O aumento crescente da utilização de tecnologias digitais e de IA nos negócios vem aumentando significativamente as oportunidades de melhoria da eficiência operacional, com redução de custos no curto, médio e longo prazos, inegáveis ganhos de escala e eliminação de desperdícios nas empresas. Tais ganhos, todavia, vem acompanhados de novos e relevantes riscos que não podem ser ignorados, embora muitas vezes o sejam.
As pautas conhecidas comumente pela sua sigla em inglês como ESG (questões ambientais, sociais e de governança corporativa) têm se beneficiado dos avanços tecnológicos e das aplicações práticas da IA. Os riscos agregados a tais avanços precisam ser objeto de especial cuidado por empresas e reguladores, em especial pelos advogados envolvidos nos projetos.
O escritor norte americano Dale Carnegie já afirmou que o barco da segurança nunca vai muito além da margem, o que nos leva a noção de graus de riscos aceitáveis e razoáveis, em especial no competitivo mercado dos dias atuais. Levando-se em conta a necessidade de as grandes e médias empresas incorporarem às suas atividades recursos como IA, Blockchain, e análises envolvendo big data e machine learning, por exemplo, quais seriam as fragilidades a serem observadas?
Inicialmente, é preciso que tenhamos em mente que o relatório do Fórum Econômico Mundial, divulgado em janeiro de 2024, afirmou que ciberataques a bases de dados, registros e sistemas de informática de empresas de todos os portes devem aumentar significativamente nos próximos anos, pedindo atenção especial às estruturas de segurança da informação e ao compliance das instituições.
A adoção indiscriminada de recursos de IA generativa já é uma realidade, e tem levado ao aumento da prática de phishing, malware e deep fake, com prejuízos relevantes sendo causados as empresas. Considerando que a Inteligêcia Artificial generativa envolve a criação de novos conteúdos e ideias, como por exemplo, conversas, histórias, imagens e vídeos, a potencialidade criminosa e os riscos legais e financeiros envolvidos são imensos, quase que incalculáveis. Enquanto uma empresa idônea e de boa fé pode criar chatbots, mídias e vídeos para a divulgação de seus serviços, potencializando assim, suas vendas, os mesmos recursos têm sido utilizados de maneira maliciosa. A cibersegurança, desta forma, tende a ganhar status de destaque nas empresas nos próximos anos.
É sabido também, no mercado, que dentre os pontos de maior fragilidade digital das empresas que sofreram incidentes de informação e de proteção de dados, temos a participação de terceiros a estrutura empresarial, abrangendo diversos pontos da cadeia de fornecedores. Não bastam assim, as medidas internas de proteção das empresas, sendo primordial também, a adoção preventiva em relação a parceiros externos e de toda a cadeia de suprimentos.
Entre as medidas protetivas é preciso destacar ainda que a eficiência e a eficácia nas gestões de crises e na contenção de danos nos casos de incidentes de segurança devem constar de um plano de segurança e de proteção de dados adequado às realidades de cada empresa, o qual deve ser objeto de acompanhamento de estruturas internas específicas e dotadas de autonomia. Tais comitês ou grupos devem se reportar aos órgãos da administração superior das companhias, bem como aos conselhos de administração, tentando sempre mitigar e minimizar os riscos existentes e os que venham a se configurar, bem como suas eventuais consequências.
A proteção digital, na verdade, é um compromisso contínuo e constante das organizações e de seus membros: os programas e estratégias devem estar sempre em processo de revisão e atualização, considerando as evoluções das políticas e práticas do mercado em termos de cibersegurança, sem que se equeça da evolução da regulação e os próprios planos de crescimento e posicionamento de mercado das empresas.
A este respeito, é preciso destacar a possibilidade concreta de responsabilização não só das empresas, como de seus administradores, por falhas de segurança e incidentes cibernéticos. Juridicamente, a base para a referida responsabilização costuma se valer da releitura atualizada de conceitos jurídicos clássicos, como por exemplo, a falha do dever de diligência e a culpa in eligendo, pensando somente nos mais comuns. O mais usual, assim, é o acesso a dados sensíveis por pessoas mal-intencionadas, o que leva a interrupção das atividade empresariais e comprometimento da privacidade, gerando prejuízos financeiros e reputacionais.
Não importando o porte da empresa, uma estratégia de mitigação de riscos cibernéticos se mostra essencial atualmente, em especial de forma proativa, antecipada e preventiva, de forma a evitar não só a responsabilização administrativa e criminal de seus administradores, como também danos econômicos a toda a estrutura. Uma lição importante sobre prevenção de danos e gestão de riscos nos foi passada pelo fundador da companhia aérea EasyJet, o empresário grego Stelios Iounnou, que afirmou que “se vc pensa que segurança custa caro, experimente um acidente”. A mesma lógica pode ser transposta para atividades envolvendo tecnologias disruptivas, onde os mecanismos preventivos vêm ganhando espaço continuamente, consolidando uma tendência cada vez mais sólida.