O custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões, enquanto em 2024 o custo foi de R$ 6,75 milhões, um aumento de 6,5%, marcando uma pressão adicional sobre as equipes de segurança cibernética que enfrentam desafios altamente complexos. Setores como Saúde, Finanças e Serviços lideraram a lista dos mais impactados, registrando custos médios de R$ 11,43 milhões, R$ 8,92 milhões e R$ 8,51 milhões, respectivamente. Os dados são do relatório anual Cost of a Data Breach (CODB), da IBM, divulgado nesta quarta-feira, 30/7.

O relatório aponta que no Brasil, as organizações que adotam extensivamente IA e automação seguras relataram custos médios de R$ 6,48 milhões, enquanto aquelas com implementação limitada apresentaram custos de R$ 6,76 milhões. Para empresas que ainda não utilizam essas tecnologias, o custo médio subiu para R$ 8,78 milhões, destacando as vantagens da IA no fortalecimento da segurança cibernética.

Além de avaliar os fatores que elevam os custos, o Relatório Cost of a Data Breach de 2025 analisou elementos que podem reduzir os impactos financeiros de uma violação de dados. Entre as iniciativas mais eficazes, estão a implementação de inteligência de ameaças (que reduziu custos em uma média de R$ 655.110) e o uso de tecnologia de governança de IA (R$ 629.850).

Mesmo com essa redução significativa de custos, o relatório constatou que apenas 29% das organizações estudadas no Brasil utilizam tecnologia de governança de IA para mitigar riscos associados a ataques a modelos de IA. De modo geral, a governança e a segurança de IA estão sendo amplamente ignoradas, com 87% das organizações estudadas no Brasil relatando não possuir políticas de governança de IA em vigor e 61% sem controles de acesso à IA.

O relatório também identificou as causas iniciais mais frequentes de violações de dados no Brasil. Phishing se destacou como o principal vetor de ameaça, representando 18% das violações, resultando em um custo médio de R$ 7,18 milhões. Outras causas significativas incluem comprometimento de terceiros e da cadeia de suprimentos (15%, com custo médio de R$ 8,98 milhões) e exploração de vulnerabilidades (13%, com custo médio de R$ 7,61 milhões). Credenciais comprometidas, erros internos (acidentais) e infiltrados mal-intencionados também foram relatados como causas de violações, demonstrando a ampla gama de desafios enfrentados pelas organizações na proteção de dados.

Outras descobertas globais do relatório Cost of a Data Breach de 2025:

• 13% das organizações relataram violações envolvendo modelos ou aplicações de IA, enquanto 8% não sabiam se haviam sido comprometidas dessa forma. Das organizações comprometidas, 97% relataram não ter controles de acesso para IA em vigor.

• 63% das organizações violadas não possuem uma política de governança de IA ou ainda estão desenvolvendo uma. Entre aquelas com políticas, apenas 34% realizam auditorias regulares para detectar o uso não autorizado de IA.

• Uma em cada cinco organizações relatou uma violação devido à shadow IA, e apenas 37% possuem políticas para gerenciar ou detectar essa tecnologia. Organizações que utilizaram altos níveis de shadow IA observaram uma média de US$ 670.000 a mais em custos de violação em comparação com aquelas com baixos níveis ou sem IA oculta. Incidentes de segurança envolvendo IA oculta levaram ao comprometimento de mais informações de identificação pessoal (65%) e propriedade intelectual (40%) em comparação com a média global (53% e 33%, respectivamente).
  · 16% das violações estudadas envolveram hackers utilizando ferramentas de IA, frequentemente para ataques de phishing ou deepfake.
   

• O custo financeiro de uma violação
  · Custos de violação de dados. O custo médio global de uma violação de dados caiu para US$ 4,44 milhões, a primeira queda em cinco anos, enquanto o custo médio de uma violação nos EUA atingiu o recorde de US$ 10,22 milhões.
  · Ciclo de vida global de uma violação atinge tempo recorde. O tempo médio global para identificar e conter uma violação (incluindo a restauração do serviço) caiu para 241 dias, uma redução de 17 dias em relação ao ano anterior, à medida que mais organizações detectaram a violação internamente. As organizações que detectaram a violação internamente também economizaram US$ 900.000 em custos de violação em comparação com aquelas notificadas por um invasor.
  · Violações na área da saúde continuam sendo as mais caras. Com uma média de US$ 7,42 milhões, as violações no setor de saúde permaneceram as mais caras entre todos os setores estudados, mesmo com uma redução de US$ 2,35 milhões nos custos em comparação com 2024. Violações neste setor levam mais tempo para serem identificadas e contidas, com um tempo médio de 279 dias, mais de 5 semanas acima da média global, de 241 dias.
  · Fadiga do pagamento de resgate. No ano passado, as organizações resistiram cada vez mais às demandas de resgate, com 63% optando por não pagar, em comparação com 59% no ano anterior. À medida que mais organizações se recusam a pagar resgates, o custo médio de um
  incidente de extorsão ou ransomware permanece alto, especialmente quando divulgado por um invasor (US$ 5,08 milhões).
  · Aumento de preços pós-violações. As consequências de uma violação continuam a se estender além da contenção. Embora em queda em relação ao ano anterior, quase metade de todas as organizações relataram que planejavam aumentar o preço de bens ou serviços devido à violação, e quase um terço relatou aumentos de preços de 15% ou mais.
  · Estagnação nos investimentos em segurança em meio ao aumento dos riscos da IA. Houve uma redução significativa no número de organizações que relataram planos de investir em segurança após uma violação: 49% em 2025, em comparação com 63% em 2024. Menos da metade das que planejam investir em segurança pós-violação se concentrarão em soluções ou serviços de segurança baseados em IA.

“Nosso estudo mostra que já existe uma lacuna preocupante entre a rápida adoção da IA e a falta de governança e segurança adequadas, e agentes mal-intencionados estão explorando esse vácuo. A ausência de controles de acesso em modelos de IA expôs dados sensíveis e aumentou a vulnerabilidade das organizações. Empresas que subestimam esses riscos não estão apenas colocando informações críticas em risco, mas também comprometendo a confiança em toda a operação”, explica Fernando Carbone, Sócio de Serviços de Segurança da IBM Consulting na América Latina.