A IA pode ver tudo, mas quem garante a privacidade dos dados públicos? Essa pergunta persegue os especialistas do mercado desde que a inteligência artificial deixou de ser um experimento para se tornar uma necessidade operacional na cibersegurança do setor público. O volume de ataques, a sofisticação dos métodos e a velocidade com que as ameaças se propagam tornaram inviável depender apenas de controles tradicionais e análises manuais. Ainda assim, sempre devemos pensar que, introduzir IA nesse contexto é como trazer um holofote para uma sala escura, você enxerga mais, mas também expõe tudo.
Essa tensão está no centro das decisões estratégicas de qualquer órgão público que lida diariamente com dados sensíveis, sistemas críticos e serviços essenciais. Não é uma discussão teórica, é o dia a dia de quem precisa equilibrar proteção e privacidade.
IA como multiplicador de capacidade, não como substituto
Na prática, a principal contribuição da IA está na capacidade de observar o que antes era invisível. Já vimos modelos de aprendizado de máquina correlacionarem eventos que pareciam desconexos, identificarem padrões anômalos que passariam despercebidos por meses e anteciparem comportamentos maliciosos em ambientes complexos. Em vez de reagir apenas ao que conhecemos, esses sistemas aprendem o funcionamento normal das nossas infraestruturas e sinalizam desvios em tempo real. Isso reduz o tempo de detecção de semanas para horas, acelera nossa resposta e diminui a dependência de regras estáticas que, sabemos bem, envelhecem rápido demais para as ameaças atuais. No setor público, onde convivem tecnologias legadas, múltiplas redes e diferentes níveis de maturidade digital, essa capacidade de correlação não é apenas útil, é vital.
O ponto de inflexão, onde muitos projetos tropeçam, surge quando entendemos que a eficácia da IA depende do acesso a grandes volumes de dados. Logs, registros de acesso, comportamentos de usuários, tráfego de rede… tudo isso é essencial para treinar e operar modelos eficientes. Porém, sem os devidos cuidados, esse acesso pode transformar ferramentas de defesa em potenciais vetores de exposição. O risco, portanto, nunca esteve na tecnologia em si, mas na ausência de uma estratégia clara de proteção, governança e limitação de uso dos dados analisados. A IA aplicada à cibersegurança pública precisa operar com um princípio básico: ver padrões não significa ter direito a ver pessoas.
Criptografia e controle de acesso como pré-requisitos
É nesse contexto que a criptografia deixa de ser um componente técnico isolado e passa a ser um elemento estrutural da confiança digital. Dados usados por sistemas de IA devem estar protegidos em todas as fases, armazenamento, transmissão e processamento, com mecanismos que impeçam acesso não autorizado, mesmo em caso de comprometimento parcial do ambiente. Controles de acesso rigorosos, segregação de funções e políticas claras sobre quem pode interagir com dados e modelos não são opcionais. Em ambientes mais maduros, a IA analisa informações já protegidas, muitas vezes anonimizadas ou pseudonimizadas, reduzindo drasticamente o risco de exposição de dados pessoais. A lógica é simples, mas crucial: quanto mais inteligente o sistema, mais restrito deve ser o acesso aos dados que o alimentam.
Governança é o verdadeiro diferencial
A tecnologia, sozinha, nunca resolverá o dilema entre segurança e privacidade. O fator decisivo, e onde os projetos podem dar certo ou fracassar, é a governança. Isso inclui regras transparentes sobre coleta, uso e retenção de dados, mecanismos de auditoria que funcionem na prática, explicabilidade real dos modelos e supervisão humana constante.
No setor público, decisões automatizadas precisam ser rastreáveis e justificáveis. Não basta que um sistema indique uma ameaça; é preciso poder explicar por quê, com base em quais critérios e sob quais limites legais e institucionais. Os projetos bem-sucedidos são aqueles em que a IA nasce integrada a políticas de segurança da informação, proteção de dados e compliance, não como uma camada adicionada posteriormente para resolver problemas.
Um novo equilíbrio para a defesa digital
A inteligência artificial já é parte do presente da cibersegurança governamental. Ignorá-la significa aceitar níveis de risco incompatíveis com a relevância dos serviços públicos digitais. Ao mesmo tempo, adotá-la sem critérios claros compromete o ativo mais valioso do Estado: a confiança do cidadão.
O caminho viável, pelo que tenho visto nos casos que funcionam, passa por um equilíbrio pragmático. IA para ampliar visibilidade e resposta. Criptografia para proteger o que é sensível. Governança para garantir limites, transparência e responsabilidade.
A pergunta, portanto, não é mais se o setor público deve usar IA para se defender, mas como fazer isso sem cruzar linhas que não podem ser cruzadas. É uma linha tênue, mas é nela que trabalhamos todos os dias.
*Por José Ricardo Maia Moraes, CTO da Neotel.
