Os 50 Maiores Riscos de IA
em Sistemas Críticos
Descrição, impacto regulatório, setor mais afetado e como mitigar. Baseado em auditorias reais conduzidas pela ALC em empresas reguladas brasileiras.
Por Anderson Chipak · ALC Consultoria · Atualizado em abril de 2026
Mostrando 50 de 50 riscos
Ausência de audit log em decisões de IA
Nenhum registro imutável das decisões tomadas pela IA. Impossível responder a auditorias, reclamações de clientes ou reguladores.
Ver risco →
Logs de IA mutáveis ou deletáveis
Registros de decisão que podem ser alterados ou apagados por administradores — sem valor probatório para auditorias regulatórias.
Ver risco →
Modelo sem versionamento
Impossível identificar qual versão do modelo tomou uma decisão em uma data específica. Inviabiliza rollback e análise de causa raiz.
Ver risco →
Decisão automatizada sem explicabilidade
Modelo caixa-preta incapaz de fornecer explicação em linguagem clara. Viola LGPD art. 20 e antecipa violação ao PL 2338.
Ver risco →
Dados de treinamento não documentados
Origem, período e critérios de seleção dos dados de treino desconhecidos. Impede detecção de bias e auditoria de qualidade.
Ver risco →
IA em produção sem monitoramento
Nenhum alerta de degradação de performance, drift ou anomalia. Falhas silenciosas acumulam impacto antes de serem detectadas.
Ver risco →
Ausência de mecanismo de rollback
Impossível reverter para versão anterior do modelo em caso de regressão de performance ou comportamento inesperado em produção.
Ver risco →
Retreinamento sem rastreabilidade
Modelos retreinados sem registro de quem autorizou, quais dados foram usados e qual o delta de performance entre versões.
Ver risco →
Falta de proveniência dos dados
Dados de entrada do modelo sem registro de origem, transformações aplicadas e qualidade. Impede auditoria de conformidade LGPD.
Ver risco →
Alterações no modelo sem registro formal
Mudanças de parâmetros, thresholds e hiperparâmetros feitas informalmente, sem aprovação documentada ou changelog auditável.
Ver risco →
Decisão automatizada sem revisão humana
IA toma decisões que afetam clientes sem possibilidade real de revisão humana. Viola LGPD art. 20 e expõe a multas de até R$ 50 mi.
Ver risco →
IA processando dados sem base legal LGPD
Tratamento de dados pessoais por sistemas de IA sem base legal adequada documentada — a infração mais comum e mais cara da LGPD.
Ver risco →
Modelo de crédito sem documentação BACEN
Motor de crédito operando sem a documentação exigida pela Res. CMN 4.557: metodologia, validação independente e backtesting.
Ver risco →
Ausência de Avaliação de Impacto Algorítmico
Sistemas de IA de alto risco operando sem AIA documentada. Será obrigação direta do PL 2338, mas representa risco de imagem já hoje.
Ver risco →
Sistema de PLD sem validação independente
IA de prevenção à lavagem de dinheiro tratada como caixa-preta, nunca validada internamente. Viola Circular BACEN 3.978.
Ver risco →
Fornecedor de IA sem cláusulas contratuais adequadas
Contratos de LLM e plataformas de IA sem cláusulas de DPA LGPD, auditabilidade, SLA de segurança e responsabilidade civil.
Ver risco →
Modelo de crédito com bias discriminatório
Algoritmo que usa variáveis-proxy resultando em discriminação por raça, gênero ou CEP. Risco jurídico, regulatório e de imagem.
Ver risco →
Chatbot sem identificação de IA ao usuário
Sistema automatizado de atendimento sem aviso de que o usuário interage com IA. Viola o PL 2338 e obrigações de transparência LGPD.
Ver risco →
Software de IA médico sem registro ANVISA
IA usada em diagnóstico, triagem ou recomendação clínica comercializada sem registro como SaMD (RDC 657/2022). Proibição de operação.
Ver risco →
Sistema de alto risco sem registro no MCTI
Após aprovação do PL 2338, sistemas de alto risco precisarão de cadastro no MCTI. Empresas sem inventário atual não saberão quais sistemas registrar.
Ver risco →
IA em produção sem aprovação humana no pipeline
Código gerado por IA que vai direto para produção sem revisão humana obrigatória. Um único output incorreto pode causar incidente crítico.
Ver risco →
Ausência de política de uso de IA
Empresa sem definição formal do que a IA pode e não pode fazer, quem aprova novos usos e como os outputs devem ser validados.
Ver risco →
Shadow AI — uso não autorizado por colaboradores
Colaboradores usando ChatGPT, Claude ou similares com dados da empresa sem controle. Dados confidenciais e pessoais vazando para LLMs externos.
Ver risco →
Mudanças em modelos sem gestão formal
Atualizações de modelos sem processo de change management: sem teste em staging, sem aprovação, sem janela de rollout e sem rollback planejado.
Ver risco →
Modelo desatualizado em produção
Modelo treinado em dados de um período específico tomando decisões em contexto econômico diferente. Performance degradada silenciosamente.
Ver risco →
Ausência de critérios de aceitação de outputs
Sem definição de quando o output da IA é aceitável para uso. Qualquer resposta é tratada como válida, independentemente de confiança ou contexto.
Ver risco →
Ausência de plano de contingência para falha da IA
Processos críticos que dependem de IA sem procedimento alternativo documentado para quando o sistema falhar ou produzir resultados inválidos.
Ver risco →
IA em produção sem responsável definido
Sistema de IA sem owner formal: ninguém é responsável por monitorar performance, aprovar mudanças ou responder por incidentes.
Ver risco →
Vulnerabilidade a prompt injection
LLMs integrados a sistemas internos sem proteção contra ataques de injeção de prompt, permitindo desvio de instruções e vazamento de dados.
Ver risco →
IA validada apenas pelo fornecedor
Empresa usa modelo de terceiro assumindo que a validação do fornecedor é suficiente. Reguladores (BACEN, ANVISA) responsabilizam o operador, não o fornecedor.
Ver risco →
Model drift não monitorado
Degradação silenciosa da performance do modelo à medida que o mundo real diverge dos dados de treinamento. Sem detecção, as decisões pioram progressivamente.
Ver risco →
Alucinações de LLM em outputs críticos
LLM gerando informações falsas com aparência de confiança em contextos onde erros têm consequências: contratos, laudos, decisões de crédito.
Ver risco →
Dados pessoais sensíveis enviados para LLMs externos
CPF, dados de saúde, financeiros ou biométricos incluídos em prompts enviados para APIs de IA de terceiros sem DPA e sem base legal.
Ver risco →
Modelo de IA sem controle de acesso
Qualquer colaborador pode interagir diretamente com o modelo ou alterar seus parâmetros sem autenticação, autorização ou log de acesso.
Ver risco →
Treinamento com dados de produção sem anonimização
Dados reais de clientes usados para treinar modelos sem processo formal de anonimização ou pseudonimização. Viola LGPD e expõe a incidentes.
Ver risco →
Endpoint de IA exposto sem rate limiting
API de IA acessível publicamente sem throttling, permitindo abuso, extração de informações do modelo e ataques de negação de serviço.
Ver risco →
Dependência de fornecedor único de IA (lock-in)
Processos críticos dependendo de uma única API de IA sem plano de contingência. Mudança de preço, descontinuação ou indisponibilidade para o negócio.
Ver risco →
Modelo sem testes de stress em cenários adversos
Performance validada apenas em condições normais. Modelo colapsa em picos de volume, crise econômica ou entradas adversariais — sem que a empresa saiba.
Ver risco →
IA em infraestrutura crítica sem fail-safe
Sistema de IA controlando equipamentos físicos sem mecanismo de falha segura. Falha de modelo pode causar parada de produção, acidente ou dano patrimonial.
Ver risco →
Exfiltração de dados via IA generativa
Uso de IA generativa como vetor de exfiltração: colaboradores (ou atacantes) extraindo dados internos via prompts elaborados para LLMs com acesso a sistemas.
Ver risco →
IA implantada sem treinamento dos usuários
Ferramentas de IA entregues sem capacitação sobre limitações, quando não usar e como validar outputs. Gera uso inadequado e retrabalho.
Ver risco →
Automation bias — dependência excessiva da IA
Profissionais aceitando outputs da IA sem pensamento crítico, mesmo quando incorretos. Erosão da capacidade técnica da equipe ao longo do tempo.
Ver risco →
Ausência de comitê de governança de IA
Decisões sobre adoção de IA tomadas de forma dispersa, sem instância formal que avalie riscos, conflitos regulatórios e alinhamento estratégico.
Ver risco →
IA implantada sem revisão ética
Sistemas de IA que afetam pessoas (emprego, crédito, saúde) lançados sem avaliação de impacto ético. Risco de imagem e antecipação das obrigações do PL 2338.
Ver risco →
Incentivo ao uso de IA sem estrutura de controle
Liderança exigindo uso máximo de IA para produtividade sem criar os controles correspondentes. Cria pressão para usar sem questionar, ignorando riscos.
Ver risco →
IA em processos de RH sem política documentada
Triagem de currículos, avaliação de desempenho ou definição de remuneração com IA sem política formal de uso, revisão e contestação.
Ver risco →
Resultados da IA assumidos como corretos sem validação
Cultura organizacional que trata output de IA como fato, não como sugestão. Erros passam despercebidos e se acumulam em decisões críticas.
Ver risco →
Ausência de feedback loop para erros da IA
Erros identificados pelos usuários da IA não chegam à equipe técnica. Sem ciclo de melhoria, o modelo permanece incorreto e os erros se repetem.
Ver risco →
Contratação de IA sem due diligence de fornecedor
Plataformas de IA adotadas sem avaliação de segurança, conformidade LGPD, localização de dados e continuidade de negócio do fornecedor.
Ver risco →
IA generativa sem política de uso de outputs
Textos, códigos e análises gerados por IA usados diretamente sem política de revisão, divulgação ou atribuição — criando riscos legais de propriedade intelectual.
Ver risco →
Baixe o PDF completo — Os 50 Riscos
Versão impressa com descrição completa de cada risco, impacto regulatório por risco, setor mais afetado e checklist de mitigação. Gratuito com email.
Baixar PDF gratuito →