Relatório conceituado aponta redução nos prejuízos a nível global graças à adoção de ferramentas de automação e inteligência artificial; o Brasil, porém, segue na contramão com os custos em alta.
O relatório anual “Cost of a Data Breach Report 2025”, patrocinado pela IBM com dados do Ponemon Institute, trouxe uma surpresa relevante para a comunidade de segurança: pela primeira vez em cinco anos, a média global do custo de um vazamento de dados caiu — e de maneira estatisticamente significativa.
O custo médio global foi reportado em USD 4,44 milhões — uma redução de 9% em relação ao ano anterior — e os especialistas apontam que esse declínio está associado, sobretudo, à maior velocidade de identificação e contenção dos incidentes, impulsionada pela adoção de automação e ferramentas baseadas em inteligência artificial nas operações de defesa.
Para entender o que esse número significa, é preciso separar três camadas de análise: (1) os drivers técnicos e operacionais que reduziram os custos médios globais; (2) as tendências emergentes que ainda pressionam o custo final (e que podem tornar a queda frágil); e (3) as diferenças regionais — porque, como mostra o relatório, a queda global não foi uniforme.
Alguns mercados, em especial os Estados Unidos, registraram aumentos, e o Brasil seguiu na contramão, com elevação do custo médio local.
As boas novas
Primeiro ponto: por que o custo global caiu em 2025? A explicação central do relatório é operacional. Organizações que implantaram de forma ampla automação e IA em processos de segurança tiveram ciclos de resposta muito mais curtos — identificação, contenção e remediação foram aceleradas — e isso se traduz em economia direta.
O relatório apresenta números claros: empresas que usam extensivamente IA e automação na segurança registraram custo médio de US$ 3,62 milhões por vazamento, enquanto organizações sem uso significativo dessas tecnologias registraram US$ 5,52 milhões.
Essa diferença é grande e plausível: reduzir o tempo em que invasores têm acesso reduz a exfiltração de dados, interrupção operacional e perda de clientes, que costumam ser as componentes mais pesadas do custo total.
Além da automação, o documento destaca métricas processuais que explicam a queda. O tempo médio até identificar um incidente (MTTI) e o tempo até conter (MTTC) foram encurtados em segmentos importantes por conta de monitoramento contínuo, resposta orquestrada e playbooks automatizados.
Menos dias de exposição significam menos dados perdidos, menos serviços paralisados e, portanto, menos faturamento perdido e menos churn de clientes. Reportagens e resumos do estudo reforçam essa interpretação: a redução global de custos está “diretamente ligada” à capacidade de identificação e contenção mais rápida.
Não comemoremos (ainda)
Segundo ponto: por que, apesar dessa tendência positiva, o ambiente ainda é ameaçador? Duas palavras resumem o risco emergente: a) “shadow AI” e b) “IA como arma”. O relatório identifica que a rápida adoção de IA nas corporações ocorreu muitas vezes sem governança adequada; 97% das violações envolvendo IA ocorreram em ambientes onde faltavam controles de acesso apropriados.
Ao mesmo tempo, atacantes passaram a usar ferramentas generativas para tornar ataques de engenharia social, phishing e deepfakes mais eficazes e escaláveis. A combinação — adoção acelerada sem governança e adversários usando IA para aumentar a eficiência de golpes — é uma faca de dois gumes: a IA reduz custos quando aplicada defensivamente de forma madura, mas amplia o risco quando sua adoção é desordenada ou quando adversários exploram o mesmo arsenal tecnológico.
Há ainda forças específicas que comprimem ou inflacionam custos dependendo da jurisdição. Nos Estados Unidos, por exemplo, o custo médio subiu para US$ 10,22 milhões — um recorde — por conta de fatores como multas regulatórias maiores, custo de detecção/escalação e pós-incidente mais caro.
Ou seja, enquanto a eficiência operacional reduz parte do custo (identificação/contenção), fatores exógenos como sanções regulatórias e custos legais podem empurrar o valor final para cima. Isso explica por que o recuo global não foi uniforme: economias e setores com maiores exposições regulatórias ou modelos de negócio mais sensíveis ao dano reputacional tendem a ver custos maiores, mesmo quando a resposta técnica melhora.
O cenário no Brasil
Agora, foco no Brasil: o relatório mostra que ele não acompanhou a tendência global de queda. O custo médio de uma violação no país aumentou para cerca de R$ 7,19 milhões em 2025, ante R$ 6,75 milhões no ano anterior — um acréscimo na ordem de 6,5%. Esses números apontam um aumento real em reais e demandam explicação.
Quais são as hipóteses para o aumento de custos no Brasil? Primeiro, a diferença na inflação e câmbio: quando parte dos custos — consultorias externas, soluções internacionais de remediação, multas com base em parâmetros internacionais ou contratos com fornecedores estrangeiros — é orçada em dólar, a oscilação cambial transfere impacto direto à conta em reais.
Segundo, maturidade de programas de resposta a incidentes: se uma parcela maior das empresas brasileiras ainda não adotou de forma madura IA e automação para detecção e remediação, elas permanecem com ciclos de contenção mais longos e, portanto, custos finais mais elevados.
Terceiro, impacto setorial: se no período houve incidentes concentrados em setores com forte exposição ao cliente (financeiro, varejo, saúde), a perda de receita e a necessidade de notificação ampla podem ampliar os prejuízos. Quarto, custos legais e de conformidade local: processos reputacionais, ações coletivas e exigências de notificação podem gerar despesas que variam por país.
Por fim, a própria dinâmica do crime: campanhas de ransomware e violações de terceiros que afetam cadeias de fornecedores locais podem ter atingido alvos mais sensíveis no Brasil em 2025. Essas hipóteses são consistentes com a combinação de fatores que o relatório e a cobertura jornalística apontam.
Lições a serem aprendidas
É importante sublinhar que os dados regionais do relatório geralmente vêm com tamanho de amostra menor do que os globais, e portanto são mais voláteis; um ou dois incidentes de grande impacto em uma amostra relativamente pequena podem alterar a média local de forma notável. Ainda assim, os sinais conjunturais vindos do Brasil merecem atenção das equipes de segurança e da alta administração: crescimento de custos demanda ação dirigida.
Que lições práticas se seguem do estudo, considerando a queda global e as exceções regionais? A primeira lição é óbvia: investir em automação e IA voltadas para detecção e resposta está começando a pagar dividendos palpáveis. A segunda é complementar: IA exige governança; sem políticas de acesso, monitoramento de modelos e controles de terceiros, a mesma tecnologia que reduz custos pode gerar incidentes novos e caros.
A terceira lição é de gestão de risco: as empresas precisam olhar além da média global e construir cenários próprios por jurisdição e por linha de negócio — o que é suficiente em um mercado (por exemplo, EUA) pode não ser em outro (ex.: Brasil), onde pressões legais, fiscais, ou de mercado diferem. Finalmente, a coordenação com órgãos de investigação, parcerias com serviços de resposta e o envolvimento precoce de provedores legais e de relações públicas continuam sendo determinantes para limitar dano e custo.
Para fechar, a queda do custo médio global em 2025 é um dado importante e bem-vindo, porque indica que medidas técnicas e operacionais estão, de fato, fazendo a diferença. Porém, o quadro completo é mais complexo: aumento de custos em jurisdições como os EUA e o Brasil mostra que fatores regulatórios, de governança e de composição de amostras podem reverter ou mitigar ganhos locais.
Em vez de celebrar o número como prova final de que “o pior já passou”, o mais útil para gestores e conselhos é encará-lo como um alerta dual: por um lado, tecnologia e automação funcionam e devem ser aceleradas; por outro, governança, políticas de IA, investimentos em resiliência e atenção às especificidades locais são essenciais para transformar uma redução média em benefícios sustentáveis e equitativos para todas as regiões.
Entre em Contato