A IBM divulgou hoje seu relatório anual Cost of a Data Breach (CODB), revelando tendências globais e regionais relacionadas ao aumento dos custos de violações de dados em um cenário de ameaças cibernéticas cada vez mais sofisticadas e disruptivas. O relatório de 2025 explora o papel crescente da automação e da inteligência artificial (IA) na mitigação dos custos de violação e, pela primeira vez, estudou o estado da segurança e da governança da IA.
O relatório indicou que o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões, enquanto em 2024 o custo foi de R$ 6,75 milhões, um aumento de 6,5%, marcando uma pressão adicional sobre as equipes de segurança cibernética que enfrentam desafios altamente complexos. Setores como Saúde, Finanças e Serviços lideraram a lista dos mais impactados, registrando custos médios de R$ 11,43 milhões, R$ 8,92 milhões e R$ 8,51 milhões, respectivamente.
No país, organizações que adotam extensivamente IA e automação seguras relataram custos médios de R$ 6,48 milhões, enquanto aquelas com implementação limitada apresentaram custos de R$ 6,76 milhões. Para empresas que ainda não utilizam essas tecnologias, o custo médio subiu para R$ 8,78 milhões, destacando as vantagens da IA no fortalecimento da segurança cibernética.
Além de avaliar os fatores que elevam os custos, o Relatório Cost of a Data Breach de 2025 analisou elementos que podem reduzir os impactos financeiros de uma violação de dados. Entre as iniciativas mais eficazes, estão a implementação de inteligência de ameaças (que reduziu custos em uma média de R$ 655.110) e o uso de tecnologia de governança de IA (R$ 629.850). Mesmo com essa redução significativa de custos, o relatório constatou que apenas 29% das organizações estudadas no Brasil utilizam tecnologia de governança de IA para mitigar riscos associados a ataques a modelos de IA. De modo geral, a governança e a segurança de IA estão sendo amplamente ignoradas, com 87% das organizações estudadas no Brasil relatando não possuir políticas de governança de IA em vigor e 61% sem controles de acesso à IA.
“Nosso estudo mostra que já existe uma lacuna preocupante entre a rápida adoção da IA e a falta de governança e segurança adequadas, e agentes mal-intencionados estão explorando esse vácuo. A ausência de controles de acesso em modelos de IA expôs dados sensíveis e aumentou a vulnerabilidade das organizações. Empresas que subestimam esses riscos não estão apenas colocando informações críticas em risco, mas também comprometendo a confiança em toda a operação”, explica Fernando Carbone, Sócio de Serviços de Segurança da IBM Consulting na América Latina.
Fatores que contribuem para o aumento dos custos de violação de dados
A complexidade do sistema de segurança contribuiu, em média, com um aumento de R$ 725.359 no custo total da violação.
O estudo também mostrou que o uso não autorizado de ferramentas de IA (shadow AI) gerou um aumento médio de R$ 591.400 nos custos. E a adoção de ferramentas de IA (internas ou públicas), apesar de seus benefícios, adicionou um custo médio de R$ 578.850 às violações de dados.
O relatório também identificou as causas iniciais mais frequentes de violações de dados no Brasil. Phishing se destacou como o principal vetor de ameaça, representando 18% das violações, resultando em um custo médio de R$ 7,18 milhões. Outras causas significativas incluem comprometimento de terceiros e da cadeia de suprimentos (15%, com custo médio de R$ 8,98 milhões) e exploração de vulnerabilidades (13%, com custo médio de R$ 7,61 milhões). Credenciais comprometidas, erros internos (acidentais) e infiltrados mal-intencionados também foram relatados como causas de violações, demonstrando a ampla gama de desafios enfrentados pelas organizações na proteção de dados.
Outras descobertas globais do relatório Cost of a Data Breach de 2025:
- 13% das organizações relataram violações envolvendo modelos ou aplicações de IA, enquanto 8% não sabiam se haviam sido comprometidas dessa forma. Das organizações comprometidas, 97% relataram não ter controles de acesso para IA em vigor.
- 63% das organizações violadas não possuem uma política de governança de IA ou ainda estão desenvolvendo uma. Entre aquelas com políticas, apenas 34% realizam auditorias regulares para detectar o uso não autorizado de IA.
- Uma em cada cinco organizações relatou uma violação devido à shadow IA, e apenas 37% possuem políticas para gerenciar ou detectar essa tecnologia. Organizações que utilizaram altos níveis de shadow IA observaram uma média de US$ 670.000 a mais em custos de violação em comparação com aquelas com baixos níveis ou sem IA oculta. Incidentes de segurança envolvendo IA oculta levaram ao comprometimento de mais informações de identificação pessoal (65%) e propriedade intelectual (40%) em comparação com a média global (53% e 33%, respectivamente).
- 16% das violações estudadas envolveram hackers utilizando ferramentas de IA, frequentemente para ataques de phishing ou deepfake.
O custo financeiro de uma violação
- Custos de violação de dados. O custo médio global de uma violação de dados caiu para US$ 4,44 milhões, a primeira queda em cinco anos, enquanto o custo médio de uma violação nos EUA atingiu o recorde de US$ 10,22 milhões.
- Ciclo de vida global de uma violação atinge tempo recorde. O tempo médio global para identificar e conter uma violação (incluindo a restauração do serviço) caiu para 241 dias, uma redução de 17 dias em relação ao ano anterior, à medida que mais organizações detectaram a violação internamente. As organizações que detectaram a violação internamente também economizaram US$ 900.000 em custos de violação em comparação com aquelas notificadas por um invasor.
- Violações na área da saúde continuam sendo as mais caras. Com uma média de US$ 7,42 milhões, as violações no setor de saúde permaneceram as mais caras entre todos os setores estudados, mesmo com uma redução de US$ 2,35 milhões nos custos em comparação com 2024. Violações neste setor levam mais tempo para serem identificadas e contidas, com um tempo médio de 279 dias, mais de 5 semanas acima da média global, de 241 dias.
- Fadiga do pagamento de resgate. No ano passado, as organizações resistiram cada vez mais às demandas de resgate, com 63% optando por não pagar, em comparação com 59% no ano anterior. À medida que mais organizações se recusam a pagar resgates, o custo médio de um incidente de extorsão ou ransomware permanece alto, especialmente quando divulgado por um invasor (US$ 5,08 milhões).
- Aumento de preços pós-violações. As consequências de uma violação continuam a se estender além da contenção. Embora em queda em relação ao ano anterior, quase metade de todas as organizações relataram que planejavam aumentar o preço de bens ou serviços devido à violação, e quase um terço relatou aumentos de preços de 15% ou mais.
- Estagnação nos investimentos em segurança em meio ao aumento dos riscos da IA. Houve uma redução significativa no número de organizações que relataram planos de investir em segurança após uma violação: 49% em 2025, em comparação com 63% em 2024. Menos da metade das que planejam investir em segurança pós-violação se concentrarão em soluções ou serviços de segurança baseados em IA.
20 anos do custo de uma violação de dados
O relatório, conduzido pelo Ponemon Institute e patrocinado pela IBM, é a principal referência do setor para a compreensão do impacto financeiro de violações de dados. O relatório analisou as experiências de 600 organizações globais entre março de 2024 e fevereiro de 2025.
Nos últimos 20 anos, o Relatório Cost of a Dat Breach investigou quase 6.500 violações em todo o mundo. Em 2005, o relatório inaugural constatou que quase metade de todas as violações (45%) teve origem em dispositivos perdidos ou roubados. Apenas 10% foram devido a sistemas hackeados. Avançando para 2025, o cenário de ameaças mudou drasticamente. Hoje, o cenário de ameaças é predominantemente digital e cada vez mais direcionado, com violações agora impulsionadas por um espectro de atividades maliciosas.
Há uma década, problemas de configuração incorreta da nuvem não eram sequer monitorados. Agora, eles estão entre os principais vetores de violações. O ransomware explodiu durante os lockdowns de 2020, com o custo médio das violações aumentando de US$ 4,62 milhões em 2021 para US$ 5,08 milhões em 2025.
Para acessar o relatório completo, visite o site oficial da IBM aqui.
