Consultoria recomenda que empresas adotem modelos de governança proporcionais ao nível de autonomia dos agentes de IA para reduzir riscos operacionais, de segurança e conformidade.
A aplicação de um mesmo modelo de governança para todos os agentes de Inteligência Artificial (IA), independentemente de seu grau de autonomia, pode comprometer a adoção dessas tecnologias nas empresas. O alerta é do Gartner, empresa de insights de negócios e tecnologia, que prevê que, até 2027, 40% das organizações irão rebaixar ou desativar agentes de IA autônomos em razão de lacunas de governança identificadas apenas após incidentes em produção.
Segundo o Gartner, as falhas tendem a ocorrer quando as empresas não diferenciam a capacidade de ação dos agentes do nível de acesso concedido a eles dentro dos sistemas corporativos. “As organizações estão tratando a governança de agentes de IA como binária, ou totalmente restrita ou totalmente confiável, e essa é a causa principal do fracasso”, diz Shiva Varma, Diretor Analista Sênior do Gartner. “Os agentes operam em diferentes níveis de autonomia e em diferentes limites de confiança. Quando os mesmos controles são aplicados indiscriminadamente, as organizações enfrentam dois modos comuns de falha: restrição excessiva de agentes simples, o que retarda a entrega e estimula o desenvolvimento paralelo, ou restrição insuficiente de agentes mais autônomos, o que aumenta os riscos operacionais, de segurança e de conformidade.”
Para reduzir esses riscos, o Gartner recomenda uma abordagem proporcional de governança, baseada na classificação dos agentes de IA conforme seus níveis de autonomia e respectivos limites de confiança.
Nível 1: Observação
No primeiro nível, os agentes possuem acesso apenas para leitura de dados previamente definidos, e os resultados ficam visíveis somente ao usuário que realizou a solicitação.
Entre os casos de uso citados pelo Gartner estão resumo de documentos, recuperação de dados e explicação de códigos.
“Nesse nível, a governança deve se concentrar em controles básicos, como acesso a dados com escopo definido, autenticação de usuário, registro de uso e testes básicos de funcionalidade e segurança”, afirma Varma. “Como o risco se limita principalmente à exposição de dados e à precisão dos resultados, os controles devem permanecer leves e direcionados.”
Nível 2: Aconselhamento
Os agentes classificados neste nível produzem recomendações, relatórios, rascunhos ou sugestões de ação, mas a execução permanece sob responsabilidade humana.
Segundo o Gartner, exemplos incluem elaboração de e-mails, geração de relatórios, produção de código e apoio à tomada de decisão. “A governança para agentes de aconselhamento deve incluir todos os controles do Nível 1 e se estender para abordar a qualidade dos resultados e a influência nas decisões por meio de testes de precisão e alucinação, avaliações de qualidade específicas do domínio e treinamento de usuários sobre níveis adequados de confiança”, diz Varma.
Nível 3: Agir com aprovação
Neste estágio, os agentes podem executar ações como registrar dados, enviar comunicações ou alterar configurações, desde que haja aprovação humana explícita para cada operação.
“Nesse nível, a revisão humana só é eficaz se continuar sendo um controle significativo”, diz Varma. “Sem testes de segurança robustos, fluxos de trabalho de aprovação claros com trilhas de auditoria e procedimentos de resposta a incidentes específicos para cada agente, as aprovações podem se deteriorar sob pressão de tempo ou fadiga de aprovação, criando uma falsa sensação de segurança enquanto ampliam a superfície de ataque.”
Nível 4: Agir de forma autônoma
No nível mais elevado de autonomia, os agentes executam ações de forma independente dentro de parâmetros previamente definidos, enquanto os humanos acompanham exceções, registros de auditoria e resultados consolidados.
“Quando os agentes operam de forma autônoma, as ações são executadas em uma escala e velocidade que podem ultrapassar a supervisão humana”, diz Varma. “Como a responsabilidade pelos resultados permanece com a organização, esse nível exige a governança mais rigorosa, incluindo monitoramento contínuo, controles aplicados, mecanismos de reversão rápida, dispositivos que interrompem a operação do agente em caso de violações de limites e definição clara de responsabilidade pelo comportamento do agente.”
Tema estará em debate em conferência do Gartner
As recomendações fazem parte dos estudos do Gartner sobre agentes de IA, segurança cibernética, gestão de riscos e resiliência digital. A projeção de que 40% das empresas poderão rebaixar ou desativar agentes autônomos até 2027 é uma previsão elaborada pelo Gartner com base em suas análises sobre governança corporativa e adoção de Inteligência Artificial nas organizações.
