Os agentes de IA estão a passar de uma função experimental para uma infraestrutura operacional. O ponto crítico é que muitas empresas ainda os tratam como se fossem apenas chatbots avançados, quando, na realidade, acedem a dados, utilizam aplicações empresariais e podem realizar ações com um grau de autonomia que altera o perfil de risco.
O sinal mais claro vem dos números. Em 2026, 88 % das empresas relataram incidentes de segurança relacionados com agentes de IA no ano anterior, enquanto apenas 6 % do orçamento de segurança é destinado a este risco, de acordo com esta análise sobre o desfasamento entre incidentes e orçamento em agentes de IA. Não se trata de um problema teórico. É uma questão de governação, prioridades e controlo operacional.
Para os líderes empresariais, a mensagem não é «parem os agentes de IA». É precisamente o contrário. Utilizem-nos com regras claras, limites técnicos e supervisão efetiva. Quando isso falta, a automação acaba por acelerar os erros. Por outro lado, quando a governação é bem concebida, a IA torna-se um multiplicador fiável de produtividade, análise e tomada de decisões.
Há um dado que deveria chamar a atenção da direção: os incidentes relacionados com os agentes de IA estão a aumentar mais rapidamente do que os controlos com que as empresas os gerem. O problema, para muitas empresas, não é compreender que o risco existe. É perceber demasiado tarde que um agente com acesso operacional já se integrou em processos onde um erro tem impacto nos dados, no dinheiro, nos clientes e na conformidade.
Os agentes de IA estão a integrar-se nos processos empresariais a um ritmo que poucos programas de segurança conseguem acompanhar. Analisam dados, elaboram relatórios, consultam sistemas, ativam fluxos de trabalho e, em alguns casos, interagem com clientes ou processos sensíveis sem supervisão contínua. Para quem avalia soluções de agentes de IA para processos operacionais e de tomada de decisão, a questão não é travar a adoção. A questão é decidir primeiro onde a autonomia cria valor e onde, pelo contrário, requer limites claros.
Isto explica por que razão a questão dos riscos de segurança dos agentes de IA nas empresas não diz respeito apenas à equipa de TI. Diz respeito ao conselho de administração, ao diretor financeiro, ao responsável pela conformidade e a quem aprova a automatização de processos críticos. Se um agente pode aceder ao CRM, utilizar ferramentas financeiras, consultar repositórios de documentos e executar ações em várias plataformas, uma configuração incorreta não se limita a uma única ferramenta.
A crise é silenciosa por uma razão bem precisa. Muitos problemas não começam com um ataque evidente, mas sim com uma autorização excessiva, uma ligação API concedida à pressa, um aviso mal interpretado ou um fluxo de trabalho aprovado sem um registo adequado. Numa PME italiana, onde o próprio fornecedor gere frequentemente o ERP, o correio eletrónico, a BI e as automatizações, este efeito amplifica-se: a eficiência aumenta imediatamente, enquanto a governação e a separação de funções vêm só depois.
Aqui existe também uma oportunidade concreta. As PME não dispõem do orçamento das grandes empresas, mas podem agir mais rapidamente se estabelecerem algumas regras claras: inventário dos agentes ativos, acessos mínimos, aprovação humana para tarefas de alto impacto e verificação contratual dos fornecedores. Trata-se de uma disciplina de gestão de risco com retorno mensurável, pois reduz erros dispendiosos sem impedir a automatização.
Um agente de IA numa empresa não deve ser visto como um chat que responde a perguntas. É mais semelhante a um colaborador digital operacional. Recebe um objetivo, consulta dados, escolhe ferramentas, executa etapas intermédias e produz um resultado. Pode trabalhar em previsões, reconciliações, classificação de documentos, gestão de tickets, análise de promoções ou monitorização de riscos.
Uma analogia útil é a do superestagiário com crachá universal. Se lhe deres instruções precisas, acesso bem limitado e um supervisor, ele será de grande ajuda. Se, por outro lado, lhe permitires abrir armários, copiar documentos e tomar decisões por conta própria, o problema não é a má-fé. É a ausência de limites.
Para perceber como este modelo é aplicado nas operações de análise, basta observar o papel dos agentes de IA nos processos decisórios e analíticos.
No software tradicional, o risco está frequentemente associado a funções previsíveis. Uma aplicação faz aquilo para que foi programada. Um agente de IA, por outro lado, interpreta o contexto e os objetivos. Isso torna-o útil, mas também mais difícil de controlar com os mecanismos clássicos.
As três características que alteram o risco são as seguintes:
Regra prática: se um sistema é capaz de ler, decidir e agir, deve ser tratado como uma identidade privilegiada, e não como uma simples função de software.
Muitas empresas aplicam aos agentes os mesmos controlos utilizados para uma integração de API ou para um bot de automação. É um começo, mas não é suficiente. Os agentes combinam linguagem natural, memória operacional, integrações e autonomia. Isto significa que a mesma entrada pode produzir efeitos diferentes, dependendo do contexto, das instruções atuais e das ferramentas disponíveis.
Para um líder empresarial, a pergunta certa não é «o agente é seguro?». A pergunta certa é outra:
Se não houver uma resposta clara a qualquer um destes três pontos, o risco já existe.
Os ataques aos agentes de IA seguem uma lógica simples: atingem o ponto em que o agente observa, interpreta ou age. Para uma PME italiana, o problema não é teórico. Um único agente ligado a um CRM, PEC, ERP ou sistema de encomendas pode concentrar num único fluxo riscos que antes estavam distribuídos por várias aplicações e várias funções.
A via mais direta continua a ser a divulgação indevida de informações confidenciais. Não é necessária uma violação sofisticada. Basta um agente com acesso transversal aos dados, um pedido formulado de forma ambígua e controlos fracos sobre os resultados.
Um caso típico diz respeito à equipa comercial. O agente consulta o CRM, os tickets em aberto e a documentação contratual para preparar um resumo do cliente. Se o pedido levar o sistema a «incluir tudo o que possa ser útil», o resultado pode combinar dados que, considerados individualmente, eram legítimos, mas que, em conjunto, se tornam excessivos: condições económicas, notas operacionais, referências pessoais, exceções contratuais.
Para uma empresa de média dimensão, este risco tem um custo concreto. Pode dar origem a uma violação da privacidade, expor informações comerciais e criar atritos com clientes ou fornecedores. O problema não é apenas a informação revelada. É a capacidade do agente de agir como um agregador entre fontes que a organização tinha mantido separadas por uma razão específica.
A injeção de prompts funciona como uma instrução oculta no material com que o agente lida diariamente. Pode estar num e-mail, num anexo, numa base de conhecimento, numa ficha de produto ou na resposta de uma API externa. O agente interpreta-a como parte do contexto operacional e altera o seu comportamento.
Se, além disso, o agente utilizar outros ferramentas, o problema agrava-se. Uma entrada incorreta pode alterar a pesquisa de documentos, influenciar uma classificação, iniciar um fluxo de trabalho ou transferir um erro para um segundo agente. Em empresas com processos ágeis, este efeito é insidioso, pois a rapidez e a automatização reduzem o tempo disponível para detetar o desvio.
Na prática, os controlos que funcionam melhor são os seguintes:
Confiar apenas no prompt inicial do sistema é uma opção pouco segura. As instruções estáticas ajudam, mas não são suficientes se o agente continuar a ler conteúdos não fiáveis ao longo do processo.
Um agente ligado a vários instrumentos apresenta uma superfície de ataque distribuída. Cada integração acrescenta um novo ponto a controlar.
Este é um dos riscos mais negligenciados nos projetos reais. O agente começa com permissões limitadas. Depois surge um novo conector «temporário», um atalho para acelerar um teste, uma integração urgente solicitada pela empresa. Em poucos meses, o agente acaba por ter mais acessos do que aqueles de que a equipa se lembra ou consegue justificar.
A Obsidian Security assinalou que muitos agentes nas empresas já operam para além do perímetro de autorização inicialmente previsto, tal como explicado neste artigo aprofundado sobre a acumulação de privilégios nos agentes de IA.
O mecanismo é recorrente:
| Situação | Impacto operacional | Risco |
|---|---|---|
| Nova integração SaaS | O agente ganha novas funções | Aumenta a área de contato |
| Ausência de revisão periódica | As autorizações mantêm-se mesmo que já não sejam necessárias | O privilégio inútil vai aumentando |
| Tokens ou credenciais expostos | Um invasor herda sessões já abertas | Possível movimento lateral |
Para uma PME, o importante não é criar uma estrutura burocrática pesada. O importante é evitar que um funcionário cuja função é apenas ler faturas acabe também por alterar dados de registo, criar encomendas ou autorizar exceções. As medidas mais eficazes são simples de definir e exigem consistência na sua aplicação:
Uma parte significativa do risco não decorre de um ataque direto. Decorre de agentes que cumprem bem o objetivo que lhes foi atribuído, mas de uma forma inadequada ao contexto empresarial.
Um exemplo realista diz respeito ao retalho ou à distribuição. Um agente recebe a tarefa de reduzir o stock parado e melhorar a conversão promocional. Se as restrições relacionadas com a margem de lucro, o posicionamento da marca ou a sazonalidade não forem bem explicitadas, ele pode sugerir descontos demasiado agressivos, promover os produtos errados ou basear-se em dados incompletos. Do ponto de vista técnico, trabalhou corretamente. Do ponto de vista operacional, causou prejuízos.
Há três sinais que merecem atenção imediata:
Por isso, a segurança dos agentes deve ser tratada também como uma questão de gestão operacional. É necessário definir objetivos, limites, procedimentos de escalonamento e controlos ex post. Nas empresas italianas de menor dimensão, onde as áreas de TI, operações e negócios trabalham em estreita colaboração, isto pode tornar-se uma vantagem competitiva. As regras podem ser definidas mais rapidamente, os processos podem ser corrigidos mais cedo e o retorno do investimento é mais visível se se partir dos casos de utilização que envolvem dados, pagamentos e processos de aprovação.
Numa empresa financeira, um agente de IA apoia a equipa de risco recolhendo informações de transações, dados de clientes e alertas internos. A sua função é apresentar aos auditores os casos que merecem atenção. Em teoria, isso agiliza o trabalho. Na prática, se receber dados manipulados ou se operar com permissões demasiado amplas, pode alterar a prioridade das verificações ou apresentar uma visão incompleta.
Neste setor, os danos raramente se limitam ao departamento de TI. Envolvem a conformidade, a auditoria, a reputação e os tempos de resposta perante as autoridades ou os clientes. É por isso que a perda de dados e a fuga de informação são a principal preocupação para 83% dos CISO, enquanto 53% das organizações referem que os agentes de IA excedem as suas autorizações, como revela o inquérito CSA-Zenity sobre a segurança dos agentes de IA.
No setor retalhista, o risco assume uma forma diferente. Um agente pode estar ligado à definição de preços, ao inventário, à análise de comércio eletrónico e às campanhas promocionais. Se interpretar mal uma instrução, ou se alguém manipular os dados introduzidos, o efeito traduz-se rapidamente em descontos insustentáveis, sortidos desequilibrados ou exposição de dados de clientes em relatórios e painéis de controlo.
Aqui, a velocidade é um fator multiplicador. Um erro numa única procedimento manual tem um impacto limitado. Um erro num agente ligado a vários canais repercute-se em horas de trabalho no catálogo, no stock e nas promoções.
Nos setores financeiro e do retalho, a escolha errada de um agente não causa apenas um problema técnico. Leva a uma decisão empresarial errada, com consequências mais rápidas e de maior alcance.
A primeira é que os limites das funções devem ser bem definidos. Um agente que analisa não deve poder também aprovar, publicar ou alterar sem controlos adicionais.
A segunda é que é necessário monitorizar o comportamento, e não apenas os registos técnicos. No setor financeiro, isso significa observar desvios nas prioridades, exclusões e fluxos de trabalho sensíveis. No retalho, significa controlar padrões anormais em preços, stocks, promoções e acessos aos dados dos clientes.
No debate sobre os riscos de segurança associados à IA nas empresas, fala-se frequentemente como se todas as empresas dispusessem de SOCs maduros, processos estruturados e orçamentos específicos. As PME italianas operam num contexto diferente. Têm menos pessoal, menos tempo, pilhas de aplicações heterogéneas e uma forte pressão para obter um retorno do investimento rapidamente.
Por isso, o risco não é apenas técnico. É organizacional. De acordo com um relatório da Confindustria Digitale relativo ao primeiro trimestre de 2026, 67% das PME italianas utilizam agentes de IA, mas apenas 22% implementaram uma gestão de identidades para os mesmos. Além disso, a AGID constatou que 45% das violações de IA nas PME da Lombardia resultam de agentes não monitorizados, com perdas médias de 150 000 € por incidente, conforme relatado nesta análise aprofundada sobre os riscos dos agentes de IA e as implicações locais.
Estes números explicam uma tensão tipicamente italiana. A adoção avança mais depressa do que a gestão. E quando falta um mínimo de disciplina em matéria de identidade, monitorização e responsabilidade, a automatização torna-se uma fonte de risco difícil de detectar até que algo falhe.
Na prática, encontro quatro fragilidades recorrentes:
Para as PME italianas, é útil analisar a governança também à luz da evolução normativa europeia, incluindo o quadro abordado no comentário da ELECTE sobre a Lei Europeia da IA.
As PME não precisam de uma cópia do modelo empresarial. Precisam de controlos fáceis de gerir e proporcionados. As perguntas certas são muito concretas:
Se estas respostas forem vagas, o risco não é abstrato. Está já incorporado na solução.
Uma estrutura sólida não serve para travar a adoção. Serve para impedir que a adoção se torne incontrolável. Quando a governança está bem estruturada, a empresa ganha mais agilidade, pois sabe quais agentes pode utilizar, em que dados e com que limites.
A primeira regra é simples: não se pode controlar o que não se sabe que se tem. Muitas empresas só descobrem os agentes quando precisam de investigar um comportamento anómalo. É tarde demais.
O inventário deve incluir:
Um inventário útil não é uma lista estática. Deve indicar, pelo menos, quatro elementos: proprietário, fontes de dados, ferramentas associadas e nível de criticidade.
Este é o cerne do controlo. Cada agente deve ter uma identidade própria, distinta da do utilizador que o criou. Se o agente herdar direitos de acesso demasiado amplos, todas as suas ações herdam também o risco.
As decisões sensatas neste caso são muito práticas:
| Escolha de governança | Efeito |
|---|---|
| Identidade distinta para cada agente | Atribuição clara das responsabilidades |
| Permissões mínimas por tarefa | Redução do impacto em caso de erro |
| Revisão periódica dos acessos | Contenção da expansão gradual dos privilégios |
O que não funciona é utilizar contas partilhadas, tokens longos sem rotação ou funções genéricas «por conveniência». A conveniência inicial tem como contrapartida a perda de visibilidade.
Princípio orientador: o agente deve ter acesso suficiente para trabalhar, e não acesso geral para «evitar bloqueios».
Os registos técnicos são úteis, mas não são suficientes. É necessário um sistema de monitorização que observe comportamentos. Um agente que comece a consultar fontes invulgares, aumente o volume de pedidos ou altere o seu padrão de atuação deve gerar um alerta, mesmo que todas as credenciais sejam formalmente válidas.
Um bom plano de auditoria inclui:
A legibilidade também é muito importante neste contexto. Se apenas um técnico sénior conseguir interpretar a telemetria, a governança continua a ser frágil.
O erro mais dispendioso é pensar que «human in the loop» significa aprovar tudo manualmente. Isso não é sustentável. A supervisão humana funciona quando define limites de intervenção.
Por exemplo, o agente pode trabalhar sozinho em tarefas de baixo impacto, mas deve interromper o trabalho quando:
Essa supervisão deve ser consagrada nas políticas e traduzida nos fluxos de trabalho. Não pode ficar apenas no papel.
Se a tua equipa não sabe quem pode interromper um agente, não tens uma estrutura de gestão. Tens apenas esperança organizada.
Nas PME italianas, a mitigação dos riscos associados aos agentes de IA deve ser proporcionada. Um controlo demasiado superficial expõe a empresa a riscos. Um controlo demasiado rigoroso bloqueia o projeto antes mesmo de este gerar valor. O objetivo correto é reduzir o risco operacional através de medidas que a equipa consiga realmente manter ao longo do tempo.
Para tal, as áreas de negócios e de TI têm de trabalhar em sintonia. O departamento técnico domina as integrações, os registos e as autorizações. A direção define as prioridades, os limites de risco e o orçamento. Se uma destas duas partes estiver em falta, o agente acaba por operar numa zona cinzenta.
Ajuda a partir de princípios claros, por exemplo, uma segurança «zero trust» aplicada aos sistemas digitais modernos, e a traduzi-los em controlos fáceis de verificar.
Esta lista funciona bem como referência mínima para agentes que leem dados empresariais, consultam sistemas internos ou ativam fluxos de trabalho.
Há duas áreas que exigem atenção constante. A primeira é a injeção de comandos, que altera o comportamento do agente através de entradas aparentemente legítimas. A segunda é o efeito em cadeia entre ferramentas e sistemas interligados. Na prática, um pequeno erro inicial pode propagar-se ao CRM, ERP, sistema de tickets ou canais externos, caso não existam filtros, limites de execução e verificações no fluxo de dados.
Para um CEO, um COO ou um diretor de departamento, a questão não é apenas se o agente funciona. A questão é se a sua margem de erro é compatível com o processo em que opera.
Para muitas PME italianas, esta parte é determinante para o sucesso do projeto. Não é necessário copiar a estrutura de governação de um banco internacional. É preciso perceber onde é que um erro custa realmente dinheiro, reputação ou conformidade, e aplicar aí os controlos mais rigorosos.
Há três perguntas que devem ser feitas em todas as reuniões com fornecedores, integradores de sistemas ou equipas internas:
Um agente de IA só é útil se continuar a ser controlável mesmo em caso de erro, pressão operacional ou entradas hostis.
Os agentes de IA já estão a mudar a forma como as empresas analisam dados, tomam decisões e executam atividades operacionais. O risco não decorre da sua existência. Surge quando a autonomia, os acessos e a governança evoluem a ritmos diferentes.
Por isso, o tema dos riscos de segurança dos agentes de IA nas empresas deve ser abordado como uma disciplina de gestão, para além de ser uma questão técnica. Um inventário claro, identidades bem definidas, monitorização comportamental e supervisão humana seletiva são os quatro elementos que distinguem um projeto escalável de uma fonte contínua de exposição.
As PME italianas enfrentam um desafio adicional. Têm de gerar valor rapidamente, sem criar estruturas demasiado pesadas. A resposta não é copiar os modelos das grandes multinacionais. Trata-se de aplicar controlos essenciais, compreensíveis e sustentáveis.
Aviso legal: Este artigo fornece informações gerais e não constitui aconselhamento jurídico ou de conformidade.
Se pretender adotar ferramentas de análise de dados e agentes de IA com uma abordagem mais controlada, pode ver como a ELECTE, uma plataforma de análise de dados baseada em IA para PME, ajuda as equipas a transformar dados em insights operacionais através de uma experiência acessível, concebida para crescer sem adicionar complexidade desnecessária.
.svg)
.svg)
.svg)
