Após 1.000 vazamentos, demora na divulgação de brechas bate recorde, e o Brasil sente no bolso

O recorde de 1.000 vazamentos no Have I Been Pwned não é só um marco estatístico: é um sintoma de falha sistêmica na cadeia de resposta a incidentes. Enquanto o tempo médio global para detectar uma violação é de 194 dias, no Brasil ele chega a 276 dias, e o ciclo completo (detecção até contenção) leva quase 10 meses. Isso significa que, quando uma empresa finalmente notifica usuários, os dados já foram revendidos, usados em fraudes ou alimentaram ataques de phishing mais sofisticados com IA. O iFood, por exemplo, divulgou em junho de 2026 um vazamento ocorrido em dezembro de 2025, seis meses após a detecção, bem acima do prazo de três dias úteis exigido pela LGPD para comunicação à ANPD.

A pressão regulatória não está faltando: a agenda da ANPD para 2025–2026 inclui diretrizes específicas sobre comunicação de incidentes, e a EU AI Act e o Digital Operational Resilience Act entram em vigor parcialmente ainda este ano. Mas a realidade prática mostra que 87% das empresas brasileiras não têm políticas estruturadas de governança de IA, e isso afeta diretamente a segurança, pois 16% das violações globais já envolvem uso indevido de IA por atacantes, desde geração automatizada de e-mails de phishing até exploração de falhas em aplicações de vibe-coding, como as identificadas em sites hospedados em Replit e Netlify.

Em maio, a CEVIU mostrou como ferramentas de vibe-coding e submissões automatizadas de bug bounty estavam gerando vulnerabilidades difíceis de priorizar. Agora, com o milésimo vazamento, o problema evoluiu: não é mais só sobre volume ou qualidade dos relatórios, mas sobre a incapacidade estrutural de empresas reagirem em tempo útil. A demora não diminuiu, aumentou. E o custo subiu: R$ 7,19 milhões por violação no Brasil em 2025, com setores como saúde pagando mais de R$ 11 milhões. O que era rumor sobre lentidão regulatória virou dado concreto: a ANPD ainda não publicou norma específica sobre prazos de notificação, e empresas continuam interpretando 'celeridade' como conveniência operacional.

Quem tem dados vazados não fica sabendo apenas que foi alvo, fica exposto a fraudes bancárias, golpes de identidade e ataques personalizados por meses, enquanto a empresa ainda decide se divulga. No caso da Universidade Columbia, pessoas sem vínculo com a instituição tiveram SSNs expostos por falhas em sistemas de recrutamento; no WFP, 600 mil famílias em Gaza tiveram dados sensíveis vazados por uma falha em aplicativo de autorregistro. Isso não é erro isolado: é padrão. E a LGPD, mesmo em vigor desde 2020, ainda não gerou multas significativas por atraso na notificação, o que sinaliza tolerância prática à opacidade.