IA não cria o golpe. Ela escala o golpe.

Há duas narrativas igualmente equivocadas sobre inteligência artificial na cibersegurança.

A primeira é alarmista:

“Agora tudo mudou. A IA tornou o ataque imparável.”

A segunda é ingênua:

“Com IA, a defesa finalmente vai se automatizar sozinha.”

Nenhuma das duas descreve bem a realidade.

A IA não inventou o phishing, a fraude ou a engenharia social. Ela apenas removeu atrito, aumentou a escala e elevou o nível médio de convencimento.

E do lado da defesa, a IA não resolve o problema da decisão. Ela apenas ajuda a chegar mais rápido às decisões certas, quando existe governança.

Do lado do ataque: menos erro, mais volume

Golpes sempre funcionaram por probabilidade. Quanto mais tentativas, maior a chance de sucesso.

O que a IA fez foi simples e poderoso: reduziu erros de escrita, aumentou coerência contextual, permitiu variação quase infinita de mensagens, e diminuiu drasticamente o custo por tentativa.

O resultado não é um golpe “novo”. É o mesmo golpe, mais limpo, mais plausível e muito mais frequente.

Isso explica por que phishing e fraude continuam sendo tão eficazes: não porque as pessoas “ficaram mais ingênuas”, mas porque o ruído diminuiu.

A sofisticação não está na técnica. Está na persuasão.

Outro equívoco comum é associar IA ofensiva a exploits avançados.

Na prática, o maior ganho do atacante está na engenharia social: mensagens personalizadas, uso de contexto organizacional, simulação de urgência realista, e, cada vez mais, uso de voz e vídeo sintéticos.

O deepfake não substitui processos fracos. Ele apenas explora processos que já dependem de confiança e urgência.

Quando uma organização não tem validação fora de banda, separação clara de funções ou limites bem definidos, a IA só acelera o inevitável.

Do lado da defesa: IA não é escudo. É filtro.

Na defesa, o papel mais realista da IA não é “prever ataques”, mas organizar o caos.

Ambientes modernos produzem milhares de alertas, dezenas de fontes de sinal, e reports humanos em volume crescente.

A IA funciona melhor quando usada como mecanismo de priorização, classificador de eventos, redutor de ruído repetitivo, e acelerador de triagem.

Ela não decide sozinha. Ela prepara o terreno para que alguém decida melhor.

O risco do “piloto automático”

O erro mais perigoso é tratar a IA como substituta de julgamento.

Modelos podem errar com confiança. Podem falhar fora do padrão esperado. Podem amplificar viés ou dados ruins.

Quando uma organização delega decisão crítica à IA sem validação humana, ela não está se tornando mais madura, está apenas escondendo o risco atrás de automação.

A IA escala boas decisões, mas também escala decisões ruins.

Governança não é um detalhe técnico

É aqui que o debate sai do hype e entra na realidade.

A pergunta relevante não é: “Temos IA na segurança?”

É outra:

Quem valida decisões?

Quem responde quando a IA erra?

Onde a automação termina e a responsabilidade começa?

Quais processos continuam exigindo confirmação humana?

Sem respostas claras, IA vira apenas mais uma camada opaca. Com governança, ela vira multiplicador de capacidade operacional.

O ponto de equilíbrio

A IA é inevitável tanto no ataque quanto na defesa. Ignorá-la não é opção, mas tratá-la como solução mágica também não é.

Organizações maduras entendem que ataques continuarão explorando confiança, a IA tornará golpes mais eficientes, a defesa precisa responder mais rápido, e decisões críticas continuam sendo humanas.

No fim, IA não muda a essência do problema. Ela apenas aumenta a consequência das escolhas feitas.

Por isso, mais do que adotar IA, o desafio em 2026 é outro: garantir que as decisões que ela amplia sejam as decisões certas.

Fontes

ENISA — ENISA Threat Landscape 2025

CISA — New Best Practices Guide for Securing AI Data Released (22/05/2025)

CISA / parceiros — AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems

NIST — Artificial Intelligence Risk Management Framework (AI RMF 1.0) (PDF NIST AI 100-1)

Microsoft Learn — Phishing Triage Agent in Microsoft Defender