Quando a IA vira risco: o dia em que o chefe da cibersegurança dos EUA errou com o ChatGPT

A inteligência artificial já chegou aos centros de decisão do poder público. O problema é que, em muitos casos, chegou antes das regras.

Madhu Gottumukkala, chefe interino da agência americana de defesa cibernética (CISA), acabou no centro de um incidente delicado ao enviar documentos confidenciais de contratos governamentais para a versão pública do ChatGPT. A informação só veio à tona porque os próprios sistemas de segurança do governo dos EUA — ironicamente criados para evitar vazamentos — dispararam alertas automáticos.

Entre os arquivos estavam materiais classificados como “somente para uso oficial”, uma categoria reservada a dados sensíveis que não devem, em hipótese alguma, circular fora de ambientes controlados.

O erro não foi técnico. Foi de governança.

Os uploads ocorreram em agosto do ano passado e acionaram uma investigação interna conduzida por altos escalões do Departamento de Segurança Interna dos Estados Unidos. Até agora, o governo não divulgou se houve dano efetivo à segurança nacional — mas o risco é evidente.

Qualquer informação inserida em uma IA pública pode, em algum grau, ser utilizada para treinamento, análise ou resposta futura do modelo. Mesmo quando não há intenção maliciosa, o simples ato de compartilhar dados sensíveis fora do perímetro autorizado já caracteriza falha grave de controle.

O caso revela uma confusão comum entre líderes: usar IA como ferramenta pessoal de produtividade não é o mesmo que utilizá-la em ambientes críticos.

IA sem política vira passivo

Relatos internos indicam que Gottumukkala teria insistido no uso do ChatGPT mesmo após recomendações contrárias, o que amplia o debate para além de um deslize pontual. O episódio se soma a outras controvérsias ligadas à sua gestão e acende um alerta mais amplo sobre o uso indiscriminado de IA em órgãos sensíveis.

O ponto central não é demonizar a tecnologia. É reconhecer que IA sem diretriz, sem treinamento e sem limites claros vira passivo institucional.

Empresas e governos estão adotando ferramentas poderosas sem atualizar:

• políticas de segurança da informação
• protocolos de confidencialidade
• treinamento executivo
• e critérios sobre o que pode — e o que não pode — ser compartilhado com modelos externos

A lição que fica para líderes e conselhos

O episódio da CISA deixa uma mensagem direta para qualquer organização:

IA não é só tecnologia. É decisão, cultura e responsabilidade.

Quando líderes não entendem os limites da ferramenta, a eficiência vira exposição. Quando não há governança, a inovação vira risco reputacional, jurídico e estratégico.

O desafio de 2026 não é adotar IA mais rápido. É adotá-la com maturidade.

E isso exige algo que ainda está em falta em muitos lugares: lideranças preparadas para decidir onde a inteligência artificial entra — e onde ela deve ficar do lado de fora.