← Voltar ao Blog
Compliance & Regulations
Análise
9 de março de 2026
11 min de leitura
Lançadas as diretrizes de segurança desde o projeto 6G, o risco do AI Insider atinge níveis críticos, os dias zero empresariais atingem o máximo histórico — resumo da regulamentação de segurança
Sete países ocidentais publicam princípios de segurança desde a concepção para redes 6G antes mesmo de os padrões serem finalizados. Mimecast relata que ameaças internas impulsionadas por IA se tornaram uma “ameaça crítica aos negócios” – 42% das organizações viram aumentos em incidentes internos maliciosos e negligentes. O Threat Intelligence Group do Google rastreou 90 dias zero em 2025, sendo o software empresarial agora o alvo principal. A Microsoft responde às preocupações de vazamento de dados do Copilot com novos controles DLP. E uma vulnerabilidade de IA Gemini de alta gravidade no Chrome levanta novas questões sobre a segurança da IA sob a Lei de IA da UE. Aqui está o que os reguladores e as equipes de conformidade precisam agir esta semana.
📡 GCOT lança princípios de segurança desde o design 6G
The Global Coalition on Telecoms (GCOT) — compreendendo Austrália, Canadá, Finlândia, Japão, Suécia, Reino Unido e EUA — divulgou princípios voluntários de segurança e resiliência 6G no Mobile World Congress 2026 em Barcelona. Parceiros da indústria, incluindo AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung e Vodafone, endossaram a estrutura.
Why This Matters Before 6G Exists
Com lançamentos comerciais 6G não esperados até 2029-2030, este é um dos primeiros exemplos de regulamentação de segurança desde a conceção que precede a tecnologia que rege. A coligação avaliou que o 6G trará mais funções de rede virtualizadas, arquiteturas desagregadas com interfaces padronizadas e integração nativa de IA – cada uma criando novas superfícies de ataque que devem ser abordadas ao nível dos padrões, e não adaptadas após a implantação.
Os Oito Princípios
O GCOT definiu quatro objetivos de segurança e quatro objetivos de resiliência:
| Categoria | Princípio | Requisito-chave |
| Segurança | Contenção | Limitar a propagação de agentes maliciosos através da rede |
| Segurança | Confidencialidade | Privacidade desde a concepção dos dados do utilizador, protegida contra escutas clandestinas |
| Segurança | Integridade | Garantias de integridade dos dados em todo o trânsito e infraestrutura da rede |
| Segurança | Controle de acesso | Autenticação e autorização para todos os componentes da rede |
| Resiliência | Continuidade do Serviço | Manter a disponibilidade em circunstâncias difíceis |
| Resiliência | Cadeia de Abastecimento | Segurança de vários fornecedores com garantia de fornecedor confiável |
| Resiliência | Segurança Física | Resiliência contra ameaças físicas e ambientais |
| Resiliência | Recuperação | Restauração rápida após incidentes ou perturbações de segurança |
Alinhamento Regulatório
Estes princípios correspondem diretamente aos regulamentos da UE existentes e emergentes:
- Artigo 21.º da NEI2: Os princípios de segurança refletem as medidas de gestão de riscos da NIS2 para entidades essenciais no setor das telecomunicações — a contenção, a integridade e o controlo de acesso são requisitos fundamentais da NIS2
- EU Cyber Resilience Act (CRA): A cadeia de abastecimento e os princípios de segurança desde a conceção estão alinhados com os requisitos de segurança dos produtos da CRA, que serão aplicáveis aos equipamentos de rede 6G quando comercializados
- Código Europeu das Comunicações Eletrónicas (EECC): Os princípios de resiliência do GCOT complementam os artigos 40.º a 41.º do EECC sobre segurança e integridade das redes
- Lei da UE sobre IA: Com a IA integrada de forma nativa nas redes 6G, os requisitos de governação da IA previstos nos artigos 6.º a 49.º aplicar-se-ão aos componentes de IA nas infraestruturas 6G classificadas como de alto risco
Conclusão sobre conformidade
As operadoras de telecomunicações e os fabricantes de equipamentos de rede devem começar agora a mapear os princípios do GCOT em relação aos seus programas existentes de conformidade com NIS2 e CRA. Quando os padrões 6G forem finalizados pelo 3GPP, as organizações com segurança desde o design incorporada em seus processos de desenvolvimento terão um significant compliance head start. Esta é a rara oportunidade de moldar as expectativas regulamentares antes de se tornarem obrigatórias.
🤖 Risco interno baseado em IA: uma "ameaça crítica aos negócios"
42% das organizações relatam aumento de ameaças internas
Mimecast State of Human Risk Report 2026, com base num inquérito a 2.500 decisores de segurança de TI na América do Norte, Europa, Sudeste Asiático e Austrália, conclui que o risco interno escalou para níveis críticos - impulsionado em grande parte pelo uso indevido de ferramentas de IA pelos funcionários e pelos atacantes que usam a IA como arma para uma engenharia social mais eficaz.
Principais conclusões
- 42% increase in malicious insider incidents: Funcionários que roubam, manipulam ou destroem dados deliberadamente — muitas vezes usando ferramentas de IA para localizar e exfiltrar informações confidenciais em grande escala
- 42% increase in negligent incidents: Funcionários que usam contas pessoais na nuvem, senhas fracas ou caem em phishing aprimorado por IA — descuido amplificado pela falsa sensação de segurança que as ferramentas de produtividade de IA fornecem
- 10% year-over-year growth na preocupação do CISO com pessoas mal-intencionadas, com os líderes de segurança agora esperando uma média de six insider-driven threats per month
- AI as both weapon and vulnerability: Os invasores usam a IA para criar iscas de phishing mais convincentes, enquanto os invasores usam a IA para pesquisar e extrair dados confidenciais com mais eficiência
EU AI Act Implications
O quadro baseado no risco da Lei da UE sobre IA tem relevância direta para as ameaças internas provocadas pela IA:
- Article 9 (Risk Management): Os sistemas de IA de alto risco implantados em ambientes de trabalho devem incluir sistemas de gestão de riscos que abordem cenários de utilização indevida, incluindo abuso deliberado por parte de utilizadores autorizados
- Article 14 (Human Oversight): As ferramentas de IA utilizadas em ambientes empresariais devem manter capacidades de supervisão humana, incluindo a capacidade de detetar e prevenir padrões de exfiltração de dados
- Article 13 (Transparency): As organizações que implantam ferramentas de produtividade de IA devem informar os usuários sobre as capacidades e limitações do sistema — os funcionários devem entender quais dados as ferramentas de IA podem acessar
- Article 52 (Specific Transparency): Os sistemas de IA que geram conteúdos ou interagem com seres humanos devem ser identificáveis como IA — isto aplica-se a mensagens de phishing criadas por IA e dirigidas a funcionários
NIS2 and DORA Requirements
As ameaças internas estão explicitamente abrangidas por ambos os quadros:
- NIS2 Article 21(2)(i): Exige medidas de «segurança dos recursos humanos», incluindo verificações de antecedentes, sensibilização para a segurança e gestão de acesso — a governação das ferramentas de IA deve agora fazer parte disto
- NIS2 Article 21(2)(a): A análise de risco e as políticas de segurança dos sistemas de informação devem ter em conta cenários de risco internos amplificados pela IA
- DORA Artigo 5.º: As entidades financeiras devem incluir cenários de ameaças internas nos seus quadros de gestão de riscos de TIC, sendo que as ameaças baseadas na IA exigem capacidades específicas de deteção e resposta
- DORA Artigo 13: A aprendizagem e a evolução dos requisitos significam que as entidades financeiras devem atualizar a sua inteligência sobre ameaças para incluir padrões de ataque interno baseados em IA
Ação necessária
As organizações devem auditar imediatamente quais ferramentas de IA os funcionários estão usando (IA sombra), implementar controles DLP no acesso a dados assistido por IA e atualizar suas linhas de base de detecção de ameaças internas. Ao abrigo do NIS2 e do DORA, a incapacidade de abordar padrões de risco internos conhecidos impulsionados pela IA é agora uma lacuna de conformidade. Inclua cenários de uso indevido de IA em seu próximo exercício de mesa.
🎯 Enterprise Zero-Days atinge recorde histórico: 90 em 2025
Enterprise Software Now the Primary Target
O Google Threat Intelligence Group (GTIG) informou que 90 zero-day vulnerabilities foram ativamente exploradas em 2025 — contra 78 em 2024. A mudança crítica: 48% agora têm como alvo software e dispositivos empresariais, acima dos 46% em 2024, com os produtos de segurança e rede sofrendo o maior impacto.
A mudança empresarial
A análise do Google revela uma mudança estrutural no cenário de ameaças:
- 43 produtos empresariais direcionados de dia zero — dispositivos de segurança, equipamentos de rede, plataformas de virtualização e aplicações empresariais
- 21 deles (quase metade) visavam soluções de segurança e de rede — firewalls, VPNs, roteadores e gateways de segurança localizados na borda da rede
- Dispositivos de borda são pontos cegos: Os dispositivos de segurança muitas vezes não possuem cobertura de detecção e resposta de endpoint (EDR), dificultando a detecção da exploração de dia zero
- Os invasores estão se incorporando profundamente em infraestruturas empresariais críticas, utilizando ferramentas empresariais comprometidas para escalonamento de privilégios e movimentação lateral
Resultados adicionais do GTIG
- O Windows continua sendo o sistema operacional mais visado: Dos 47 dias zero de usuário final, 24 (27% do total) tinham como alvo sistemas operacionais, com o Microsoft Windows liderando
- O dia zero móvel aumentou: 15 dias zero de sistemas operacionais móveis em 2025, contra 9 em 2024 — um aumento de 67%
- O dia zero do navegador atingiu o mínimo histórico: À medida que o sandbox do navegador melhora, os invasores estão migrando para alvos menos protegidos
- CVE-2026-0628 (IA Gemini no Chrome): Uma vulnerabilidade de elevação de privilégio de alta gravidade (CVSS 8.8) que permite que extensões maliciosas sequestrem o Gemini Live no painel do navegador Chrome
Implicações regulamentares
| Enquadramento | Requisito | Impacto do surto de dia zero |
| NIS2 | Arte. Artigo 21.º, n.º 2, alínea e) — Tratamento de vulnerabilidades | As entidades essenciais devem ter processos de deteção de dia zero, triagem e correção de emergência da infraestrutura empresarial |
| DORA | Arte. 9 — Gestão dos riscos TIC | As entidades financeiras devem incluir cenários empresariais de dia zero nas avaliações de risco e manter procedimentos de aplicação de patches de emergência |
| CRA | Arte. 11 — Comunicação de vulnerabilidades | Product manufacturers face mandatory 24-hour reporting of actively exploited vulnerabilities starting setembro 2026 |
| Lei da UE sobre IA | Arte. 15 — Precisão, robustez, segurança | Os sistemas de IA devem ser resilientes à exploração — o Gemini Chrome CVE demonstra que os componentes de IA criam novas classes de vulnerabilidade |
Conclusão sobre conformidade
A mudança para dias zero direcionados às empresas significa sua própria infraestrutura de segurança é agora a principal superfície de ataque. Os programas de conformidade NIS2 e DORA devem incluir procedimentos específicos para resposta de dia zero em dispositivos de segurança, e não apenas em endpoints tradicionais. As organizações devem implementar segmentação de rede que pressuponha que os dispositivos de segurança possam estar comprometidos e implantar monitoramento fora de banda para dispositivos de borda.
🛡️ Proteção de dados do Microsoft Copilot: governança de IA na prática
A Microsoft anunciou novos controles de prevenção contra perda de dados (DLP) para o Microsoft 365 Copilot, respondendo a reclamações generalizadas de clientes de que a Copilot estava incluindo informações confidenciais em seus relatórios gerados por IA. Os novos controles estendem as políticas de DLP para arquivos salvos localmente – anteriormente, o DLP protegia apenas arquivos armazenados no OneDrive e no SharePoint.
O que mudou
A questão principal: o assistente de IA do Microsoft 365 Copilot poderia acessar e processar arquivos armazenados localmente nas máquinas dos usuários, mesmo quando as políticas DLP restringiam esses mesmos arquivos no OneDrive e no SharePoint. Essa lacuna significava que documentos confidenciais — marcados como sensíveis pelas regras do DLP — poderiam ser resumidos, citados ou referenciados em relatórios gerados pelo Copilot sem qualquer proteção aplicada.
- New default behavior (abril 2026): As políticas de DLP serão aplicadas a todos os arquivos acessados pelo Copilot, independentemente do local de armazenamento
- Aplicado por padrão: As organizações não precisam de aderir — a proteção será automática
- Execução retroativa: As políticas DLP existentes serão estendidas para cobrir o acesso a arquivos locais do Copilot
Importância regulamentar
Este episódio ilustra um padrão regulatório que as equipes de compliance devem internalizar:
- Artigo 25.º do RGPD (proteção de dados desde a conceção): O comportamento original do Copilot — processar dados confidenciais sem aplicar as regras DLP existentes — violou indiscutivelmente o princípio da proteção de dados desde a conceção e por defeito. As organizações que implantaram o Copilot sem verificar a cobertura DLP podem enfrentar responsabilidade do controlador
- Artigo 9.º da Lei da UE sobre IA (Gestão de Riscos): Os sistemas de IA que processam dados pessoais ou confidenciais devem incluir controles para evitar a exposição não autorizada de dados. A lacuna DLP do Copilot é exatamente o tipo de risco que os sistemas de gestão de riscos do artigo 9.º devem identificar e mitigar
- Artigo 28.º da DORA (Risco de TIC de Terceiros):Financial entities using Microsoft 365 Copilot must treat this DLP gap as a material ICT risk event. Document the gap, the timeline for remediation (abril 2026), and any interim compensating controls in your third-party risk register
- NIS2 Artigo 21.º, n.º 2, alínea d) — Segurança da cadeia de abastecimento: O Copilot é um componente de IA de terceiros em seu ambiente de TIC. O seu comportamento no tratamento de dados constitui um risco para a cadeia de abastecimento que deve ser avaliado continuamente
Ação necessária
Do not wait until abril.Audite sua implantação do Copilot agora para identificar quais dados confidenciais já podem ter sido processados sem proteção DLP. De acordo com o Artigo 33 do GDPR, se os dados pessoais foram expostos através da lacuna DLP do Copilot, você poderá ter uma violação de dados reportável. Documente sua avaliação e quaisquer controles de compensação para sua autoridade supervisora.
⚠️ Extensões falsas de navegador de IA: lacuna na proteção do consumidor
Extensões maliciosas de "IA" inundando App Stores
Pesquisadores de segurança confirmaram uma tendência crescente de extensões de navegador maliciosas disfarçadas de ferramentas de produtividade de IA, aparecendo nas principais lojas de aplicativos e contornando com sucesso os processos de revisão inicial. Essas extensões fornecem algumas funcionalidades esperadas de IA enquanto coletam silenciosamente dados do usuário, credenciais e histórico de navegação.
A lacuna regulamentar
Esta tendência expõe lacunas críticas nos quadros regulamentares existentes:
- Artigo 52.º da Lei da UE sobre IA (Transparência): Os sistemas de IA que interagem com os utilizadores devem ser identificáveis como IA e divulgar a sua finalidade. Extensões falsas de IA violam os requisitos de transparência e limitação de finalidade, mas os mecanismos de aplicação para distribuição em lojas de aplicativos são indefinidos
- Lei dos Serviços Digitais (DSA): As lojas de aplicativos são qualificadas como “plataformas online” de acordo com o DSA e devem implementar medidas para impedir a distribuição de extensões maliciosas. Isto inclui obrigações proativas de análise de segurança para plataformas online de muito grande dimensão (VLOP)
- Artigo 5.º, n.º 1, alínea b) do RGPD — Limitação da finalidade: Extensões que coletam dados além da funcionalidade declarada de IA violam o princípio de limitação de finalidade. As autoridades de proteção de dados devem dar prioridade à aplicação da lei contra estes intervenientes
- Segurança do produto CRA:When CRA reporting obligations take effect in setembro 2026, app stores may face requirements to report actively exploited vulnerabilities in distributed software, including malicious extensions
Recomendação Empresarial
Implementar lista de permissões de extensões de navegador para todos os ambientes corporativos. De acordo com o Artigo 21(2)(i) do NIS2, as organizações devem garantir que os funcionários não possam instalar extensões não verificadas em dispositivos corporativos. Mantenha uma lista de extensões aprovadas e use a política de grupo para bloquear todas as outras. A governança de ferramentas de IA é agora um controle de segurança, não uma conveniência de TI.
📅 Calendário regulatório: principais datas futuras
| Data | Enquadramento | Marco |
| 11 de março de 2026 | Atualização terça-feira | Microsoft março 2026 release — after 90 zero-days in 2025, prepare for significant patches |
| abril 2026 | Microsoft | Proteção de arquivo local Copilot DLP aplicada por padrão — verifique se suas políticas DLP cobrem todas as categorias de dados |
| 2 de maio de 2026 | Lei da UE sobre IA | As obrigações de transparência do modelo GPAI entram em vigor — os fornecedores de IA devem publicar resumos de dados de formação |
| 2 de agosto de 2026 | Lei da UE sobre IA | Requisitos aplicáveis do sistema de IA de alto risco (artigos 6.º a 49.º) — é necessário um conjunto completo de conformidade |
| 11 de setembro de 2026 | CRA | Início da comunicação obrigatória de vulnerabilidades exploradas ativamente — exigência de notificação 24 horas por dia |
| 17 de outubro de 2026 | NIS2 | Prazo de transposição para os Estados-Membros — todos os 27 países da UE devem incluir a NIS2 na legislação nacional |
| 2029-2030 | GCOT/6G | Lançamentos comerciais iniciais de 6G esperados — os princípios de segurança desde a conceção devem ser incorporados nas normas até essa data |
🔑 Principais conclusões para equipes de conformidade
- Os padrões de segurança 6G estão sendo moldados agora. Os oito princípios do GCOT estabelecem expectativas que se tornarão requisitos obrigatórios. As operadoras de telecomunicações e os fabricantes de equipamentos devem alinhar os seus processos de segurança desde a concepção com estes princípios hoje – esperar pelas normas finais significa tentar recuperar o atraso.
- O risco interno da IA é uma obrigação de conformidade, não uma questão de RH. Com 42% das organizações relatando aumentos nas ameaças internas impulsionadas por IA, os programas de conformidade NIS2 e DORA devem incluir controles específicos de governança de ferramentas de IA – auditorias sombra de IA, DLP para acesso assistido por IA e linhas de base de ameaças internas que levam em conta as capacidades de IA.
- Sua infraestrutura de segurança é o alvo. A descoberta de 90 dias zero do Google, com quase metade voltada para segurança corporativa e dispositivos de rede, significa que os programas de gerenciamento de vulnerabilidades devem priorizar as ferramentas destinadas a protegê-lo. Assuma o comprometimento dos dispositivos de borda e implemente o monitoramento fora de banda.
- A lacuna de DLP do Microsoft Copilot é uma prévia das falhas de governança de IA. As organizações que implantam ferramentas de produtividade de IA sem verificar os controles de manipulação de dados enfrentam a responsabilidade do GDPR, da Lei de IA da UE e do NIS2. Audite o acesso aos dados da ferramenta de IA antes que os reguladores façam perguntas.
- Extensões falsas de IA são uma crise de proteção ao consumidor. Até que a aplicação de DSA e CRA seja alcançada, a lista de permissões de extensões de navegador corporativo é sua única defesa confiável. Implemente agora.
- A preparação do Patch Tuesday não é opcional. Após um ano recorde de zero-days empresariais, as entidades DORA e NIS2 sem procedimentos de correção de emergência documentados e testados estão a registar um défice de conformidade que os supervisores identificarão.
Automatize seu monitoramento de conformidade
A verificação contínua de segurança da KENSAI identifica exposições de dia zero, vulnerabilidades relacionadas à IA e lacunas de conformidade em sua infraestrutura — alinhadas com os requisitos da NIS2, DORA e da Lei de IA da UE.
Inicie a verificação de segurança gratuita →
9 de março de 2026
Fontes: GCOT, Governo do Reino Unido, Google GTIG, Mimecast, Palo Alto Networks, Microsoft, Help Net Security, Infosecurity Magazine, ENISA