Recentemente, um incidente envolvendo a CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos trouxe à tona uma questão crítica sobre a utilização de IA pública. O diretor da agência introduziu documentos internos, classificados como “for official use only”, numa versão pública do ChatGPT. Este episódio expõe uma contradição alarmante: apesar de falarmos constantemente sobre riscos e resiliência tecnológica, a realidade mostra que estamos despreparados para lidar com as implicações práticas do uso diário destas ferramentas.
A banalização do uso de sistemas de IA pública em contextos que exigem confidencialidade e controlo é um sinal preocupante. A classificação de informação como “for official use only” existe precisamente para proteger dados sensíveis de potenciais consequências negativas. Se essa informação não fosse crítica, seria pública por definição. No entanto, as plataformas de IA generativa estão a ser tratadas como extensões naturais dos ambientes institucionais, quando, na verdade, são sistemas externos, sem a segurança necessária e regidos por lógicas comerciais que não têm em conta o interesse público.
A defesa de que “não há evidência de que os dados tenham sido acedidos ou explorados” é uma abordagem intelectualmente preguiçosa. A segurança não deve ser avaliada apenas pelos danos visíveis; começa nas superfícies de ataque criadas. O simples fato de a informação ter saído do ambiente governamental já constitui uma falha. Esperar pela prova do prejuízo para reconhecer um erro é uma lógica que, durante anos, normalizou incidentes de segurança até se tornarem crises.
Um exemplo claro é o caso da DeepSeek, uma solução de chat com IA que, em 2025, teve uma base de dados exposta, revelando conversas de utilizadores e credenciais sensíveis na internet. Este episódio ilustra a fragilidade das promessas de segurança feitas por fornecedores de tecnologia.
O mais alarmante é que este comportamento ocorre precisamente nas instituições que deveriam estar à frente da proteção de dados sensíveis. Se uma agência responsável pela cibersegurança trata uma IA pública como um espaço aceitável para trabalhar com informação sensível, que mensagem isso passa para o resto da administração pública? Isso sugere que as regras são opcionais e que a conveniência pode justificar riscos inaceitáveis.
Este debate não se trata de proibir a IA ou travar a inovação, mas sim de maturidade digital. A adoção apressada de ferramentas poderosas, sem um enquadramento claro, cria riscos sistémicos. Hoje, lidamos com documentos sensíveis; amanhã, poderemos estar a expor dados pessoais ou decisões automatizadas que nunca deveriam ter saído de sistemas fechados.
A verdade desconfortável é que a maior ameaça da IA pública não é a tecnologia em si, mas a ilusão de controlo que ela proporciona. A crença de que sabemos o suficiente para usar estas ferramentas com segurança é enganadora. Na prática, estamos apenas a improvisar políticas à medida que surgem os incidentes. Este cenário é preocupante, pois revela como até profissionais experientes podem subestimar os riscos associados ao uso diário de tecnologias que se tornaram banais.
Na nossa organização, temos promovido a formação e capacitação das equipas para o uso responsável de ferramentas digitais e de IA pública. Este esforço estende-se também aos nossos clientes, através de workshops e iniciativas de sensibilização sobre os limites da conveniência e os riscos que dela advêm. A experiência mostra que a maioria dos incidentes não resulta de intenções maliciosas, mas de decisões mal-enquadradas.
A governação da IA não pode ser implementada apenas após um incidente, nem pode ser delegada exclusivamente aos fornecedores de tecnologia. O caso da CISA serve como um alerta claro: não podemos construir dependência antes de estabelecer uma governança sólida. Em Portugal, dizemos: “melhor prevenir do que remediar”.
Leia também: A importância da cibersegurança nas instituições públicas.
Leia também: Negócios “Entediantes” Podem Gerar Grandes Lucros
Fonte: Sapo
