A expansão dos agentes autônomos de inteligência artificial deverá levar os gastos globais com cibersegurança a aproximadamente US$ 240 bilhões em 2026, com crescimento de 12,5% sobre o ano anterior, à medida que empresas ampliam o uso de sistemas capazes de acessar documentos, escrever códigos, movimentar informações e executar processos corporativos sem supervisão humana contínua. Até 2029, a proteção dessas cargas de trabalho poderá consumir 15% de todo o orçamento mundial de cibersegurança, quase três vezes a participação atual.
O avanço marca uma mudança na lógica econômica da inteligência artificial. Depois de investir na aquisição de modelos, infraestrutura de nuvem e automação de processos, as companhias precisam financiar uma segunda frente: a governança das máquinas que passaram a atuar dentro de seus ambientes digitais.
Cada agente de IA integrado a um sistema corporativo funciona, na prática, como uma nova identidade. Ele recebe permissões, consulta bases de dados, utiliza interfaces de programação e pode executar tarefas que antes dependiam de um empregado. Quanto maior sua autonomia, maior o potencial de produtividade — e também o risco de uma credencial comprometida produzir ações em escala.
A inteligência artificial, portanto, não está substituindo a cibersegurança. Está ampliando o mercado que precisa ser protegido.
Projeções colocam segurança acima do crescimento geral de TI
O Gartner estima que os gastos globais dos usuários finais com segurança da informação alcançarão US$ 240 bilhões em 2026. A expansão deverá superar o crescimento do investimento total em tecnologia, projetado em 10,8% para o mesmo período.
Uma atualização posterior da consultoria elevou a estimativa para aproximadamente US$ 244 bilhões, o que indica que a demanda por cibersegurança continua avançando mesmo diante de juros ainda elevados nos Estados Unidos e de maior seletividade na contratação de software corporativo.
O IDC trabalha com um universo mais abrangente. Ao incluir hardware, software e serviços gerenciados, a consultoria calcula que o mercado global de segurança ultrapassará US$ 300 bilhões em 2026.
A diferença não representa necessariamente divergência sobre o ritmo do setor. Ela decorre da composição das categorias consideradas. O ponto comum entre as projeções é que a cibersegurança cresce acima da maior parte do mercado de tecnologia e se torna menos suscetível a cortes discricionários.
A segurança representa cerca de 4% do gasto mundial com tecnologia. Essa participação ainda reduzida, diante da digitalização das empresas, é um dos fundamentos usados por analistas para projetar expansão estrutural por vários anos.
A adoção da IA intensifica essa tendência. Plataformas de proteção que antes monitoravam funcionários, notebooks e servidores agora precisam identificar comportamentos anormais de modelos, copilotos, robôs de automação e agentes conectados a múltiplos sistemas.
Agentes de IA criam identidades que não pertencem a pessoas
O principal desafio está nas chamadas identidades não humanas. São contas de serviço, chaves de acesso, certificados, robôs e agentes que atuam digitalmente em nome de uma empresa.
Um copiloto instalado no correio eletrônico precisa de autorização para ler mensagens e anexos. Quando integrado a um sistema de gestão, pode consultar informações financeiras, acessar contratos e preparar comandos. Se também estiver conectado a uma ferramenta de atendimento, passa a alcançar dados pessoais de clientes.
Cada conexão amplia a superfície de ataque. Uma instrução maliciosa inserida em um documento, por exemplo, pode induzir o modelo a revelar informações, executar uma tarefa inadequada ou ignorar uma regra interna.
O risco não se limita a uma invasão externa. Um agente configurado com permissões excessivas pode produzir danos mesmo operando como foi programado. A falha pode estar no desenho do processo, no conjunto de dados consultado ou na ausência de limites para as decisões automatizadas.
A cibersegurança passa, assim, a depender de controles capazes de identificar quem — ou qual sistema — tomou determinada decisão, quais dados foram usados e quais comandos foram executados.
As empresas precisam manter registros detalhados, limitar privilégios, separar ambientes de teste e produção e bloquear operações incompatíveis com a função atribuída ao agente. A rastreabilidade deixa de ser apenas requisito técnico e assume importância jurídica e regulatória.
IBM identifica lacuna entre adoção e governança
O relatório global mais recente da IBM sobre vazamentos de dados identificou uma diferença acentuada entre o uso empresarial de inteligência artificial e a capacidade de protegê-la.
Entre as organizações que relataram incidentes relacionados à IA, 97% não possuíam controles adequados de acesso. Além disso, 63% das companhias pesquisadas não tinham políticas de governança suficientes para administrar modelos ou impedir o crescimento da chamada shadow AI.
A shadow AI ocorre quando funcionários utilizam ferramentas não autorizadas, inserem informações corporativas em serviços públicos ou contratam aplicações sem o conhecimento das áreas de tecnologia e segurança.
O comportamento cria uma zona invisível para a empresa. Documentos estratégicos, códigos de software, dados de clientes e informações financeiras podem ser enviados para plataformas externas sem que existam garantias sobre armazenamento, treinamento dos modelos ou descarte.
A IBM calculou em aproximadamente US$ 4,4 milhões o custo médio mundial de um vazamento de dados em 2025. O valor caiu 9% em relação ao levantamento anterior, principalmente devido à identificação e contenção mais rápidas dos incidentes.
O uso intenso de IA e automação nas próprias operações de segurança produziu uma economia média de US$ 1,9 milhão em comparação com empresas que não empregavam essas ferramentas.
Os dados expõem a dupla função da inteligência artificial. A tecnologia pode acelerar ataques, mas também permite detectar padrões anormais, reduzir alertas falsos e automatizar respostas. O resultado depende da maturidade da organização e da qualidade dos controles implantados.
Banco Central aponta adoção desigual no sistema financeiro
No Brasil, o Banco Central identificou que 26,7% das 606 instituições consultadas entre fevereiro e março de 2025 já utilizavam modelos de inteligência artificial em soluções e serviços de tecnologia.
A adoção era significativamente maior entre bancos de grande porte. Nos segmentos menores, especialmente cooperativas de crédito e determinadas instituições de pagamento, o uso permanecia limitado por custos, escassez de profissionais e qualidade dos dados.
Entre as 162 instituições que declararam empregar IA, 58,6% já possuíam modelos em ambiente de produção. Outros 29,6% mantinham projetos-piloto com intenção de colocá-los em operação no curto prazo.
A velocidade da implantação contrastava com a estrutura de controle. Apenas 40,1% informaram que os riscos da inteligência artificial estavam contemplados na estrutura de gerenciamento usada para outros riscos. Em 22,8% das instituições, esses riscos não estavam incorporados a nenhuma estrutura formal.
O Banco Central também alertou para fragilidades nos controles de interfaces de programação, conhecidas como APIs, e na gestão de fornecedores. Incidentes recentes mostraram que criminosos passaram a combinar conhecimento sobre o funcionamento do sistema financeiro com comprometimento de empregados, prestadores de serviço e credenciais privilegiadas.
Para bancos e instituições de pagamento, uma invasão pode gerar perdas diretas, indisponibilidade de serviços, ressarcimento de clientes e consequências prudenciais. O impacto alcança capital, reputação e continuidade operacional.
Bancos, varejo e saúde enfrentam maior exposição
Os efeitos econômicos da cibersegurança são mais intensos em setores nos quais os dados podem ser rapidamente convertidos em dinheiro ou usados para fraude.
No sistema financeiro, credenciais roubadas podem permitir transferências, abertura de contas, contratação de crédito e alteração de cadastros. No varejo, o risco envolve pagamentos, dados de cartões, programas de fidelidade e informações sobre hábitos de consumo.
Na saúde, um incidente pode paralisar hospitais, impedir o acesso a prontuários ou comprometer dados sensíveis. A indisponibilidade afeta não apenas o resultado financeiro, mas a continuidade do atendimento ao paciente.
As empresas também enfrentam custos menos visíveis. Projetos digitais podem ser atrasados quando a área de segurança identifica riscos que não foram considerados na etapa inicial. Produtos concebidos para reduzir despesas passam a exigir autenticação adicional, monitoramento contínuo e revisão jurídica.
Para o consumidor, a consequência aparece em jornadas mais longas. Operações antes realizadas com uma única confirmação passam a exigir biometria, autenticação multifator ou validações adicionais.
A fricção representa um custo comercial, mas se tornou parte da contenção de fraudes produzidas com textos, imagens e vozes sintéticas. A IA generativa permite criar comunicações mais convincentes, personalizadas e difíceis de distinguir de mensagens legítimas.
Palo Alto, CrowdStrike e Fortinet ampliam receitas
O crescimento do orçamento de cibersegurança já aparece nos balanços das principais fornecedoras globais.
A Palo Alto Networks (PANW) registrou crescimento de 33% na receita recorrente anualizada de suas soluções de segurança de nova geração no segundo trimestre fiscal de 2026, para US$ 6,3 bilhões. A receita total avançou 15%, alcançando US$ 2,6 bilhões.
A CrowdStrike (CRWD) encerrou abril de 2026 com receita recorrente anual de US$ 5,51 bilhões, aumento de 24% em 12 meses. A receita trimestral cresceu 26%, para US$ 1,39 bilhão.
A Fortinet (FTNT) reportou receita de US$ 1,85 bilhão no primeiro trimestre de 2026, alta anual de 20%. O faturamento com produtos avançou 41%, enquanto as vendas contratadas cresceram 31%.
Os resultados mostram que as empresas estão comprando mais do que ferramentas isoladas. O movimento atual é de consolidação em plataformas que reúnem proteção de redes, nuvem, dispositivos, identidades e operações de segurança.
Para os fornecedores, a estratégia aumenta a receita por cliente e reduz a probabilidade de substituição. Para o comprador, diminui a quantidade de integrações necessárias, mas cria maior dependência de um único prestador.
A concentração pode se tornar um risco operacional. Uma falha de atualização, indisponibilidade ou vulnerabilidade em uma plataforma dominante pode atingir simultaneamente milhares de clientes.
Investidor brasileiro acessa setor por BDR de ETF
No Brasil, a exposição ao setor ocorre principalmente por meio de BDRs de empresas estrangeiras e de fundos negociados em Bolsa.
O BBUG39, disponível na B3, representa cotas do Global X Cybersecurity ETF (BUG), negociado nos Estados Unidos. O fundo acompanha o Indxx Cybersecurity Index e reúne companhias cujo negócio está concentrado em proteção de sistemas, redes, aplicações e dispositivos.
Em maio, CrowdStrike (CRWD), Fortinet (FTNT) e Palo Alto Networks (PANW) estavam entre as maiores posições do fundo, ao lado de Okta, Akamai, SailPoint, Rubrik e Zscaler.
O investimento carrega dois componentes de risco. O primeiro é a oscilação das empresas de tecnologia, cujas avaliações dependem de crescimento, juros e expectativa sobre resultados futuros. O segundo é a variação cambial, porque o ativo de referência está denominado em dólares.
A tese ganhou relevância depois da queda de 17,56% do ETF no primeiro trimestre de 2026. Parte da correção ocorreu porque investidores passaram a considerar que modelos de IA poderiam substituir ferramentas tradicionais de segurança.
A leitura perdeu força à medida que os resultados mostraram continuidade do crescimento das receitas recorrentes. A IA automatiza funções específicas, como descoberta de vulnerabilidades e triagem de alertas, mas não elimina a necessidade de proteger identidades, dados, redes e infraestrutura.
A correção das ações, portanto, abriu uma possível janela de avaliação, mas não eliminou riscos. Concorrência, aquisições caras, perda de contratos e falhas operacionais podem produzir volatilidade elevada.
Segurança da IA passa a disputar recursos com sua implantação
A transformação mais relevante ocorre dentro dos orçamentos corporativos. Até recentemente, os investimentos em inteligência artificial eram contabilizados principalmente como infraestrutura, licenças, desenvolvimento e serviços de nuvem.
Agora, uma parcela crescente será transferida para cibersegurança, governança, auditoria e conformidade. A implantação do agente deixa de ser o custo final do projeto e passa a representar apenas o início de uma despesa permanente.
As companhias precisarão controlar o ciclo completo: desenvolvimento, treinamento, acesso aos dados, publicação, monitoramento e retirada do modelo. Também deverão definir responsabilidade humana por decisões automatizadas e procedimentos para interromper um agente que apresente comportamento inesperado.
No Brasil, a LGPD exige medidas de segurança capazes de proteger dados pessoais contra acessos não autorizados, perda, alteração e tratamento inadequado. A Autoridade Nacional de Proteção de Dados prepara regras sobre padrões técnicos mínimos e sobre o tratamento de informações em sistemas de IA.
Empresas reguladas enfrentam camadas adicionais. Bancos respondem ao Banco Central, companhias abertas à Comissão de Valores Mobiliários e operadoras de saúde à Agência Nacional de Saúde Suplementar, sem prejuízo das competências da ANPD.
Agentes autônomos tornam cibersegurança despesa estrutural
O avanço da inteligência artificial modifica a relação entre produtividade e risco. Um agente pode executar milhares de operações em poucas horas, mas a mesma escala se aplica quando há uma falha de configuração ou comprometimento de credenciais.
A cibersegurança deixa de proteger apenas pessoas e máquinas tradicionais. Passa a controlar sistemas que tomam decisões, criam conteúdos e acionam outras aplicações.
Esse cenário sustenta o crescimento do setor mesmo em períodos de desaceleração econômica. Empresas podem adiar projetos de transformação digital, mas têm menor margem para interromper a proteção de ativos já conectados.
O teste até 2029 será a capacidade de converter aumento de orçamento em controles efetivos. Gastar mais não garante segurança quando as ferramentas estão fragmentadas, as permissões são excessivas ou a governança não acompanha o ritmo das implantações.
A nova fase da inteligência artificial será medida não apenas por produtividade, receita ou redução de custos. Também será avaliada pela capacidade das empresas de provar o que seus agentes fizeram, quais dados acessaram e por que determinadas decisões foram executadas.










