O processo movido pelo estado da Flórida contra a OpenAI marca um divisor de águas: usar inteligência artificial sem governança deixou de ser apenas um risco técnico para se tornar uma exposição jurídica concreta. A pergunta para as empresas não é mais "se" a IA será regulada, mas "como" provar que ela está sob controle.
Em junho de 2026, o procurador-geral da Flórida, James Uthmeier, protocolou a primeira ação judicial de um estado norte-americano contra a OpenAI e seu CEO, Sam Altman. As acusações são graves: práticas comerciais enganosas, negligência e violação das leis de responsabilidade por produtos. No centro do processo está a alegação de que o ChatGPT foi disponibilizado a milhões de usuários — incluindo crianças e adolescentes — sem mecanismos eficazes de verificação de idade, controle parental ou salvaguardas contra comportamentos nocivos.
Para além da repercussão sobre a OpenAI, o caso traz uma lição direta para qualquer organização que esteja adotando IA generativa: a ausência de guardrails, controles de acesso e governança de dados pode transformar uma ferramenta de inovação em um passivo legal e reputacional.
O que o processo da Flórida realmente revela
A leitura técnica da ação judicial vai muito além da polêmica sobre menores de idade. O que o documento expõe é uma falha sistêmica de governança que serve de alerta para qualquer empresa que coloque um modelo de linguagem em produção. Os principais pontos levantados foram:
- Ausência de controle de acesso e verificação de identidade — a ação argumenta que a versão gratuita não possuía qualquer mecanismo de restrição ou validação de quem estava interagindo com o sistema.
- Falta de salvaguardas contra conteúdo prejudicial — o processo cita casos em que o chatbot teria fornecido informações posteriormente associadas a atos de violência, incluindo um tiroteio em massa na Universidade Estadual da Flórida.
- Ignorar alertas internos e externos de segurança — segundo a acusação, a empresa teria priorizado a velocidade de lançamento sobre a mitigação de riscos conhecidos.
- Falta de transparência e supervisão humana — pais não tinham como acessar ou auditar as interações, evidenciando ausência de rastreabilidade e accountability.
Traduzindo para a realidade corporativa brasileira: cada um desses pontos representa exatamente o tipo de risco que a LGPD, o futuro marco legal da IA e frameworks como o NIST AI RMF e o EU AI Act exigem que sua empresa controle. Quando um colaborador insere dados sensíveis em um chatbot, quando um copiloto interno acessa informação além do que o usuário tem permissão, ou quando um modelo gera resposta tóxica para um cliente, a empresa — e não o fornecedor do modelo — pode ser responsabilizada.
O problema da IA sem governança nas empresas
A maioria das organizações que adotam IA generativa enfrenta um vácuo de controle. Não há visibilidade sobre quais dados estão sendo enviados aos modelos, quem está usando essas ferramentas, nem como as respostas estão sendo geradas e consumidas. É o que se convencionou chamar de Shadow AI: o uso descontrolado de ferramentas de IA fora do radar das equipes de segurança e compliance.
Os riscos concretos incluem:
- Vazamento de dados pessoais e sensíveis através de prompts (violação direta da LGPD).
- Ataques de prompt injection que manipulam o modelo para revelar informações confidenciais ou gerar conteúdo proibido.
- Excessive agency — agentes de IA com permissões além do escopo previsto, acessando dados que não deveriam.
- Respostas tóxicas, enviesadas ou perigosas chegando a clientes e usuários finais.
- Impossibilidade de comprovar conformidade diante de reguladores e auditores.
Como o Securiti AI protege as empresas
É exatamente nesse ponto que a plataforma Securiti AI se posiciona. Em vez de tratar segurança e governança de IA como uma camada superficial, o Securiti adota uma abordagem unificada que conecta a proteção do dado à proteção do modelo — garantindo que sua empresa não repita os erros expostos no processo da Flórida.
LLM Firewall (Firewall para Modelos de Linguagem)
O componente central de proteção. O LLM Firewall do Securiti opera em três frentes — prompt, recuperação e resposta — interceptando e inspecionando cada interação em tempo real. Ele bloqueia tentativas de prompt injection, impede a exposição de dados sensíveis, filtra tópicos proibidos e detém conteúdo prejudicial antes que ele chegue ao usuário. As políticas são alinhadas ao framework OWASP para IA e totalmente customizáveis conforme as necessidades de cada organização.
Mas, como o próprio Securiti destaca, um firewall isolado não é suficiente. A diferença está em conectar a segurança do modelo à governança do dado subjacente:
Controle de acesso baseado em entitlements
O Securiti cruza a identidade do usuário que envia o prompt com suas permissões reais de acesso aos dados — incluindo os embeddings armazenados em bancos vetoriais. Isso garante que cada pessoa só receba informações geradas a partir de dados que ela está autorizada a acessar, mitigando o risco de excessive agency e de acesso não autorizado. Foi justamente a ausência desse tipo de controle granular que pesou na ação contra a OpenAI.
Descoberta e classificação de dados sensíveis (DSPM)
Antes de qualquer dado alimentar um modelo, o Securiti descobre, classifica e sanitiza informações sensíveis em fontes estruturadas e não estruturadas. Isso impede que dados pessoais regulados pela LGPD sejam vetorizados ou expostos inadvertidamente durante o treinamento, o fine-tuning ou a inferência.
Governança e mapeamento regulatório automatizado
A plataforma mapeia automaticamente os controles de IA implementados contra as principais regulações e frameworks globais — incluindo o EU AI Act, o NIST AI RMF e as obrigações de privacidade da LGPD. Isso transforma a conformidade de um exercício manual e reativo em um processo contínuo, auditável e demonstrável diante de reguladores.
Do risco jurídico à confiança operacional
O caso da Flórida deixa claro que a era da IA "lançada primeiro, governada depois" chegou ao fim. A tabela abaixo resume como cada falha apontada no processo encontra resposta direta nas capacidades do Securiti AI:
| Falha apontada no processo | Resposta do Securiti AI |
|---|---|
| Ausência de verificação e controle de acesso | Controle baseado em entitlements e identidade do usuário |
| Conteúdo prejudicial não filtrado | LLM Firewall com bloqueio de tópicos proibidos e respostas tóxicas |
| Exposição de dados sensíveis | DSPM com descoberta, classificação e sanitização de dados |
| Falta de transparência e auditoria | Dashboards de visibilidade e trilha de conformidade |
| Não conformidade regulatória | Mapeamento automático para EU AI Act, NIST AI RMF e LGPD |
Para empresas brasileiras, a mensagem é ainda mais urgente. Com a LGPD plenamente em vigor e o marco legal da IA em discussão, a responsabilização por uso inadequado de inteligência artificial não é uma hipótese distante — é uma realidade que se aproxima. Adotar IA com governança desde o primeiro dia deixou de ser um diferencial competitivo para se tornar um requisito de sobrevivência.
Sua empresa está adotando IA com segurança?
A SafeLevel é parceira na implementação de governança e segurança de IA com o Securiti AI. Ajudamos sua organização a inovar com inteligência artificial sem abrir mão da conformidade com a LGPD e da proteção dos seus dados.
Fale com um especialista SafeLevel