IA e cibersegurança: proteção reforçada vs riscos acrescidos

Em 2026, nenhuma empresa ficará de fora da utilização de inteligência artificial (IA), seja porque os seus colaboradores recorrerão a IA em ferramentas não oficiais da empresa, seja porque a empresa, ciente de que tem de entrar neste comboio, avança com implementações apressadas e que muitas vezes dispensaram avaliações prévias recomendáveis. Se é evidente que a IA traz ganhos de eficiência e, nalguns casos, de inovação, tudo isto vem acompanhado de uma multiplicidade de riscos emergentes.

Nesse contexto, e especialmente para entidades críticas do ponto de vista social e económico, como os setores abrangidos pela Diretiva NIS 2 ou pelo Regulamento DORA – como energia, transportes, banca, infraestruturas digitais, saúde, água, resíduos e indústria transformadora – a cibersegurança e a gestão do risco (incluindo a utilização de IA) deixaram de estar confinadas a departamentos técnicos e passaram para o centro da governação multidisciplinar, ascendendo ao estatuto de fator de viabilidade empresarial. O ataque de ransomware à Colonial Pipeline, nos EUA, em 2021, que levou à suspensão temporária do maior oleoduto de combustíveis do país, interrompendo o abastecimento na Costa Leste e motivando a declaração de estado de emergência, é um exemplo da dimensão sistémica que um ciberataque pode assumir.

A cibersegurança deixou de ser apenas um risco tecnológico para se tornar uma prioridade de gestão operacional, alicerçada nas melhores soluções em matéria de supervisão e na necessidade de antecipar ameaças num ambiente regulatório cada vez mais exigente, tendo a IA uma função dúplice.

Na cibersegurança, como noutras áreas operacionais, a IA funciona simultaneamente como reforço da resiliência operacional e como amplificador de risco, introduzindo novas superfícies de ataque e vulnerabilidades emergentes. Por um lado, a sua adoção possibilita uma deteção proativa de ameaças em tempo real, acelera processos de análise e resposta e automatiza tarefas críticas, permitindo que as equipas se concentrem em funções estratégicas de maior valor num ecossistema cada vez mais dinâmico e exigente. Por outro lado, a IA tem vindo a ser utilizada pelos atacantes para tornar os ciberataques cada vez mais sofisticados e de (cada vez mais) difícil resolução.

Tanto o Regulamento DORA como a NIS 2, transposta em Portugal pelo Decreto-Lei n.º 125/2025, exigem, em primeira linha, que as entidades abrangidas realizem uma análise minuciosa e contínua do risco a que estão expostas no seu setor de atividade, incluindo os riscos associados à utilização de IA, quer na utilização interna pelos colaboradores, quer por agentes externos maliciosos. A análise dos riscos de IA exigirá uma aposta reforçada na formação interna, sendo essa uma responsabilidade primordial dos órgãos de gestão que, nos termos da NIS 2 e do DORA, devem estar cada vez mais envolvidos na promoção da formação dos seus colaboradores e na promoção de uma cultura organizacional orientada para a resiliência.

A aprovação das medidas de gestão de riscos de cibersegurança, a supervisão da sua aplicação e a garantia da formação contínua são algumas das responsabilidades que, quando ignoradas pela gestão de topo, podem gerar responsabilidade pessoal “por ação ou omissão, com dolo ou culpa grave”. No setor financeiro, o DORA atribui igualmente ao órgão de administração a responsabilidade final pelo risco dos serviços de TIC e pela garantia da continuidade de negócio.

Assim, a integração da IA na cibersegurança tornou-se um pilar da resiliência operacional, elevando a capacidade de deteção e resposta e exigindo uma gestão de risco mais ágil e contínua. Para as entidades sujeitas à NIS 2 e ao DORA, esta evolução implica a incorporação sistemática das vulnerabilidades emergentes associadas à IA. Mais, à medida que estas tecnologias se consolidam como instrumentos centrais de monitorização, deteção e resposta a incidentes, o seu uso deixa de ser uma opção tecnológica para passar a representar um critério relevante na aferição da diligência exigível aos órgãos de administração, com impacto direto na avaliação da responsabilidade em matéria de cybersecurity governance.