Entre em contato

Quando o uso indevido da IA ​​desencadeia uma crise corporativa

Líderes de pensamento

Quando o uso indevido da IA ​​desencadeia uma crise corporativa

mm
Publicado

A maioria das empresas não possui políticas para evitar desastres de reputação causados ​​por ferramentas de inteligência artificial.

Recentes pesquisas revelam Apenas cerca de 30% das empresas estabeleceram políticas de IA. Enquanto isso, 77% dos funcionários compartilham segredos da empresa no ChatGPT, de acordo com o relatório de 2025. Relatório sobre IA Empresarial e Segurança de Dados SaaS Por LayerX. Essa combinação cria as condições perfeitas para crises de reputação.

A maioria das políticas de IA existentes tende a se concentrar em riscos técnicos e de conformidade. Elas abordam protocolos de segurança de dados, avaliações de fornecedores e requisitos regulatórios. O que essas políticas frequentemente ignoram é o desastre de relações públicas que pode se desenrolar em questão de horas devido ao uso indevido da IA. Figueira vermelhaÀ medida que assessoramos um número crescente de organizações em crises relacionadas à IA, começamos a observar um padrão comum. A falha técnica geralmente é contida rapidamente, mas os danos à reputação, aos relacionamentos com clientes e à confiança das partes interessadas podem persistir por meses ou até anos.

O problema da IA ​​paralela

A maior ameaça vem daquilo que os profissionais de segurança chamam de “IA das sombrasÉ aqui que os funcionários usam contas de IA pessoais não autorizadas para tarefas de trabalho, burlando os controles de segurança corporativos. Na maioria das vezes, fazem isso sem perceber totalmente os riscos.

De acordo com a Cyberhaven pesquisa11% dos dados inseridos pelos funcionários no ChatGPT são confidenciais. Esse número deveria alarmar todos os CIOs e líderes de comunicação. Estamos falando de código-fonte, contratos com clientes, roteiros de produtos ainda não lançados, projeções financeiras e registros de funcionários que fluem para sistemas que as organizações não controlam.

Como ocorre a exposição de dados

Engenheiros de software podem recorrer a ferramentas de IA como Claude ou ChatGPT para depurar ou otimizar trechos de código. Em 2023, Engenheiros de software da Samsung E foi exatamente isso que fizeram: carregaram o código-fonte interno no ChatGPT enquanto tentavam depurar problemas. O vazamento do código confidencial obrigou a Samsung a implementar restrições abrangentes ao uso de IA em todos os departamentos de engenharia.

Profissionais de marketing e de RH frequentemente utilizam IA para aprimorar seus textos. Eles carregam rascunhos de propostas, documentos de políticas internas e, às vezes, até mesmo contratos com clientes, solicitando à IA que melhore a clareza ou corrija erros gramaticais. Esses documentos geralmente contêm projeções financeiras, termos jurídicos ou planos estratégicos que seriam valiosos para os concorrentes.

Equipes de atendimento ao cliente que experimentam ferramentas de IA para aumentar a eficiência às vezes inserem conversas reais com clientes e chamados de suporte. Elas querem que a IA resuma as interações ou sugira respostas melhores. Quando essas entradas incluem nomes de clientes, informações de contato, detalhes da conta ou histórico de compras, a empresa pode ter violado regulamentações de privacidade como o GDPR ou o CCPA.

As equipes de desenvolvimento de produtos, ao discutirem novas funcionalidades, podem descrever capacidades ainda não anunciadas ao ChatGPT, na esperança de que a IA ajude a refinar suas ideias ou a identificar possíveis problemas. Essas descrições podem revelar vantagens competitivas, inovações tecnológicas ou estratégias de mercado que a empresa pretendia manter em sigilo até o lançamento.

Todas essas informações poderiam potencialmente ser retidas por Grandes modelos de linguagem e informações para respostas de IA a outros usuários no futuro.

Por exemplo, depois que a equipe de desenvolvimento de produto descreve seu próximo produto para o ChatGPT, um concorrente ou jornalista pode perguntar à ferramenta de IA sobre os próximos lançamentos da empresa. O ChatGPT pode consultar as informações confidenciais compartilhadas e revelar detalhes sobre um novo produto ou tecnologia no qual a empresa investiu recursos consideráveis.

Como isso se transforma em uma crise de relações públicas

Quando esses incidentes surgem, raramente permanecem restritos a problemas de TI. Eis o que normalmente acontece:

A violação é descoberta, geralmente por acidente ou por meio de um alerta de terceiros. A equipe de TI inicia a investigação enquanto tenta avaliar a extensão do problema. Enquanto isso, se o incidente envolver dados de clientes ou informações regulamentadas, as obrigações legais exigem a divulgação. Uma vez divulgada, a cobertura da mídia começa. As redes sociais amplificam a história. Os clientes começam a ligar preocupados. Os funcionários se preocupam com a segurança do emprego e com sua própria responsabilidade.

Em 24 a 48 horas, o que começou como um incidente técnico se transforma em uma crise de reputação completa. A empresa precisa explicar a diversos públicos como isso aconteceu, por que os controles falharam e o que está sendo feito para evitar que se repita. Se a empresa não estiver preparada para esse cenário, a resposta costuma ser lenta, inconsistente ou defensiva. Cada passo em falso prolonga a crise e agrava os danos.

Construindo uma estrutura de resposta a crises para incidentes de IA

Os CIOs precisam trabalhar em parceria com as equipes de comunicação e jurídicas para desenvolver protocolos de resposta a crises específicos para incidentes de IA. Controles e políticas técnicas são importantes, mas insuficientes sem um plano para gerenciar as repercussões na mídia quando algo dá errado.

Aqui estão seis passos práticos para iniciar esse processo:

  1. Estabeleça canais de escalonamento claros. Quando uma exposição de dados relacionada à IA é descoberta, quem é notificado imediatamente? Os departamentos de TI, Jurídico, Comunicação e a alta administração devem ser envolvidos rapidamente. Crie uma árvore de decisão que determine quando ativar os protocolos de crise com base no tipo e na sensibilidade dos dados expostos.
  2. Desenvolver modelos de resposta. Elabore declarações preliminares e documentos de perguntas e respostas para cenários comuns de problemas com IA. Esses documentos devem abordar o uso indevido por funcionários, problemas de segurança de fornecedores e exposição acidental de dados. Ter modelos prontos permite respostas mais rápidas e consistentes quando o tempo é essencial.
  3. Porta-vozes da companhia ferroviária. Executivos e equipes de comunicação precisam de treinamento específico para lidar com incidentes envolvendo IA. A tecnologia é complexa e repleta de jargões, o que pode dificultar o esclarecimento de dúvidas das partes interessadas.
  4. Fique atento aos primeiros sinais de alerta. O monitoramento de mídias sociais deve incluir palavras-chave relacionadas à sua organização e às ferramentas de IA. Às vezes, o primeiro indício de um problema surge quando um funcionário publica algo no LinkedIn ou quando um cliente reclama no Twitter sobre uma resposta gerada por IA.
  5. Realizar simulações de crise. Exercícios de simulação que abordam um cenário de exposição de dados de IA ajudam as equipes a compreender seus papéis e a identificar lacunas no plano de resposta. Essas simulações devem envolver as áreas de TI, Jurídico, Comunicação, RH e a alta direção.
  6. Construa relacionamentos antes de precisar deles. Estabeleça conexões com empresas de comunicação de crise, especialistas em cibersegurança que possam fornecer validação por terceiros e assessoria jurídica com experiência em questões relacionadas à IA. Quando uma crise acontece, você precisa de consultores confiáveis ​​que possam se mobilizar imediatamente.

O caminho a seguir

O espaço entre Adoção de IA e Governança de IA O uso de IA continua a crescer. Os funcionários têm fácil acesso a ferramentas poderosas que podem gerar riscos significativos para a reputação. Tradicionalmente, os CIOs têm se concentrado no aspecto tecnológico da gestão de riscos de IA. No entanto, a dimensão reputacional dos incidentes com IA exige igual atenção e preparação.

A questão não é se sua organização enfrentará uma crise relacionada à IA. Considerando as taxas de adoção atuais e a prevalência da IA ​​paralela, a questão é quando. Empresas que se preparam agora, com políticas que abordam tanto os riscos técnicos quanto os de reputação, enfrentarão esses incidentes muito melhor do que aquelas que forem pegas desprevenidas.

Tópicos relacionados:
mm

Vlad Drazdovich é vice-presidente de melhoria de desempenho e análise da Figueira vermelha, uma agência de comunicação estratégica e gestão de crises. Como parte de sua função, Vlad assessora sobre estratégia corporativa de IA e supervisiona implementações de tecnologias baseadas em IA na empresa.