e sistemas complexos elevam ainda mais os custos
A complexidade da arquitetura de segurança é outro fator que pesa no bolso das empresas. Segundo o relatório, sistemas excessivamente complexos aumentam, em média, R$ 725.359 no custo total de uma violação.
O uso não autorizado de IA, conhecido como shadow AI, também foi responsável por elevar os custos em R$ 591.400. Mesmo a adoção de ferramentas de IA públicas ou internas adicionou em média R$ 578.850 às perdas, quando mal gerenciada.
Impactos globais e tendências emergentes
O relatório também analisou tendências internacionais. O custo médio global de uma violação caiu para US$ 4,44 milhões, a primeira redução em cinco anos. Nos Estados Unidos, porém, o valor chegou a um recorde de US$ 10,22 milhões.
Violações no setor de saúde continuam sendo as mais caras, com US$ 7,42 milhões em média e um tempo de detecção e contenção de 279 dias, 38 dias acima da média global (241 dias).
Outros dados globais incluem:
- 63% das organizações violadas não possuem políticas de governança de IA ou ainda as estão desenvolvendo.
- 20% das violações envolveram o uso de shadow AI, com prejuízos médios até US$ 670.000 maiores.
- 16% dos ataques contaram com o uso de ferramentas de IA para phishing ou deepfakes.
- 65% dos casos envolvendo shadow AI resultaram em vazamento de informações pessoais, contra uma média global de 53%.
Segurança pós-violação perde prioridade
Apesar do aumento nos custos e da complexidade das ameaças, apenas 49% das organizações planejam investir em segurança após uma violação, uma queda acentuada em relação aos 63% registrados em 2024. E menos da metade dessas pretendem investir especificamente em soluções de segurança baseadas em IA.
Outro dado preocupante é o impacto financeiro contínuo das violações: quase metade das organizações afirmou que aumentaria os preços de bens ou serviços após o incidente, e um terço relatou aumentos superiores a 15%.
O relatório da IBM, conduzido pelo Ponemon Institute, é a principal referência global sobre o custo de violações de dados. Em seus 20 anos de história, analisou quase 6.500 violações em todo o mundo, revelando como o cenário digital evoluiu de dispositivos perdidos para ataques sofisticados baseados em IA e nuvem.
