Por muito tempo, o risco humano nas empresas foi visto como um problema do usuário final, ligado a golpes de phishing, falhas na segurança de credenciais ou erros operacionais. Agora, a ascensão da Inteligência Artificial está reposicionando essa questão para uma camada menos visível da operação.
Com a IA, parte das decisões é influenciada por respostas automatizadas que, muitas vezes, não são devidamente interpretadas, contextualizadas ou validadas pelas equipes. Isso sobrecarrega as áreas de segurança, que se deparam com um aumento de alertas e análises, mas nem sempre conseguem entender o motivo por trás da classificação de um usuário ou atividade como risco.
Quando a organização falha em interpretar esse contexto, a solução costuma ser a mais simples: todos recebem o mesmo treinamento, as mesmas campanhas e os mesmos controles, ignorando que os níveis de exposição podem ser completamente diferentes. O resultado? Uma rotina intensa de treinamentos e campanhas, mas os mesmos comportamentos de risco persistem no dia a dia.
O risco não desaparece com a automação
A popularização da IA generativa escancarou essa realidade. Em várias empresas, usuários passaram a confiar cegamente nas respostas geradas pelos modelos, sem questionar o contexto, a origem ou a consistência das informações.
Um caso que virou notícia global aconteceu em Hong Kong, em 2024. Um funcionário de uma multinacional participou de uma videoconferência com supostos executivos da empresa e autorizou transferências que somavam cerca de US$ 25 milhões. Ele acreditava estar em uma reunião legítima, mas depois descobriu que os participantes eram deepfakes criados por IA.
Casos como esse mostram que o risco humano não desaparece com automação. Ele passa a operar de outra forma dentro das organizações. O problema deixa de estar apenas no erro operacional clássico e passa a envolver decisões tomadas a partir de contextos manipulados ou respostas automatizadas que deixam de ser questionadas.
O fator humano continua sendo um peso pesado na maioria dos incidentes. O Data Breach Investigations Report 2026, da Verizon, revelou que cerca de 62% das violações analisadas envolveram alguma interação humana, principalmente em situações de credenciais, engenharia social e erros operacionais. A grande diferença agora é que parte dessas decisões acontece mediada por sistemas automatizados e respostas geradas por IA.
IA explicável ajuda a interpretar contextos
É aqui que a IA explicável (Explainable Artificial Intelligence – XAI) entra em campo. Empresas agora precisam de análises que ajudem a desvendar os “porquês” por trás das análises antes de decidir o que fazer com os alertas. A XAI oferece a transparência necessária para entender como e por que um sistema de IA tomou uma decisão específica, o que é crucial para mitigar riscos.
Quando a área de segurança da informação compreende por que um comportamento específico foi classificado como crítico, ela pode responder de forma muito mais precisa. Em vez de aplicar ações genéricas para toda a organização, consegue atuar nos grupos mais expostos, nos processos mais vulneráveis e nos padrões que realmente elevam os riscos.
Identificar vulnerabilidades sem entender o comportamento subjacente geralmente leva a respostas superficiais e pouco eficazes para a operação. Sem contexto, a tendência é repetir ações pouco produtivas e continuar acumulando alertas sem, de fato, mudar o cenário de risco da companhia.
Essa discussão também foi um dos temas quentes da RSA Conference deste ano. O foco não estava apenas na capacidade da IA de detectar ameaças mais rapidamente, mas em como o comportamento humano continua influenciando diretamente a chamada superfície de ataque. A tecnologia, claro, permanece importante, mas o contexto e a interpretação ganharam um peso muito maior nas estratégias de segurança.
Gestão de risco humano
Esse cenário expõe uma limitação notável nos modelos tradicionais de conscientização em segurança cibernética. A participação em treinamentos, o volume de campanhas ou o engajamento em plataformas não significam, necessariamente, uma redução dos riscos.
A forma como os usuários reagem a situações de risco está muito mais conectada ao contexto operacional, ao nível de pressão e à rotina de trabalho do que apenas à quantidade de informação recebida. Em outras palavras, a gestão de risco humano não se resume a treinamentos. Ela depende fundamentalmente da capacidade de compreender, em profundidade, como os colaboradores interagem com os sistemas e as informações em seu dia a dia.