Agentes de Inteligência Artificial (IA) e resiliência digital: quanto mais inteligente a IA, mais crítica a governação

O World Economic Forum (WEF) no relatório AI Agents in Action de 2025, refere que 82% das organizações respondentes, planeiam integrar agentes de Inteligência Artificial (IA) nos próximos um a três anos. O investimento anual em IA deverá crescer 31,9% até 2029, impulsionado pelo crescimento de aplicações e sistemas com IA baseada em agentes (Agentic AI) e plataformas associadas, devendo atingir 1,3 biliões de USD em 2029 (estimativa IDC, 2025). Segundo o WEF, estes agentes IA, que tenderão cada vez mais a atuar de forma conjunta e orquestrada, podem variar quanto à função, à previsibilidade (estabilidade e repetibilidade de desempenho), à autonomia (capacidade de decidir quando e como agir face a um objetivo, adaptando-se a condições voláteis sem intervenção humana), à autoridade (nível de permissões/autorizações p.e., para usar ferramentas, aceder e interagir com sistemas e bases de dados e executar transações) e ao contexto operacional em que se inserem (desde simples e previsíveis a complexos, incertos e dinâmicos), donde resultarão diferentes níveis de risco associados, bem como novos riscos, como seja desalinhamento de objetivos, desvio comportamental, uso indevido de ferramentas e falhas emergentes de coordenação entre agentes IA.

No que concerne à cibersegurança, o WEF sublinha que os agentes não substituem os desafios existente: ampliam-nos, reconfiguram-nos e adicionam camadas de risco.

Ao invocarem autonomamente ferramentas e comunicarem através de fronteiras organizacionais, integrando serviços externos, bases de dados e até outros agentes nos fluxos de trabalho corporativos, multiplicam identidades, credenciais e pontos de acesso e interligação, introduzem novas dependências externas e interfaces adicionais, e com isso ampliam as possibilidades de ataque.

O WEF, no Global Cybersecurity Outlook 2026, refere que 94% dos respondentes estimam que a IA será o maior fator de mudança em cibersegurança no próximo ano, e 87% identificaram vulnerabilidades associadas a IA como o ciber-risco com maior crescimento em 2025.

A Agência da União Europeia para a Cibersegurança (ENISA) no relatório Threat Landscape 2025, refere que entre os setores identificados, os mais expostos na UE são Administração Pública (38,2%), Transportes (7,5%), Infraestruturas/Serviços Digitais (4,8%), Finanças (4,5%) e Indústria (2,9%), e que no plano tático predomina DDoS (Distributed Denial of Service) e por vetores como phishing e exploração de vulnerabilidades, cada vez mais massificados com recurso a IA e agentes de IA.

O caso sofisticado de ciberespionagem perpetrado por um grupo patrocinado pelo Estado chinês contra a Anthropic, em setembro de 2025, é real e ilustrativo: agentes de IA que utilizavam Claude Code, com elevada autonomia na identificação, validação e exploração de vulnerabilidades, movimento lateral, recolha de credenciais, análise de dados e extração, e executaram entre 80% e 90% do trabalho tático, ficando a intervenção humana praticamente limitada à supervisão estratégica.

O relatório Cyber Horizon 2025 emitido pelo Global Cybersecurity Forum (GCF), com base nas respostas de 870 profissionais de cibersegurança a nível global, alerta também para os riscos associados à concentração crescente do poder tecnológico, riscos emergentes de disrupção de sistemas autónomos interligados e à proliferação de identidades sintéticas, entre outros.

O caso da atualização automática do sensor Falcon pela Crowdstrike, que desencadeou 8,5 milhões de falhas críticas do sistema Windows a nível global, afetou simultaneamente companhias aéreas, bancos, hospitais e serviços governamentais, gerando perdas estimadas globais em cerca de 10 mil milhões USD, e prejuízos apenas no Reino Unido estimados entre 1,7 e 2,3 mil milhões de libras, é bem elucidativo de como infraestruturas digitais concentradas amplificam a velocidade, a escala e o alcance das disrupções, transformando falhas localizadas em choques globais.

Em consequência, as 500 maiores empresas dos Estados Unidos reportaram cerca de 5,4 mil milhões USD em danos, dos quais apenas uma fração (entre 540 milhões e 1,08 mil milhões USD) estava segurada. A administração pública (33%), os serviços financeiros (31%) e os serviços de saúde (29%) são identificados como os três setores mais vulneráveis pelo estudo do GCF.

A IA generativa também tornou possível criar deepfakes de alta qualidade, vozes sintéticas e documentos falsificados a baixo custo. Grupos criminosos utilizam cada vez mais perfis gerados por IA ou entrevistas em vídeo com deepfakes para se infiltrarem em empresas sob a aparência de colaboradores legítimos, visando especialmente os serviços financeiros, portais governamentais e sistemas de saúde.

O caso Christina Chapman, referente a uma criadora de conteúdos do TikTok residente no Arizona, que operava secretamente uma “quinta de portáteis”, que serviu como porta de entrada para profissionais informáticos norte-coreanos se infiltrarem em empresas dos EUA e assim, segundo o Departamento de Justiça, canalizarem milhões de USD para o governo da Coreia do Norte, retratado no documentário da Bloomberg Originals “The Secret North Korean Workforce Inside US Companies”, é exemplificativo.

O GCF aponta possíveis respostas a estes desafios. A nível nacional, a criação de um organismo global de governação de cibersegurança, promoção de tecnologias open-source em infraestruturas críticas (para reduzir a dependência de poucos fornecedores e reforçar inovação e robustez sistémica através de transparência e colaboração), a imposição de interoperabilidade entre plataformas e sistemas de dados (para evitar bloqueios tecnológicos proprietários, facilitar mudança de fornecedores e diminuir vulnerabilidades associadas a pontos únicos de falha), investir em verificação de identidade avançada baseada em IA, modernizar sistemas nacionais de identificação digital com biometria, estabelecer padrões biométricos nacionais, entre outros.

A nível organizacional, sugerem o exercício de pressão regulatória para reforçar padrões de resiliência e responsabilização de grandes empresas tecnológicas, diversificação de fornecedores de serviços, integração de serviços de identificação digital certificados pelo Estado, introdução de protocolos regulares de revalidação de identidade, reforço das competências das equipas antifraude em técnicas relacionadas com identidades sintéticas, entre outros.

Os sinais convergem: agentes inteligentes, infraestruturas digitais concentradas e identidades sintéticas estão a redefinir a natureza do risco tecnológico, transformando incidentes locais em eventos sistémicos e decisões automatizadas em potenciais pontos de falha críticos.

Neste contexto, a cibersegurança assume-se como um pilar de estabilidade económica e institucional, deslocando o foco da pergunta estratégica de “quão avançada é a tecnologia” para “quão resiliente é o ecossistema que a suporta”. A resiliência coletiva tende a tornar-se um fator estrutural comparável à estabilidade financeira ou energética.

Paradoxalmente: quanto mais inteligentes se tornam os sistemas, mais indispensável se torna a inteligência humana na sua supervisão.

Num mundo em que a IA pode agir, decidir e executar, a questão deixa de ser tecnológica e passa a ser institucional: quem define limites, quem valida decisões e quem responde quando sistemas autónomos falham?