*Por Glauco Sampaio
Durante muito tempo, o risco humano foi tratado pelas empresas como um problema ligado ao usuário final, normalmente associado a golpes de phishing, credenciais de acesso ou falhas operacionais. A IA começa a deslocar esse risco para uma camada menos visível da operação porque parte das decisões passou a ser influenciada por respostas automatizadas que nem sempre são interpretadas, contextualizadas ou validadas pelas equipes.
CONTEÚDO RELACIONADO – Netskope lança plataforma para identificar riscos e automatizar resposta a incidentes de IA
As áreas de segurança passaram a lidar com mais alertas e análises automatizadas, mas nem sempre conseguem entender o que levou um usuário ou atividade a ser classificada como risco.
Quando a organização não consegue interpretar esse contexto, a resposta costuma cair no caminho mais fácil. Todo mundo recebe o mesmo treinamento, as mesmas campanhas e os mesmos controles, mesmo quando os níveis de exposição são completamente diferentes. A empresa mantém uma rotina intensa de treinamento e campanha, mas os mesmos comportamentos continuam aparecendo no dia a dia.
O risco não desaparece com automação
A popularização da IA generativa deixou esse cenário mais evidente. Em muitas empresas, usuários passaram a confiar nas respostas produzidas pelos modelos sem validar contexto, origem ou consistência das informações.
Um dos casos mais emblemáticos aconteceu em Hong Kong, em 2024, quando um funcionário de uma multinacional participou de uma videoconferência com supostos executivos da empresa e autorizou transferências de cerca de US$ 25 milhões acreditando estar diante de uma reunião legítima. Depois, descobriu-se que os participantes eram deepfakes gerados por IA.
Casos como esse mostram que o risco humano não desaparece com automação. Ele passa a operar de outra forma dentro das organizações. O problema deixa de estar apenas no erro operacional clássico e passa a envolver decisões tomadas a partir de contextos manipulados ou respostas automatizadas que deixam de ser questionadas.
O fator humano continua influenciando diretamente a maior parte dos incidentes. O Data Breach Investigations Report 2026, da Verizon, mostra que cerca de 62% das violações analisadas envolveram interação humana, principalmente em situações ligadas a credenciais, engenharia social e erros operacionais. A diferença é que agora parte dessas decisões acontece mediada por sistemas automatizados e respostas produzidas por IA.
IA explicável ajuda a interpretar contextos
É aí que a IA explicável (Explainable Artificial Intelligence – XAI) ganha relevância. Empresas passaram a precisar de análises que ajudem a entender os “porquês” das análises antes de decidir o que fazer com os alertas.
Quando a área de segurança da informação entende por que determinado comportamento foi classificado como crítico, consegue responder de forma mais precisa. Em vez de aplicar ações amplas para toda a organização, passa a atuar nos grupos mais expostos, nos processos mais vulneráveis e nos padrões que realmente aumentam os riscos.
Identificar as vulnerabilidades sem entender comportamento costuma gerar respostas superficiais e pouco aderentes ao que acontece na operação. Sem contexto, a tendência é repetir ações pouco efetivas e continuar acumulando alertas sem alterar o cenário de risco da companhia.
Essa discussão também apareceu na RSA Conference deste ano. O foco já não estava apenas na capacidade da IA detectar ameaças mais rápido, mas em como o comportamento humano continua influenciando diretamente a superfície de ataque. Tecnologia continua importante, mas contexto e interpretação passaram a ter um peso muito maior dentro das estratégias de segurança.
Gestão de risco humano
Esse ponto também revela uma limitação dos modelos tradicionais de conscientização de segurança cibernética. Participação em treinamentos, volume de campanhas ou engajamento em plataformas não significam, necessariamente, redução dos riscos.
A forma como usuários reagem a situações de risco está muito mais ligada ao contexto operacional, ao nível de pressão e à rotina de trabalho do que apenas ao volume de informação recebido. Ou seja, gestão de risco humano não se resume a treinamento. Depende da capacidade de compreender comportamentos, interpretar contextos e transformar análise em decisão prática.
A IA explicável ajuda nessa transição ao conectar o comportamento humano aos modelos formais de gestão de risco, permitindo decisões mais aderentes à realidade operacional das companhias.
Quanto mais decisões forem mediadas por IA, mais importante será manter pessoas capazes de interpretar contexto, validar informações e questionar respostas automatizadas. Sem isso, a empresa troca velocidade por confiança cega. *Glauco Sampaio é CEO da Beephish.
Este artigo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Portal IPNews.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn, X e WhatsApp
