Há mais de 15 anos atuando na interseção entre Direito e tecnologia, tenho acompanhado de perto a transformação digital do setor jurídico. Com o crescimento da GEN AI - inteligência artificial generativa, o potencial de automação e eficiência é imenso, mas também cresce a responsabilidade com segurança da informação. Em um cenário em que ataques cibernéticos se tornam cada vez mais comuns, a pergunta que devemos fazer não é apenas “o que a IA pode fazer?”, mas sim “como ela está sendo usada e protegida?”.
Muitas empresas se apoiam em certificações como a ISO/IEC 27001 para demonstrar compromisso com a segurança da informação. No entanto, essa certificação verifica a existência de controles, mas não avalia de forma completa a eficácia operacional desses mecanismos. Temos orgulho de manter a ISO/IEC 27001, mas nosso compromisso vai além: realizamos auditorias internas contínuas e auditorias externas criteriosas, conforme relatório ISAE 3402 SOC 1, SOC 2 Tipo II e SOC 3. Para nós, segurança não é apenas um selo, e sim uma cultura viva, questionadora e adaptável, que permeia todas as operações.
Um dos maiores riscos atuais é o chamado Shadow IT, o uso de tecnologias não autorizadas dentro das organizações. Com ferramentas de IA cada vez mais acessíveis, é comum que colaboradores utilizem soluções sem o conhecimento do departamento de TI ou jurídico, expondo dados sensíveis, inclusive segredos de negócio, a ambientes não auditados. A pergunta que todo gestor deve se fazer é: “Se meu escritório contratou uma legaltech para processar dados com IA, quais são os controles internos dessa empresa?”.
A responsabilidade, porém, não termina na contratação de um fornecedor. Muitos prestadores utilizam IA além do escopo contratado, treinando modelos com dados que não lhes pertencem, o que gera um risco duplo: jurídico e reputacional. A LGPD é clara quanto à responsabilidade solidária entre controlador e operador. Por isso, mantemos políticas rígidas de segregação de dados e rastreabilidade de uso, embora seja fundamental que o mercado como um todo adote critérios mais rigorosos na escolha de parceiros tecnológicos.
Também tenho acompanhado a evolução do phishing. Hoje, com IA generativa, é possível criar e-mails falsos altamente personalizados, e um único clique pode comprometer toda uma operação. Por isso, reforço constantemente a importância de treinamentos internos e campanhas de conscientização. A segurança começa no comportamento humano, e-mails, links e anexos devem ser tratados com uma desconfiança saudável, especialmente em tempos de IA.
Além disso, a IA generativa ampliou significativamente a superfície de ataque. Deepfakes, automação de exploração, prompt-injection, criação de credenciais falsas e manipulação de modelos são ameaças reais e crescentes. Estamos comprometidos com a prevenção e o monitoramento contínuo desses riscos, aprimorando controles, treinamentos e processos para antecipar e mitigar ameaças. A proteção é coletiva, e a atenção cuidadosa a e-mails, links, anexos, solicitações e comunicações suspeitas, incluindo possíveis deepfakes e interações mediadas por IA, permanece fundamental.
O futuro exige ainda mais critério e responsabilidade. Nosso compromisso vai além da inovação. Trabalhamos para ser uma extensão confiável dos nossos clientes, o que significa total transparência sobre como usamos IA, onde os dados são processados e quais controles estão em vigor. A confiança é o ativo mais valioso no setor jurídico, e ela se constrói com coerência entre discurso e prática. Não basta parecer seguro. É preciso ser seguro.