Identidade: O Erro de US$ 10 Milhões (E por que a IA não vai te salvar)

O senso comum no mercado de tecnologia dita que a Inteligência Artificial é a “bala de prata” para todos os nossos problemas de segurança. No entanto, os dados recém lançados do Relatório RSA ID IQ de 2026 revelam uma realidade incômoda: enquanto corremos para implementar IA, estamos deixando a porta da frente, a identidade escancarada.

A Identidade falhou (e custou caro)

Os números globais são alarmantes. 69% das organizações relataram uma violação de identidade nos últimos três anos. Não se trata apenas de um aumento na frequência (um salto de 27 pontos percentuais em relação a 2025), mas de um aumento drástico no custo da inação.

Para quase um quarto das empresas (24%), o prejuízo de uma única violação ligada à identidade ultrapassou os US$ 10 milhões. Esse valor é mais do que o dobro do custo médio global de uma violação de dados comum, estimado em US$ 4,44 milhões pela IBM.

O Paradoxo da Cibersegurança: Ambientes Modernos, Métodos Arcaicos

Vivemos um descompasso tecnológico perigoso. O relatório mostra que:

• A infraestrutura mudou: 75% das empresas já operam em modelos híbridos.
• A autenticação estagnou: 90% das organizações enfrentam barreiras reais para migrar para o passwordless (autenticação sem senha).
• O “vício” nas senhas persiste: 57% das empresas ainda mantêm as senhas como seu principal método de autenticação.

Esse cenário é o que chamo de “Paradoxo da Identidade”. As empresas investem em nuvem e IA, mas continuam dependendo de segredos compartilhados que qualquer ataque de phishing básico pode comprometer.

O Fator Humano e o Help Desk: O Novo Alvo

Como Diretor de Tecnologia e Cibersegurança, vejo que o maior risco não é um malware sofisticado, mas a manipulação da confiança humana. O relatório destaca que 51% dos especialistas veem a engenharia social contra o help desk como o risco mais significativo.

Grupos criminosos como o Scattered Spider já demonstraram como é fácil burlar o MFA (Autenticação Multifator) ligando para um suporte técnico e se passando por um usuário legítimo. Sem verificação de identidade bidirecional, seu help desk pode estar, involuntariamente, abrindo as portas para o invasor.

IA: Multiplicador de Forças ou de Desastres?

Há um otimismo real: 83% das organizações acreditam que a IA ajudará mais na defesa do que no crime. Além disso, 91% planejam integrar IA em sua infraestrutura de segurança no próximo ano.

Mas aqui reside o perigo: A IA não corrige governança falha. Se você não controla quem acessa o quê, a IA apenas automatizará o desastre em uma escala e velocidade que seu time de segurança não conseguirá acompanhar.

O Caminho para a Ação

Para sair do “Mito do Zero Trust”, onde 93% das empresas ainda não atingiram o nível ideal de maturidade, o relatório sugere ações imediatas:

1. Priorizar o Passwordless: Eliminar as credenciais que os phishers tentam roubar.
2. Implementar ISPM: O Gerenciamento da Postura de Segurança de Identidade é essencial para identificar riscos em ambientes complexos antes que virem violações.
3. Proteger o Suporte: Adotar verificação bidirecional para proteger usuários e técnicos contra engenharia social.

A tecnologia não é o problema. O problema é a nossa hesitação em abandonar métodos que já provaram ser insuficientes.

Conclusão: Identidade é Inovação

A lição que o Relatório RSA de 2026 nos deixa é clara: a cibersegurança moderna não será vencida apenas com a ferramenta mais cara ou com o algoritmo de IA mais avançado. Ela será vencida por quem dominar o básico com excelência.

Para os líderes que estão planejando seus orçamentos de tecnologia hoje, o foco deve mudar da “defesa de perímetro” para a “governança de identidade”. Implementar IA sobre uma infraestrutura de senhas frágeis não é inovação, é negligência digital.

A verdadeira transformação ocorre quando a segurança se torna invisível para o usuário (através do passwordless) e impenetrável para o atacante (através do Zero Trust). Admitir que a identidade é hoje o nosso maior ponto cego é o primeiro passo para garantir que a inovação do amanhã não seja interrompida pelo erro de ontem