Segurança Legal

Neste episódio conversamos como Willian Oliveira e Fernando Andreazi, da Kaspersky, sobre a evolução das ferramentas de segurança que vão além do endpoint, abordando a mudança no cenário de segurança e a necessidade de enfrentar ameaças cada vez mais sofisticadas. Você irá aprender sobre XDR, também conhecido como Extended Detection and Response e o MXDR, ou ou Managed Extended Detection and Response. Willian e Fernando trarão toda a sua experiência na área para lhe ajudar na escolha da melhor solução de segurança para o seu negócio. Este é um episódio patrocinado pela Kaspersky. Conheça o Kaspersky Next Optimum – Segurança em níveis projetada especialmente para solucionar vários desafios de negócios  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

Neste episódio, comentamos o primeiro ciberataque realizado por inteligência artificial, uma operação que atingiu 30 empresas e foi atribuída a um grupo de hackers financiado pelo estado chinês. Você irá aprender como os criminosos utilizaram agentes de IA para automatizar as fases de um ataque, desde o reconhecimento de alvos e levantamento de vulnerabilidades até a exploração e o movimento lateral dentro das redes invadidas, com o uso de ferramentas open source e o modelo de linguagem da Anthropic, o Claude. Discutimos como essa abordagem, que utiliza o Model Context Protocol (MCP), permite que a IA controle ferramentas de varredura de portas, análise de código e exploração de vulnerabilidades, representando uma mudança significativa na forma como os ciberataques são conduzidos. Abordamos também a importância da segurança para as empresas que desenvolvem sistemas de IA, a criação de agentes e as implicações futuras dessa tecnologia, incluindo o surgimento do “vibe hacking” e a capacidade da IA de encontrar novas vulnerabilidades (zero days). Por fim, analisamos o relatório da Anthropic, que detalha a operação e as lições aprendidas, e como a automação de ataques pode levar a um aumento de ameaças, permitindo que pessoas com menos conhecimento técnico realizem ataques complexos.​ Convidamos você a assinar, seguir e avaliar nosso podcast para não perder nenhuma discussão sobre segurança da informação e direito da tecnologia. Continue se informando sobre as novas tendências e ameaças do mundo digital.​ Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Disrupting the first reported AI-orchestrated cyber espionage campaign AI: What Could Go Wrong? with Geoffrey Hinton | The Weekly Show with Jon Stewart Imagem do Episódio -Eisenwalzwek (Moderne Cyklopen) de Adolph Menzel 📝 Transcrição do Episódio (00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? E nossos ouvintes e aos internautas que sempre esqueço que nos acompanham no YouTube. (00:29) Claro, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então você já sabe, basta nos contatar se quiser no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e agora o TikTok também. Você consegue fazer e assistir alguns cortes lá dos episódios que vão ser publicados lá também. E também a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal. (00:55) A gente sempre pede também que você considere apoiar esse projeto independente de produção de conhecimento. É bastante importante que você apoie para que esse projeto, para que o podcast Segurança Legal continue existindo, Vinícius. OK. Perfeito. Nenhuma vírgula. Goulart, eu vou começar com uma pergunta. Você já viu ali o título, enfim, já sabe do que nós vamos falar aqui. (01:26) Mas a pergunta é: será que nós estamos diante, será que nós testemunhamos, a humanidade acabou de testemunhar o primeiro ataque, o primeiro ciberataque realizado por inteligência artificial? Será que a IA da Anthropic um dia acordou e falou assim: “Eu vou fazer um ciberataque aqui atingindo algumas empresas e tal”? O que que o relatório da Anthropic, que é a dona do Claude, o que que esse relatório envolvendo essa avaliação de um ciberataque que houve, que teria havido a participação da IA, o que que ele nos colocou aqui? Guilherme, quando tu faz esse questionamento, ele é bastante relevante porque a gente já teve outros dois casos em que a coisa foi meio deturpada, foi colocada com, foi feito uns caça-cliques aí na internet. (02:05) A primeira delas foi aquela situação em que o Claude tentou chantagear um engenheiro que queria desligar ele. E para chantagear ele usou e-mails desse engenheiro aos quais ele teve acesso e que ele ali tinha um caso extraconjugal. Ele então ameaçou o engenheiro de que iria entregar se ele desligasse, se o engenheiro desligasse a IA. E na verdade, a coisa não, sim, aconteceu esse negócio de chantagear, isso de fato aconteceu, mas isso foi num cenário controlado. Os e-mails eram falsos. Eles criaram para simular uma situação. E de fato a IA tentou chantagear o engenheiro. (02:32) De fato isso aconteceu, mas no ambiente controlado. Não é uma coisa que saiu solta por aí, fazendo coisas desse gênero. E teve alguns outros parâmetros do teste também que modificaram um pouquinho a realidade, mas enfim, de fato aconteceu num ambiente bem controlado. Só para também destacar, eu acho que a gente ainda não entrou de vez na era dos agentes, de uma IA autônoma, no sentido de ela tomar decisões. Ela ainda é muito dependente do que a gente pede para ela fazer. E esses movimentos aí que a gente tem visto nos últimos tempos de que mexe no browser, que faz compras, eu acho que a gente tá ainda dando os primeiros passos rumo a uma autonomia maior da IA. Isso aconteceu aqui ou não? (03:44) Ah, tu diz nessa situação aqui? Aí só deixa eu citar daí um segundo caso que também fizeram um pouco de alarde fora do que havia sido colocado, que é o seguinte: que é botar uma máquina de vendas lá na Anthropic. E essa máquina de vendas, ela gerenciava que produtos ela iria vender, por qual preço e obtinha esses produtos também de fornecedores. E aí o pessoal fez logo uma matéria aqui no Brasil, inclusive, saiu a IA, que botaram a IA para gerenciar um mercadinho, uma coisa assim, e uma empresa e ela quebrou a empresa. (04:17) Na verdade, não é uma. São aquelas vending machines, sabe? Aquelas máquinas de venda que tu coloca dinheiro e compra. E de fato a máquina deu prejuízo ali. Mas não é uma coisa que agora alguém teve a ideia de botar IA para gerenciar o negócio e a IA quebrou o negócio. Aí fica aparecendo. E agora a gente tem nesse relatório, a gente tem uma outra situação mais avançada, bastante interessante. Mais avançada e com um uso principalmente de agentes. Eu acho que cabe a gente dar uma rápida explicação nessa questão de agentes, de ferramentas para conseguir entender. Quem é da TI e já tá usando IA, já tá estudando IA, já vai ter uma noção. Mas boa parte das pessoas… (05:25) E eu acho que antes disso também, Vinícius, o que que é o modelo em primeiro lugar? Até chegar no agente. Vamos lá. Então, o modelo é o que você poderia chamar de cérebro da IA. Esse modelo é o que tem que ser treinado e é o que as empresas levam meses para fazer e gastam um monte de dinheiro com eletricidade, GPUs, inclusive na aquisição de conteúdo para treinamento. Gastam um monte de dinheiro, fazem o treinamento desse cérebro, desse modelo. (05:58) Uma vez que tá feito o treinamento, a gente passa por uma fase de inferência, mas esquece o nome. O que importa é que a gente passa para uma situação que a gente consegue utilizar para uma nova etapa. E aí é que você entra quando você usa o ChatGPT, quando você utiliza um Claude AI ou Gemini, etc. São ferramentas que usam esses modelos já treinados. Em essência é isso. Acontece que esses modelos já faz uns, acho que um, já faz uns dois anos, se não até mais para cá, eles começaram a ser preparados para usar ferramentas. O que que é esse usar ferramenta? (06:42) Então, o ChatGPT há até um tempo atrás, ele respondia só com base nos dados que tinham sido utilizados para treinar ele. Tanto que tu perguntava alguma coisa mais recente, ele pegava coisas que eram velhas, nada mais recente ele conseguia trazer. O Perplexity foi uma ferramenta que quebrou um pouco essa fronteira, ou seja, eles pegaram, eles usam o modelo da Open, usam o GPT, mas também usam Claude, etc., depende do cérebro. E eles então integraram isso com uma ferramenta de busca. (07:03) Então eles usam a IA, usam os modelos para, vamos dizer assim, comandar uma ferramenta de busca, pega os resultados, analisa esses resultados e te dão esses resultados mastigados pela IA. Essa é a diferença entre tu usar o Google e usar o Perplexity para fazer uma pesquisa. Com o tempo, todas essas aplicações, todas essas aplicações, não vou usar aplicações para não misturar com ferramenta, não. Todas essas aplicações, ChatGPT, o Claude, o Gemini, etc., todos eles começaram a te dar opções de várias ferramentas, não só busca na internet, mas ferramentas que inclusive elas podem interfacear com os seus arquivos na tua máquina. (07:58) Então tu pode mandar comando, falando sobre isso aqui. O Claude, se tu instalar o Claude, os usuários de macOS, já tem essas funcionalidades há algum tempo, porque eles acabam, a Open AI lança primeiro pro Mac. A Claude fez a mesma coisa e para Windows vem um pouco depois, mas tu pode instalar, por exemplo, o Claude, a aplicação Claude, na tua máquina e lá vai ter algumas ferramentas. Cuidado com isso. Cuidado com isso. Tem algumas ferramentas que tu pode ativar que permite que ele controle o teu navegador, que ele controle, que ele consiga gerenciar arquivos na tua máquina, mover, apagar, criar pasta, etc. (08:23) Eu fiz um teste com relação a isso um tempo atrás para organizar uma pasta de downloads. Funcionou, só que são ferramentas que tu tem que tomar um pouco de cuidado porque eventualmente elas podem sair do teu controle e fazer coisas que não deveriam fazer, mas enfim. Então, notem que a IA, esse modelo que a gente falou, que é o cérebro, ele é capaz de interpretar aquilo que a gente escreve, mas ele é capaz de interpretar também aquilo que ele recebe de outras fontes, como por exemplo, de um mecanismo de busca. Ele interpreta, consegue analisar, e aquela coisa de simular o raciocínio humano. E ele analisa aquilo, escolhe o que é mais important

Neste episódio comentamos sobre as notícias mais recentes no mundo da segurança da informação e proteção de dados, com Guilherme Goulart e Vinícius Serafim. Você irá descobrir os detalhes sobre a sanção da Lei 15.254 de 2025, que criou o Dia Nacional de Proteção de Dados em 17 de julho, uma homenagem ao jurista Danilo Doneda, considerado o pai da proteção de dados no Brasil. Abordamos também o audacioso furto no Museu do Louvre, que expôs falhas críticas de segurança física, incluindo o uso de senhas fracas como “Louvre” no sistema de videovigilância, um caso que serve de alerta sobre a manutenção de sistemas dessa natureza. Além disso, você irá aprender sobre as revelações de uma reportagem da Reuters, indicando que a Meta conscientemente lucrou bilhões com anúncios fraudulentos, scams e a venda de produtos proibidos, levantando um debate sobre a responsabilidade das big techs. Analisamos também a nova versão do OWASP Top 10 para 2025 e discutimos a polêmica proposta de simplificação do GDPR na Europa, que pode enfraquecer o regime de proteção de dados ​na Europa e no mundo. Se você gosta do nosso conteúdo, não se esqueça de assinar o podcast na sua plataforma de áudio preferida para não perder nenhum episódio, nos seguir nas redes sociais e deixar sua avaliação. Sua participação ajuda o Segurança Legal a alcançar mais ouvintes e a continuar produzindo conteúdo de qualidade sobre cibersegurança e privacidade.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes: Presidente sanciona lei que cria o Dia Nacional da Proteção de Dados Louvre Heist Fallout Reveals Museum’s Video Security Password Was ‘Louvre’ The cybersecurity error at the Louvre that allowed the historic the Meta is earning a fortune on a deluge of fraudulent ads, documents show Release Candidate do Owasp Top 10 Vídeo – Pentest | O que é e como funciona um Teste de Invasão? EU Commission internal draft would wreck core principles of the GDPR 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, os nossos ouvintes. 11 de 11 hoje. 11 de 11. Hoje tem promoção em tudo quanto é coisa. (00:31) Época de mentirinha, mas esse é o nosso momento então de conversarmos sobre algumas notícias e acontecimentos que nos chamaram atenção. Pega o seu café então e vem conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para podcast@segurancalegal.com, Mastodon, Instagram, Bluesky, YouTube. (00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. E também convidamos você a acompanhar a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores lá no Telegram. (01:14) Vinícius, quer mandar uma mensagem ali pro Isaac Melo? Abraço pro Isaac Melo, que nos mandou algumas informações aqui, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que nos passaste. Isaac, muitíssimo obrigado. A gente vai dar uma olhadinha. Valeu, valeu, Isaac. (01:38) Continue sempre conosco. Primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos, ele gravou com a gente aqui no podcast, fizemos um episódio de homenagem a ele depois do seu falecimento. É uma homenagem muito justa, muito válida, sabe? Porque realmente o Danilo era um cara incrível. (02:28) Dá para se dizer que foi uma força agregadora em torno da qual nasce a lei de proteção de dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador. (02:49) Então, temos aqui o nosso dia nacional de proteção de dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mini notícia. Eu disse antes misto de felicidade, mas também com saudade. Fica homenagem aí. São coisas da vida. Enfim, furto no Louvre, Vinícius, você ficou sabendo? Sim, sim. (03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá dentro, roubaram, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto a última vez que eu vi eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo. (03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Não, sem dúvida, sem dúvida, sem dúvida. (04:04) Então agora no dia 19 de outubro alguns ladrões, foi uma coisa de filme. Certamente. Então esses ladrões se disfarçaram, roubaram em 7 minutos. Exatamente, mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar lá o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei, ouvintes, o cuidado de perguntar pro Vinícius se ele tinha ouvido falar disso. Então vai ser uma surpresa para ele também: o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram… (04:43) É que a senha do sistema de vídeovigilância, Vinícius, sabe qual era? Não, não sei qual. A senha do sistema de vídeovigilância era Louvre. E aí eles tinham um outro sistema, eu não tentaria essa senha. Eu não, ninguém iria colocar essa senha. (05:13) Eu não tentaria. Não é possível. Mas foi. Então eles, uma das senhas era Louvre e aí eles tinham, usavam um outro sistema lá também de monitoramento que era de nome Thales e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000. (05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li aí nos portais, eles usaram essa senha fraca para desativar o sistema de vídeovigilância enquanto eles estavam realizando o furto. E claro que o caso é meio pitoresco assim, a gente deu risada, mas enfim, não é algo engraçado assim. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Exato. Não teve nenhuma vítima. Mas assim, é um patrimônio. (06:14) É claro que todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, aquelas, mas enfim, isso não vem ao caso agora. O que vem ao caso, eu acho que dá para daí sim linkar esse caso meio pitoresco com as nossas temáticas aqui. Que é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de vídeovigilância, sabe? Tem você tem casos que às vezes isso não tá bem dentro da TI, não é gerenciado pela TI, fica numa zona meio… (06:48) Fica num limbo, cara. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. E isso acaba ficando no colo da TI e aí vem aquelas demandas de: “Ah, tem que abrir para acesso remoto, para acessar, quero você poder de casa.” Aí às vezes tu vai, aí o cara: “Olha, melhor não.” “Não, mas eu quero.” (07:12) Daí vem de cima, aí a pessoa quer acessar. Aí libera, aí acessa, depois esquece que isso existe, e fica lá o acesso. Você imagina o quão importante é isso pro museu mais importante do mundo? A segurança física. Claro. Sim, sim. A segurança física ali é essencial. Uhum. Nesse caso. Sim. (07:36) São objetos dos mais variados ali que estão fisicamente guardados, sob guarda do Louvre. E nem sempre os objetos pertencem ao museu. Eles podem estar momentaneamente cedidos ao museu. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas também que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Claro. Mas voltando aqui para pra segurança, Vinícius, às vezes fica… (08:16) Quase como uma questão de zeladoria. Então você tem dois problemas aí. Primeiro é o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até você pensa: “Não, mas ninguém teria audácia de…” Não. Sim, isso de fato aconteceu. (08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também nós não podemos esquecer que imagens de vídeo que envolvem pessoas, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertos pelas proteções da LGPD. (09:04) Então, é algo bem crítico assim. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios e tal, mas se insere nesse grande mundo aqui da… (09:33) Segurança física dentro da segurança da informação. Sem dúvida. E a gente tem todo aquelas, a gente não vou entrar nesse detalhe agora que a gente já conversou sobre isso várias

Neste episódio, falamos sobre como a inteligência artificial está desafiando a criatividade humana e o que estudos recentes, como um artigo da Nature, revelam sobre quem ainda leva a melhor em tarefas de pensamento divergente.​ Guilherme Goulart e Vinícius Serafim mergulham em uma análise sobre os limites e potenciais da inteligência artificial (IA) na criatividade e educação. Com base em artigos científicos, eles exploram como a tecnologia impacta desde a geração de ideias originais até a ética por trás dos algoritmos. O debate aborda a segurança da informação, o direito da tecnologia e como a neurociência ajuda a entender o processo criativo. Discutindo modelos como GPT-4, o episódio questiona se a IA pode realmente superar a capacidade humana em tarefas criativas e quais as implicações disso para o futuro. Assine, siga e avalie o nosso podcast para não perder nenhuma discussão.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Best humans still outperform artificial intelligence in a creative divergent thinking task Livro – The Creative Mind: Myths and Mechanisms Criatividade: O flow e a psicologia das descobertas e das invenções Vídeo – Debate on AI & Mind – Searle & Boden (1984) Inteligência artificial: Uma brevíssima introdução Delegation to artificial intelligence can increase dishonest behaviour Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task The Impact of Generative AI on Critical Thinking: Self-Reported Reductions in Cognitive Effort and Confidence Effects From a Survey of Knowledge Workers Livro – A fábrica de cretinos digitais: Os perigos das telas para nossas crianças Livro – Faça-os ler!: Para não criar cretinos digitais Livro – Faites-les lire !: Pour en finir avec le crétin digital (edição francesa) More Articles Are Now Created by AI Than Humans The Future of Jobs Report 2025 – World Economic Forum Imagem do Episódio – Le fils de l’homme de René Magritte 📝 Transcrição do Episódio (00:06) Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Ei, Guilherme, tudo bem? Olá aos nossos ouvintes.​(00:26) Sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem, basta enviar uma mensagem para o podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e, agora, Vinícius e ouvintes, no TikTok. Se você é jovem, porque nós, eu e o Vinícius, somos velhos, não temos TikTok, mas se você for jovem e quiser nos seguir lá no TikTok, em breve teremos também conteúdos, alguns cortes. É isso que a gente está preparando. Alguns cortes de episódios de várias coisas úteis.​(00:57) A questão do podcast é que cada vez mais você que nos acompanha aqui sabe, a gente é desafiado a consumir conteúdos mais rápidos. Então, o podcast Segurança Legal também vai… Quer ver a versão mais longa? Tem aqui, fique com a gente, vá lavar sua louça, fazer sua academia e fazer qualquer coisa.​(01:21) Ou quer também acompanhar conteúdos mais curtos? A gente também está preparando isso para vocês. Além do blog da Brown Pipe, basta acessar o www.brownpipe.com.br, ver o blog, que tem notícias, e consegue se inscrever no mailing e tudo mais, certo, Vinícius? Certíssimo, Guilherme. Bom, neste episódio a gente vai fazer uma revisão de alguns artigos que nos chamaram a atenção.​(01:45) Alguns deles já apareceram aqui no podcast ano passado, mas a gente quer uni-los em uma conversa um pouco mais direcionada, tratando sobre alguns dos problemas e das problemáticas que a gente tem visto, assim como algumas das questões mais importantes.​(02:05) Claro, tem se escrito muito nos últimos anos e a IA assumiu uma importância em todas as áreas, dá para se dizer. No direito, na tecnologia, na educação, na administração, nas artes gráficas digitais, por que não, na escrita, na filosofia. A parte ética, no final das contas, acaba sendo um fio condutor de todos esses artigos que a gente vai comentar hoje, né, Vinícius? São artigos que a gente citou muitas vezes “en passant”, meio, “Ah, tem um artigo tal que fala sobre isso”. E a ideia hoje é a gente trazer, não todos eles, mas.​(02:44) pegamos aqueles que a gente considerou mais interessantes e falar um pouco da metodologia e dos resultados obtidos. É claro que vai ter os links de todos eles no show notes, se você quiser se aprofundar em qualquer um desses estudos. A ideia é essa, a gente dar uma aprofundada um pouquinho maior em cada um deles.​(03:12) Seria uma nova época de novas luzes que a gente está vivendo, ou não? Eu acho que o primeiro ponto aqui é a questão da criatividade. É uma das grandes questões, eu acho, do uso da IA atualmente. Primeiro, o que é criatividade? E aí tu vês como todos esses temas são complexos. A gente já falou várias vezes sobre isso.​(03:32) E quando a gente começa a falar em criatividade, claro, não vai ser o objeto deste estudo especificamente, mas a gente acaba descambando para questões de neurociência, de como o cérebro funciona, de onde vêm as ideias, de como as pessoas aprendem. E aí isso acaba conectando a IA também com a educação. É uma das áreas, uma das partes mais instigantes disso tudo. Pode ela ser criativa de verdade ou não? E até que ponto nós… e o que é criatividade e até que ponto nós podemos.​(04:07) ultrapassar em tarefas criativas. E o primeiro artigo, Guilherme, foi um artigo publicado em 2023 na Nature. O título é: “Os melhores humanos ainda superam a inteligência artificial em uma tarefa criativa de pensamento divergente”. Então, só para saber, os modelos que foram utilizados neste estudo, naquela época, foram o chat GPT, a aplicação Chat GPT com o GPT 3.5 e o 4.​(04:31) E uma outra que eu confesso que eu nunca utilizei, que eu fiquei sabendo que existia através deste artigo, que é a copy.ai. Aliás, “copy” é um bom nome para inteligência artificial, porque ela copia tudo para dentro. Mas essa ferramenta copy.ai, que não é da OpenAI, usa o GPT-3, que é o modelo da OpenAI.​(05:02) Então, a ideia é que fosse solicitado aos participantes humanos e às IAs que criassem usos incomuns e criativos para objetos cotidianos. Seriam quatro objetos: corda, caixa, lápis e vela. A gente não vai entrar em muitos detalhes aqui, mas a ideia, então, era pensar em usos criativos para isso. Resultados. Guilherme, quer trazer o primeiro deles? Não, não. Pode tocar. Então, tá. Resultados.​(05:25) Primeiro, em média, os chatbots de IA superaram os participantes humanos. Na média, a IA foi mais consistente. Então, os humanos tiveram uma variabilidade maior em termos de boas ideias, foram muito criativos e, ao mesmo tempo, tiveram ideias horrorosas que a IA, na média, não atingiu.​(05:53) As melhores ideias, embora tenha tido essa superação da IA com relação à média humana, as melhores ideias humanas foram iguais ou superaram as dos chatbots. Então, as melhores ideias humanas empataram com as dos chatbots ou foram melhores. Portanto, os melhores humanos ainda superaram esses modelos.​(06:19) Notem que eu coloquei “ainda” aqui na frase. No entanto, teve algumas instâncias, ou seja, algumas situações em que a IA alcançou pontuações máximas mais altas. Então, teve o caso da copy.ai, em que a resposta para “lápis” foi considerada superior à máxima humana correspondente, e também duas sessões do ChatGPT com o 3 e o 4 em resposta a “box”, ou seja, a caixa, onde as pontuações subjetivas máximas também foram superiores às máximas humanas. Então, no final das contas, este artigo, e é um artigo que, para quem tiver interesse, eu recomendo a leitura, porque a gente está falando aqui.​(06:56) de GPT-4. Nós já estamos no GPT-5, já temos Sonnet 4.5, Opus e por aí vai. Já temos modelos bem mais capazes, que escrevem bem melhor do que esses modelos anteriores e que também geram um conteúdo melhor. Mas é interessante a gente ver essa comparação feita em 2023, mostrando, então, que os melhores humanos ainda superam a inteligência artificial, mas ela está cada vez mais próxima. E alguns estudos que a gente tem adiante vão, inclusive, chamar a atenção para isso.​(07:35) E aí você tem outra coisa, que eu acho que é a dinâmica de como a IA funciona nesses casos. Se a gente parte do pressuposto de que ela vai atuar levando em consideração essa proximidade estatística entre conceitos e palavras e, a partir daí, produzir coisas novas, o artigo chama a atenção de que uma das possibilidades de você definir, uma das formas de definir a criatividade, é justamente essa capacidade de criar ideias originais e úteis e também de fazer associações entre conceitos vagamente relacionados, ou seja, relacionar coisas que, em.​(08:16) princípio, não seriam tão evidentemente relacionadas. Claro que a IA também, se for programada para fazer isso, ela conseguiria. Eu acho que é plenamente possível. Quando a gente olha como uma matriz de IA funciona, tem um gráfico aqui, depois, enquanto você estiver falando, eu vou ver se encontro para botar no show notes também, mas ele simula a proximidade entre palavras dentro de um modelo de IA. Ele vai mostrando a distância entre as palavras e a proximidade entre elas. É uma simulação mesmo. Então, ela poderia muito bem… “Ó, tenta fazer…​(08:51) associações não tão evidentes, ou não tão próximas. É claro, também não pode ser absolutamente diferente uma coisa da outra. Mas eu acho interessante essa coisa da criatividade, como a gente vê. Como é que o cara pensou? Eu nunca tinha pensado nisso, ou seja, o cara fez de fato uma associação que seria impensável, digamos assim. Então, esse paradigma, eu acho interessante como a IA poderia, se é que vai conseguir, se adaptar a fazer essas associações nem sempre tão evidentes.​(09:22

Neste episódio, você vai aprender sobre a realidade por trás dos massivos vazamentos de senhas e como se proteger de forma eficaz. Abordamos a evolução da insegurança bancária, detalhando a nova responsabilidade das instituições financeiras em golpes de engenharia social, conforme decisão do STJ, e o que isso significa para o dever de segurança delas. Exploramos também os novos riscos da cibersegurança com a popularização dos navegadores com inteligência artificial, como o ChatGPT Atlas, e a ameaça do prompt injection. Discutimos a importância de políticas corporativas claras para o uso de IA, evitando o chamado shadow AI e garantindo a proteção de dados. Aprofundamos a análise sobre as implicações do uso de inteligência artificial generativa no ambiente profissional e pessoal. Comentamos um caso emblemático em que a consultoria Deloitte utilizou IA e entregou um relatório com alucinações de IA, resultando em perdas financeiras e reputacionais. Essa discussão nos leva a uma reflexão sobre o direito da tecnologia, a necessidade de transparência no uso dessas ferramentas e como o cumprimento de contratos pode ser afetado. Este episódio é essencial para quem busca entender os desafios práticos e jurídicos da segurança da informação na era da IA, incluindo os cuidados com a LGPD. Não se esqueça de assinar o podcast, nos seguir nas redes sociais e deixar sua avaliação para que nosso conteúdo chegue a mais pessoas.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes 3,5 terabytes de informações, ou mais de 183 milhões de senhas de e-mail, foram violadas Bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam golpe da falsa central Petição feita por IA cita dono de bar como relator; autora pagará má-fé TRT-3 aplica multa após advogado citar súmula inexistente gerada por IA Deloitte to partially refund Australian government for report with apparent AI-generated errors Deloitte was caught using AI in $290,000 report to help the Australian government crack down on welfare after a researcher flagged hallucinations ChatGPT Atlas Browser Can Be Tricked by Fake URLs into Executing Hidden Commands Artificial IntelligenceAI Sidebar Spoofing Puts ChatGPT Atlas, Perplexity Comet and Other Browsers at Risk  Foto do Episódio – Spy Booth de Bansky, foto de Duesentrieb 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 405, gravado em 27 de outubro de 2025. Eu sou o Guilherme Goulart e junto com o Vinícius Serafim vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme? Tudo bem? Olá aos nossos ouvintes.(00:27) O Vinícius está de volta, depois que um ouvinte observou muito bem que o Vinícius estava como not found no episódio 404, o episódio anterior. Uma piadinha só para os nerds que vão entender. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.(00:44) Pegue o seu café e vem conosco. Para entrar em contato conosco, envie uma mensagem para podcast@segurançalegal.com, Mastodon, Instagram, Bluesky, YouTube e agora, Vinícius, estamos no TikTok. Deus do céu. Se você é jovem, nos acompanha aqui e usa o TikTok, pode nos seguir lá também buscando por Segurança Legal.(01:08) Vamos fazer uma experiência para ver como é uma linguagem diferente, enfim, mas estamos já lá para fazer uma experiência com alguns cortes do podcast em vídeo, que nós vamos estar fazendo aí nos próximos dias ou semanas, vamos ver como vai ser. E também temos a nossa campanha de financiamento coletivo. Lá no Apoia.se você apoia o Segurança Legal, onde conclamamos sempre que você considere apoiar essa iniciativa independente de produção de conteúdo.(01:26) Vinícius, vamos para a mensagem dos ouvintes. Temos uma mensagem bem interessante que não vamos identificar o autor, lá no episódio 403, 10 orientações sobre o uso de IA no ambiente empresarial. E esse ouvinte anônimo disse o seguinte: “Eu mesmo, como um his programador, há alguns anos fiquei por meses pedindo aos meus gestores uma formalização e atualização do nosso NDA para que(02:04) pudéssemos usar sem medo LLMs como auxílio. Sempre enrolado, resolvi seguir para o jurídico da empresa, abrir ticket, mais uma vez, depois de meses insistindo no ticket e com meus gestores, o ticket foi fechado e nada foi resolvido ou esclarecido”. Será que essa é uma situação comum hoje em dia, Vinícius? A primeira coisa é: eu não gostei.(02:29) Não te deprecie chamando de his programador. His programador. Não, tu não é um his programador, cara. Tu é um programador, é um desenvolvedor. Nada de his. E a questão de formalização com uso de LLM como auxílio para desenvolvimento, eu tenho visto duas, tem várias posturas, mas as que mais me chamam a atenção são ou aquela postura em que não permitem por medo que os códigos sejam utilizados, que as bases, repositórios de código e tal da empresa sejam utilizados para treinar IA(03:05) e eventualmente acabe revelando alguma coisa sobre os sistemas da própria empresa. Só que aí é uma questão de se analisar as ferramentas, ver as opções disponíveis no mercado para uso empresarial, inclusive ver as opções de configuração e algumas coisas mais que têm que ser vistas.(03:27) Eu acho que isso sim tem que passar pelo pessoal da segurança, digamos assim, dentro da empresa e tem que se estabelecer quais são as práticas aceitáveis, ou seja, quais são as ferramentas aceitáveis, quais são as configurações mínimas que devem ser feitas, esse tipo de coisa. Então, eu tenho visto tanto situações em que a empresa simplesmente diz que não pode usar, e no desenvolvimento a gente pode discutir a aplicação de IA em várias situações, mas no desenvolvimento ela é extremamente útil. A generativa para gerar código é extremamente útil. Não há dúvida nesse sentido. E há também o outro(04:05) extremo, em que o pessoal utiliza o que lhe vem na telha. Então não há uma recomendação formal por parte da empresa. E aí cada um vai usando a ferramenta que tem à disposição, seja free ou não. É o shadow AI. É o shadow AI que a gente comentou. Então, cada um utiliza o que acha melhor e nem sempre com as configurações mais adequadas, nem sempre com uma revisão adequada do que tem sido submetido para a IA, o que fica na IA, o que não fica, etc. Então, esses dois extremos são(04:40) bem delicados. E essa questão de definição, de sentar para definir, eu não sei, Guilherme, eu não fiz pesquisa sobre isso ainda. Mas me parece que está se normalizando o uso da IA como se fosse usar o Google e o pessoal não está sentindo tanta necessidade de definir claramente as regras para uso desse negócio, entende? Porque parece que é mais um Google, mais uma aplicaçãozinha qualquer assim.(05:15) Então há uma clara falta de atenção a esse ponto, que é o que o nosso ouvinte coloca como o sofrimento dele ali, tentando contato com alguém para dizer o que pode usar, o que não pode, quais são as diretrizes, qual é a regra. E ao mesmo tempo, sem regra nenhuma, o que ele faz? Ele não vai usar? Ou vai usar conforme o que ele acha que deve ser o ideal? Então assim, eu entendo bem isso que ele está colocando.(05:47) Acho que é mais uma dessas políticas que têm que ser criadas, definidas dentro das empresas e que a gente sabe muito bem que muitas vezes elas nem sequer existem, nem as mais básicas existem, quanto mais essa. É, era o que eu ia dizer. Eu acho que não é só uma questão de NDA, mas é mais do que NDA, é você ter diretrizes sobre o uso, porque elas vão envolver também proteção de dados. Mas assim, vamos lá. Tem empresas que até hoje ainda não regulam o uso de internet, de navegação dos seus funcionários. Então, quiçá pensar na IA. Veja, é(06:20) quase também como uma cegueira generalizada. Muitos gestores fecham os olhos no sentido de ignorar que os funcionários estão utilizando. Mas, gente, as pessoas estão utilizando em contextos bem complicados, bem delicados, levando até em consideração aquilo que nós falamos no episódio passado, que seria como a IA promove comportamentos desonestos, que daí passa a ser um outro problema também quando você não tem o monitoramento ou controle adequado. Então tá, um abraço.(06:51) Isso aí, um abraço para o nosso ouvinte não nominado. Vinícius, 3.5 TB de informações ou 183 milhões de senhas de e-mail foram vazadas. É isso mesmo. Isso me chamou muita atenção, essa notícia. Eu vi em mais de um site. São senhas do Gmail. Então eu pensei: “Meu Deus do céu, vazou alguma coisa lá no Google ou conseguiram fazer alguma coisa para extrair essas senhas lá de dentro?”. E a primeira coisa que me chamou a atenção, logo que eu vi que as senhas(07:28) estavam em texto claro, o dataset seria endereço de e-mail e senhas em texto claro. E te dizer, eu não consigo imaginar, consigo imaginar muita coisa, mas não o Google armazenando as senhas em texto claro em algum lugar que permita alguém fazer um dump com usuário e senha. E aí, de fato, quando eu comecei a ler as notícias e tal, inclusive o Have I Been Pwned teria noticiado esse vazamento. Mas se vocês derem uma procurada, vocês vão(08:03) encontrar o mesmo que eu encontrei, a conclusão a que cheguei é que é uma notícia que não é bem uma notícia. É um bocado de senha que foi coletada por meio de malware, foram ataques feitos a pessoas ao longo de um período de tempo bastante grande e mais de 90% dessas senhas já estavam em bases de vazamentos anteriores e foi feito mais um daqueles compilados do que rodava por aí na internet. De qualquer maneira, então assim, é uma notícia que não é uma notícia, na nossa opinião. É mais um(08:37) clickbait do que uma notícia. Mas a gente até gravou um vídeo esses tempos atrás, um videozinho que a Camila publicou, que eu gravei com essa questão do Have I Been Pwned. Eu acho que a gente mantém a recomendação de, tempos em tempos, dar u

Neste episódio falamos sobre informações classificadas governamentais na nuvem, preocupações de segurança dos auditores, atualização do grande ataque financeiro e o aumento de comportamentos desonestos com uso de IA.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes GSI/PR publica norma para uso de computação em nuvem para tratamento de informações classificadas INSTRUÇÃO NORMATIVA GSI/PR Nº 8, DE 6 DE OUTUBRO DE 2025 INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021 AWS Top Secret Cloud CIA makes awards for intelligence community’s next massive cloud contract A decade-old risk led to ‘phenomenal partnership’ between AWS and the intel community Global Risk in focus promovido pela Internal Audit Foundation PF intercepta conversas de hackers de maior ataque cibernético ao sistema financeiro: ‘Tamo famoso’ e ‘Tenho lista de laranjas’ Servidor cobrou R$ 1 milhão para deixar fraudadores invadirem sistema do BB Artigo – Delegation to artificial intelligence can increase dishonest behaviour Capa do Episódio – Caminhante sobre o mar de névoa de Caspar Friedrich 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 404, gravado em 13 de outubro de 2025. Eu sou o Guilherme Gular e, desta vez sozinho, vou trazer para vocês algumas das notícias que nos chamaram a atenção nas últimas semanas. Então, pegue o seu café e venha com a gente.(00:27) Você já sabe que este é o nosso momento de conversarmos e falarmos sobre algumas das notícias que nos chamaram a atenção. Você também sabe que pode entrar em contato conosco pelo e-mail podcast@segurançalegal.com, no Mastodon, Instagram, Bluesky e YouTube. Se quiser, também pode nos assistir pelo YouTube. A grande maioria, na verdade, nos escuta pelo feed, mas também estamos no feed, que você pode assinar direto no site segurancalegal.com, e também no Spotify. Se quiser ouvir pelo Spotify, também estamos lá. E temos a nossa(01:01) campanha de financiamento coletivo no apoia.se/segurançalegal. Você pode escolher a modalidade de apoio, e sempre conclamamos que você considere apoiar um projeto de divulgação de conhecimento e divulgação científica das áreas de segurança da informação, direito da tecnologia, proteção de dados e, mais recentemente, nos últimos um ou dois anos, temos falado muito mais sobre inteligência artificial.(01:33) É o tema da vez, que se relaciona muito com os assuntos que tratamos aqui, sobretudo segurança da informação e proteção de dados pessoais. Vamos às notícias desta semana, começando com uma que achei bem interessante. Inclusive o Vinícius, que infelizmente não pôde estar conosco hoje, foi consultado por um órgão de imprensa. Depois temos que ver se a reportagem da qual ele participou já foi publicada. Mas, de qualquer(02:04) forma, tivemos essa nova regra do Gabinete de Segurança Institucional para o tratamento de informações classificadas em nuvem. Estamos falando de uma instrução normativa do GSI, do Gabinete de Segurança Institucional, a Instrução Normativa número 8, publicada no dia 7 de outubro de 2025, que faz uma mudança bem importante no paradigma de tratamento de informações classificadas, ou seja, aquelas informações que exigem um grau diferenciado de segurança.(02:45) O primeiro ponto que podemos destacar é a própria divisão desses dois mundos da cibersegurança: o mundo das empresas, o mundo privado, e o mundo dos Estados. Ou seja, a segurança é vista no âmbito do poder público, não só do poder público brasileiro, mas mundial. Por trás disso tudo, os pressupostos de cibersegurança e de segurança da informação continuam os mesmos. Ainda falamos sobre os atributos de segurança: confidencialidade, integridade, disponibilidade da(03:26) informação, não repúdio, entre outros. O que ocorre é que, quando separamos os mundos público e privado, as necessidades são diferentes. Eu diria que as ameaças, as fontes de ameaça, são diferentes, porque quando olhamos para os atacantes envolvidos em ataques e violações nos mundos privado e público, as motivações deles são distintas. Vimos recentemente as invasões no sistema de pagamentos brasileiro. O objetivo ali do atacante,(04:07) a fonte da ameaça, é justamente obter ganho financeiro. Quando falamos em Estados, por outro lado, nem sempre será isso. Posso ter, inclusive, motivações políticas, relacionadas aos regimes de um determinado Estado e acesso a informações por outros Estados para fins até comerciais.(04:30) Vimos isso acontecer no Brasil quando, ainda no governo Obama, a presidente Dilma foi monitorada. Tem aquele caso que chamou bastante atenção. Então, temos um paradigma de ameaças totalmente diferente, envolvendo até questões de espionagem ou ciberespionagem. O primeiro ponto é essa divisão entre os dois mundos. E essa nova norma representa uma mudança de postura bem importante da administração pública brasileira ao se abrir para a nuvem,(05:10) embora o Serpro já utilizasse, via seus próprios serviços, outros serviços de nuvem. Vemos essa abertura na linha de uma renovação. Vimos também em agosto deste ano, com o decreto 12.157/2, uma renovação da Política Nacional de Segurança da Informação. Então, além desse novo decreto que estabelece a nova PNSI, temos agora a possibilidade de tratar dados classificados nos graus reservado e secreto em nuvens privadas ou comunitárias em data centers exclusivamente localizados no(05:54) Brasil, desde que esses provedores sejam habilitados pelo Estado para realizar o tratamento dessas informações e também sejam auditados. E, nessa linha, uma portaria, alguns dias antes dessa que falo agora, a Portaria do GSI número 37 de outubro de 2025, habilitou a Amazon, a AWS, para, abro aspas: “a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética, além da promoção da melhoria na cultura(06:30) cibernética nacional”. Então, tudo indica que veremos a AWS como esse agente de nuvem para tratar essas informações classificadas do Estado brasileiro. Fica vedado, entre outras coisas que a instrução traz, o uso de nuvem pública ou nuvem híbrida. É interessante dizer que existe outra instrução normativa. Estou falando aqui sobre algumas normas, instruções e tudo mais, e pode cansá-los um pouco, mas a administração pública brasileira é cheia de normas de segurança da informação, não só para o tratamento de(07:13) informações, mas para outras atividades também. Então, pode soar meio cansativo, mas é a característica da administração pública. Quando essa nova norma veda o uso de nuvem pública ou híbrida, o que é nuvem pública ou híbrida? Bom, há outra instrução normativa, a número 5 de 2021, que define o que é cada uma delas. Inclusive, essa instrução número cinco que acabei de me referir também foi modificada por esta nova instrução, a número(07:45) oito, de outubro de 2025, para proibir o uso de computação em nuvem. Ou seja, antes ela proibia o uso de computação em nuvem para informações classificadas, e essa nova instrução normativa altera a de número cinco para permitir isso. E essa de número cinco também traz outros requisitos mínimos de segurança.(08:11) O que mais essa instrução traz? Ela é bem técnica no sentido de estabelecer requisitos especificamente técnicos para o tratamento dessas informações. Quando olhamos o artigo terceiro da norma, vou dar alguns exemplos para vocês. Ficarão, como sempre, os links no show notes para que leiam, eu sugiro que leiam. Questões técnicas como segmentação de redes para permitir o isolamento de ambientes, uso de tecnologias para o isolamento de máquinas(08:49) virtuais, sendo que esse isolamento deve se dar por cada órgão, inclusive. Ou seja, não se pode compartilhar máquinas fora do órgão. Uso de algoritmos de Estado de criptografia, sobre o que falarei um pouquinho depois. É uma coisa já relativamente antiga na nossa organização da segurança da informação brasileira.(09:22) A norma também exige garantir que as chaves criptográficas sejam gerenciadas exclusivamente pelos órgãos de registro. A gestão de chaves é um dos grandes problemas no âmbito da criptografia, independentemente do algoritmo utilizado — e o Vinícius sempre comenta isso — e a norma endereça essa preocupação, bem como a necessidade de uso de backups criptografados, a implementação de logs imutáveis e um sistema centralizado de gestão de identidade.(09:52) Ou seja, a nuvem que for habilitada para atuar tratando os dados classificados do Estado brasileiro precisará se adequar a esta norma. Então, o que teremos com essa aproximação com a AWS, por exemplo, é que a AWS disponibilize serviços que sejam compatíveis com essas regras. Isso já vem acontecendo, já acontece nos Estados Unidos, como vou falar logo a seguir. E também uma coisa que chamou atenção é que esse provedor, ao prestar esses serviços,(10:28) lá no artigo sétimo, deve possuir as certificações em cinco normas ISO: a 27.001, a 27.017, que é de diretrizes para segurança em serviços de nuvem, a 27.701, que é a extensão da 27.002 para os controles de segurança certificados pela 27.001, e a 22.301, que é sobre segurança em data centers. Além de questões relacionadas à recuperação de desastres, não compartilhar recursos físicos com outros clientes que não sejam o órgão em questão, como eu disse antes.(11:12) De fato, são normas importantes. São, eu diria, diretrizes de certa forma até um tanto quanto genéricas, mas que colocam um grau de segurança importante, interessante, eu diria adequado, talvez, com o nível de exigência de segurança que se exige para o tratamento de informações classificadas. Agora, também, como se sabe, é possível estabelecer algumas críticas. Eu comentei antes que é uma movimentação do(11:53) Estado brasileiro no sentido de utilizar recursos em nuvem. Ou seja, você tem aí, evidentemente, benefícios. E, como a adoção de tecnologias e a migração para a nuvem, seja no setor público ou no setor privado, sempre

 Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Neste episódio, você vai aprender a navegar pelos desafios e oportunidades da inteligência artificial no ambiente corporativo. Abordamos a importância de criar um processo de governança de IA, os perigos da “Shadow AI” (o uso não autorizado de ferramentas pelos funcionários) e por que sua empresa precisa estar pronta para explicar as decisões tomadas por algoritmos. Discutimos como a qualidade dos dados de treinamento é crucial para evitar vieses e discriminação, garantindo que a implementação da tecnologia seja ética e em conformidade com a LGPD. Saiba como proteger sua empresa e seus clientes na era da IA.​ Aprofundamos o debate sobre as responsabilidades que surgem ao integrar a inteligência artificial aos seus sistemas. Analisamos como as decisões de uma IA podem impactar os direitos dos titulares de dados, exigindo uma gestão de riscos alinhada à proteção de dados. Além disso, exploramos os desafios técnicos de segurança, como a necessidade de realizar testes específicos (pentests) para modelos de linguagem (LLM), e a decisão estratégica entre adotar um modelo comercial pronto ou investir no desenvolvimento de uma solução própria. O episódio oferece um guia para empresários e gestores que buscam inovar com responsabilidade. 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de Segurança da Informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? (00:18) E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos assistem no YouTube. (00:25) Sempre esqueço de dizer isso, mas lembrei hoje. Um olá para eles também. E, sempre lembrando, para nós é fundamental a participação dos ouvintes com perguntas, críticas e sugestões de tema. Para isso, encaminhe uma mensagem para o podcast@segurançalegal.com. (00:43) Você também pode nos encontrar no YouTube, onde pode assistir à versão em vídeo deste episódio, e no Mastodon, Blue Sky e Instagram. Temos também o blog da Brown Pipe, onde você acompanha as notícias mais importantes e pode se inscrever no mailing semanal para se manter informado. Certo, Vinícius? (01:05) Certo. Perfeito, Guilherme. (01:07) Quem está nos assistindo pelo YouTube hoje vai conseguir me ver um pouco, no que nos meus termos considero, “escabelado” ou descabelado. Hoje meu cabelo está uma zona. (01:19) Tudo bem. O foco é interessante. O podcast é um produto feito para ser ouvido. Nós começamos, desde 2012, sempre com a versão em áudio. Depois, as coisas foram também para o YouTube. Hoje, é bem comum que os podcasts tenham sua versão em vídeo, mas confesso que minha forma de consumir conteúdo no YouTube, na maioria das vezes, é ouvindo. (01:48) Sim, é um meio diferente para quem não quer usar o Spotify ou assinar um feed e prefere ouvir pelo YouTube. (02:03) Uma curiosidade para quem está nos ouvindo ou nos vendo: o primeiro podcast que gravamos, não do Segurança Legal, mas de outra iniciativa nossa, foi em 2007. Era um “Netcast”. (02:30) Exato, era Netcast. Tinha a TWiT, que existe até hoje, com o pessoal do Security Now. Naquela época, já consumíamos o Security Now direto. (02:51) Acho que foi o precursor para nós. Foi o podcast que mais ouvi. Depois, começou a ficar longo demais e parei. Eles diziam: “Netcasts you trust, from people you trust”, se não estou enganado. É o chavão da TWiT, com “T”. (03:21) Sim, TWiT, T-W-I-T. Existe a Twitch, que é a plataforma de transmissão de jogos, mas a do Security Now é TWiT.tv. Eles estão no episódio 1004. (03:50) Mas vamos ao que interessa, Vinícius. (03:52) Bora. (03:53) Quem nos escuta sabe que temos uma certa reserva em fazer episódios como “top 10”. Mas eles têm um apelo, as pessoas gostam. Então, observamos o que as pessoas gostam, e é uma forma de abordar um tema. Vamos trazer 10 orientações ou recomendações para o uso de inteligência artificial em sua empresa, um episódio direcionado para empresários. (04:46) Claro, cada uma dessas recomendações daria um episódio inteiro. A ideia é falar rapidamente sobre cada uma para que você tenha uma visão geral dos desafios atuais e das recomendações que podem ajudar a resolvê-los. Não vamos focar nos desafios, mas sim nas soluções. (05:11) A primeira coisa, Vinícius, seria estabelecer um processo de governança e supervisão humana no uso de ferramentas de IA, compreendendo todo o ciclo de vida. Esta é uma metarrecomendação, e todas as outras, de certa forma, estarão relacionadas a ela. Estabelecer um processo de governança prevê as outras recomendações que faremos e implica em mais do que apenas um uso responsável. (05:49) Por exemplo, pensar nos aspectos éticos do uso da IA é um dos grandes problemas que a humanidade enfrenta agora. Quando falamos de IA e educação, isso é uma questão ética. Vi uma reportagem que dizia que a IA tem ajudado muito os especialistas, mas prejudicado os iniciantes. (06:20) A analogia era como dar um carro de Fórmula 1 para quem está aprendendo a dirigir, sem indicar o caminho a seguir. Pensar nesse tipo de questão ética é algo a ser feito na etapa inicial de governança e supervisão: como vou usar, quando, quais problemas podem surgir e as questões de política que precisaremos prever. (06:55) Só este primeiro ponto já dá um belo trabalho. Quando falamos em “todo o ciclo de vida”, separei as fases da IA: design (concepção e planejamento), desenvolvimento (coleta e preparação dos dados, com cuidados de limpeza, anonimização, qualidade), desenvolvimento do modelo (arquitetura, algoritmos), integrações e testes, e o deploy. (08:23) Depois, de maneira geral, temos treinamento, operação e monitoramento contínuo, evolução e otimização, e “decommissioning” (substituição do modelo). A governança e a supervisão humana, só nesse primeiro item, já envolvem bastante trabalho e complexidade. (09:12) E quando se fala em ciclo de vida, temos que pensar em correções de problemas, o que se conecta com a questão dos vieses, uma das recomendações que traremos. Eventualmente, você pode ter que corrigir seu modelo e resolver problemas, inclusive de segurança. A governança de IA terá que endereçar isso. Se você não pensa em governança de segurança, saiba que terá um passivo adicional. (10:11) Agora, é preciso se preocupar com governança de segurança, de dados pessoais e de IA. Essas coisas estão integradas, principalmente proteção de dados e segurança, porque a IA é mais um sistema com novas vulnerabilidades e problemas. (10:36) O segundo ponto é a chamada Shadow AI. Nós gravamos um episódio sobre Shadow IT, o de número 126, com nosso amigo Vine Barreira, em 2 de junho de 2017. (11:10) A ideia de Shadow IT é permitir, por ação ou omissão, que os empregados utilizem sistemas não autorizados pela empresa. Trazendo isso para a IA, é a situação em que funcionários usam ferramentas de IA não autorizadas ou sobre as quais você não pensou nos riscos, como onde os dados estão ou quem é o responsável. (12:08) Isso traz problemas de conformidade e gestão de risco, porque você não sabe o que está indo para lá nem o que o funcionário pode fazer em sistemas descontrolados, envolvendo vazamentos e tratamentos de dados não autorizados. No caso de incidentes, a empresa pode nem conseguir investigar adequadamente por não saber que o sistema estava sendo usado. (12:55) É comum que empresas deixem funcionários à vontade para usar seu LLM, inclusive em ambientes governamentais, como no judiciário, para apoiar decisões judiciais, o que é um uso crítico. No ambiente empresarial, isso cria um risco e uma responsabilidade diferentes para o empresário. (13:32) No mês do advogado, me pediram para fazer uma palestra sobre IA. Fui atrás de informações e vi que há uma série de recomendações da OAB Nacional sobre o uso de IA. Boa parte delas impacta diretamente o uso que todos estão fazendo de ferramentas como o ChatGPT, subindo documentos para “conversar” sobre eles. (14:18) As pessoas não leem os termos de uso e não sabem como seus dados estão sendo usados. A maioria nem sabe que precisa desativar o histórico de conversas. Gravei um vídeo rápido sobre isso. A Shadow AI está se intrometendo em tudo. Logo, estará embutida no sistema operacional, e não será possível desativar. (15:04) Estão surgindo ferramentas agregadoras que chamam a atenção por serem mais baratas. Com elas, você tem acesso a todos os modelos (GPT, Claude, etc.) por um preço menor, fornecidas por players que usam as APIs da OpenAI e de outras. O pessoal está utilizando por ser mais barato, mas talvez os termos de uso sejam um pouco mais delicados em termos de privacidade. (16:05) Eu disse que não ia trazer números, mas não me aguentei. Uma reportagem do CX Trends, embora devamos ver essas pesquisas com certo cuidado, aponta uma tendência. Empregados que utilizam IA sem autorização: no turismo e hotelaria, 70%; nos serviços financeiros, 49%; no varejo, 43%; e na saúde, 33%. Todos esses setores, especialmente turismo, serviços financeiros e saúde, têm um intenso tratamento de dados pessoais, inclusive dados sensíveis na saúde. (17:28) Uma coisa que sempre me preocupou é que esses serviços de LLM geralmente têm um botão de “compartilhar”. O que separa o mundo externo de ter acesso a uma informação que está em um LLM usado como Shadow AI é apenas um botão. Para a gestão de vazamentos, isso representa um ponto muito crítico para empresas que não sabem o que está acontecendo. (18:22) Esses links de compartilhamento são um risco à parte. O link é “ao portador”: quem tem o link, acessa. Não há auditoria, não é possível limitar o acesso a uma conta específica. Se alguém compartilha o link em um grupo de WhatsA

Neste episódio do Café Segurança Legal, Guilherme Goulart e Vinicius Serafim analisam o poder da tecnologia na sociedade moderna. Você entenderá como a Geração Z no Nepal usou apps como Discord e Bitchat para organizar protestos massivos que culminaram na deposição do governo, em meio a um bloqueio de redes sociais. Discutimos também um estudo da UFRJ que revela a opacidade do algoritmo de recomendação do YouTube e seu poder editorial para direcionar a audiência. Por fim, exploramos a crescente e preocupante vigilância no trabalho, exemplificada pela demissão em massa no Itaú baseada em monitoramento, e os perigos da inteligência artificial.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Geração Z se levanta para expor corrupção no Nepal Como o YouTube privilegia canais de notícias em suas recomendações Itaú demite cerca de mil bancários em home office sem qualquer advertência prévia ou diálogo com o Sindicato Itaú planejava demitir o dobro de funcionários por home office considerado improdutivo ‘Trabalhei sete dias seguidos e até de madrugada’, diz demitido do Itaú em home office Amazon faces spying claims over AI cameras in vans Amazon Told Drivers Not to Worry About In-Van Surveillance Cameras. Now Footage Is Leaking Online OpenAI Says It’s Scanning Users’ ChatGPT Conversations and Reporting Content to the Police Switzerland releases its own AI model trained on public data Imagem do Episódio – Guru 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 402, gravado em 17 de setembro de 2025. Eu sou o Guilherme Goulart, junto com Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. (00:26) Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida e venha conosco. Para entrar em contato conosco, envie uma mensagem para podcast@segurançalegal.com ou também no Mastodon, Instagram, Bluesky e YouTube, onde você consegue ver, se já não está vendo, este episódio. Se quiser, também consegue acessá-lo por lá. (00:49) Inclusive, vamos falar sobre o sistema de recomendação do YouTube aqui, Vinícius. Hoje, também temos a nossa campanha de financiamento coletivo, você já sabe, lá no Apoia-se: apoia.se/segurançalegal, onde você consegue selecionar uma das modalidades de apoio e nos apoiar. (01:08) Nós sabemos, Vinícius, que hoje tem muita gente pedindo apoio, muitos canais e muitas iniciativas que merecem. É muito diferente do que era quando começamos, há 12, 13 anos. Mas, ainda assim, pedimos a sua atenção e o seu carinho para apoiar um projeto independente. Conte com a nossa independência. (01:33) É um projeto independente de produção de conhecimento. Então, pedimos que, se você puder, considere apoiar o nosso podcast. Vamos para a primeira, Guilherme. Vamos para a primeira. O que está acontecendo no Nepal, aquele país absurdamente longe do Brasil, do outro lado do mundo? (01:59) Eu estava olhando aqui, Vinícius, no Google Maps, inclusive estou abrindo agora. O pessoal do Xadrez Verbal comentou sobre essa crise lá no Nepal. Uma das curiosidades do Nepal é ser o único país que tem uma bandeira que não é retangular, não é quadrangular; são dois triângulos, dois triângulos retângulos, parece. É quase como uma flâmula. (02:21) O que está acontecendo lá no Nepal? Na verdade, vou me limitar aqui às questões tecnológicas, darei um contexto geral. Porque as questões políticas e tudo mais, pelo amor de Deus, vão lá escutar no Xadrez Verbal, um ótimo podcast. (02:41) E eles mesmos disseram que também não são especialistas em Nepal. Então, se eles не são, nós menos ainda. Longe de querermos fazer uma análise política da coisa, ou mesmo de toda a situação que está acontecendo lá. (03:04) Mas o que chamou a nossa atenção do ponto de vista da tecnologia? Foram essas notícias de que primeiro houve o bloqueio das redes sociais, aí a Geração Z protestou, ateou fogo em vários lugares. Parece que a primeira-dama de lá acabou morrendo queimada num incêndio. (03:35) Manifestantes morreram, também foram mortos no conflito com a polícia. E que isso teria acontecido, o estopim teria sido o bloqueio das redes sociais no Nepal. A partir daí, começa todo um processo que acabou com a escolha de um substituto, ou seja, o governo foi deposto e foi escolhida uma substituta por meio do Discord. Então, quando olhamos a coisa do ponto de vista da tecnologia, é isso. (04:04) Bloquearam as redes sociais, a Geração Z protestou, saiu botando fogo em tudo, gente morreu, teve protesto, derrubaram o governo no Discord, estabeleceram um governo de transição e a coisa está seguindo. Vamos ver o que acontece daqui a seis meses. (04:22) Só um detalhe, Vinícius, mas explique por que bloquearam. É a isso que eu vou chegar. Mas essa é a visão, a coisa muito simplista e limitada. Vou expandi-la um pouquinho, mas ela vai continuar simplista e limitada. O Xadrez Verbal tem mais informações profundas sobre isso. (04:44) O governo nepalês já vinha em um cabo de força com as redes sociais para que essas empresas instalassem escritórios no Nepal, coisa que o governo brasileiro já fez há mais tempo. Ou seja, se você tem que operar aqui, vai ter que ter um escritório aqui, até para podermos te demandar judicialmente, etc. (05:07) Quais eram as intenções do governo nepalês com relação a esses escritórios? Eu não sei. Então, é algo a ser investigado por outros podcasts e jornalistas. Mas existia esse cabo de força entre o governo nepalês e as redes sociais. (05:29) Pelo que ouvi no próprio Xadrez Verbal, que acompanhamos, existe uma situação bastante grave de corrupção lá, bem intensa, pelo que parece. E aí, o governo nepalês teria bloqueado as redes sociais em razão do descumprimento, por parte dessas redes, da determinação de terem um escritório no Nepal. Mas daí, aquilo que comentávamos antes, Guilherme: é legítimo que o governo exija que se tenha um escritório no país. Só não sabemos as intenções do governo nepalês com relação a isso, se tinha alguma coisa envolvendo… (06:08) …tentar suprimir dissidência política ou coisa parecida. Não sabemos. E vamos lá: “Ah, mas essas redes não fariam isso porque são pela liberdade de expressão”. Já comentamos isso. O X e outras já ficaram muito felizes em cumprir ordens que bloqueiam e limitam a liberdade de expressão em vários países com ditaduras. Eles не têm nenhum problema, nenhum pudor com isso. E aqui no Brasil tem outras questões, mas enfim. (06:43) E aí é uma dúvida minha mesmo, Guilherme. Não sei se o governo nepalês simplesmente bloqueou as redes sociais por causa desse descumprimento ou se, já prevendo uma movimentação muito forte contra o governo por meio dessas redes, ele juntou a fome com a vontade de comer. Já tinha aquela determinação para as empresas terem escritório no Nepal, e elas не tinham. Aí, de repente, sentindo uma ameaça vindo pelas redes sociais: “Então, vou bloquear…” (07:23) “…as redes sociais com a desculpa de elas não terem posto o escritório no Nepal”. Isso aqui é uma suposição minha completamente. No Nepal, não no Brasil. Eu falei no Brasil? (07:41) Longe disso. No Brasil, obviamente, as coisas são bem diferentes do Nepal nesse sentido. Então, o que temos ali é esse bloqueio das redes e a tal Geração Z sai às ruas protestando não apenas contra o bloqueio das redes, mas contra a corrupção. E aí a coisa se desenrola com violência, com casa sendo queimada, gente morrendo, esse tipo de coisa. E essas redes são bloqueadas de fato. E aí acontecem duas coisas que nos chamaram a atenção. (08:21) Uma é que eles passaram a utilizar o Bitchat, que até instalamos para dar uma olhada, pois não conhecíamos o aplicativo. É um aplicativo interessante para comunicação em rede, tanto via Bluetooth quanto via internet, de forma anônima. Não tem conta, você simplesmente abre o aplicativo peer-to-peer e sai conversando. (08:46) O que eu achei interessante é que, com esse aplicativo, você pode conversar com pessoas que estão na mesma região geográfica que você, ou pode se “teletransportar” para uma região e conversar com o pessoal de lá. Literalmente, aparece o mapa do globo e você escolhe onde quer estar. (09:06) Mas o mais interessante é que esse aplicativo faz a comunicação via Bluetooth com distância de até 30 metros. “Poxa, mas para que eu vou usar isso? Para conversar com o Guilherme que está em Porto Alegre, eu não consigo usar via Bluetooth, por óbvio”. Perfeito. Mas numa situação em que você tem um grupo, uma grande massa de pessoas protestando ou querendo se coordenar, mesmo que esse grupo abranja uma área bem maior do que 30 metros, até mesmo quilômetros… (09:43) …usando o aplicativo BitChat, ele monta uma rede, independente da internet, via Bluetooth entre esses dispositivos para a comunicação entre as pessoas que estão nesse local. Então, de repente, você tem 1.000, 5.000, 10.000 pessoas num determinado local usando esse aplicativo. (10:07) Ainda que a rede caia, que não tenha rede social, WhatsApp, Signal, seja o que for, é possível a comunicação entre os aparelhos que estão nesse grupo. E uma coisa interessante é justamente essa característica da rede mesh: você tem um aparelho roteando, ou seja, encaminhando mensagens cifradas de um para outro até chegar nos destinatários que estão naquele local. (10:30) Então, de repente, o Guilherme está lá na frente do grupo. Eu estou a 1 km de distância dele. Claro que o meu Bluetooth não vai chegar lá, mas as mensagens serão roteadas através dos telefones de outros participantes que estão entre nós usando o mesmo aplicativo até chegar a mim, e conseguimos nos comunicar. (10:54) Conseguimos nos comunicar individualmente, de forma pr

Neste episódio falamos sobre as novas e rigorosas regras de segurança do Banco Central para o sistema financeiro (Resolução 498) após os recentes ataques cibernéticos.​ Discutimos a exigência de diretorias específicas para gestão de riscos e segurança, a necessidade de segregação de funções para evitar conflitos de interesse, e a obrigatoriedade de auditorias externas anuais e certificações como a ISO 27001. Analisamos também os novos controles técnicos, como o isolamento de ambientes Pix, a gestão de chaves criptográficas e o monitoramento de atividades suspeitas, especialmente em horários não convencionais.​ Aprofundamos a análise sobre como essas novas regras de segurança da informação são uma resposta direta a incidentes de grande repercussão, como os ataques que desviaram milhões de reais. O episódio explora a mudança mais significativa: a responsabilidade agora é estendida aos contratantes dos PSTIs, que deverão monitorar e até denunciar seus fornecedores ao Banco Central em caso de descumprimento. Abordamos o impacto dessa nova camada de supervisão e conformidade, que vai além do PSTI e atinge todo o ecossistema que utiliza o sistema financeiro nacional.​ Para não perder nenhuma análise sobre direito da tecnologia, segurança e privacidade, assine o podcast Segurança Legal, siga-nos em sua plataforma de preferência e deixe sua avaliação para apoiar nosso trabalho.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Resolução BCB n° 498 de 5/9/2025 Ep. #396 – Ataque bancário bilionário Imagem do episódio – Duty de Edmund Blair Leighton   📝 Transcrição do Episódio [Música] (00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. Tudo bem, Vinícius? Como vai? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. (00:25) Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem. Estamos lá no podcast@segurancalegal.com, também no YouTube, Mastodon, Bluesky e Instagram. Temos também, como você já sabe, a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. (00:46) Nós sempre conclamamos que você, se puder, claro, apoie este projeto independente, Vinícius, e resistente. Insistimos, 401 episódios, então é sempre bom contar com o apoio de vocês. Ele também é importante para a manutenção deste podcast. Você também tem o blog da Brownpipe, então entre lá em brownpipe.com. (01:11) br, consegue lá clicar no blog, ver as notícias mais importantes e se inscrever no mailing semanal para que você também fique atualizado. Inclusive, a notícia com base no nosso tema de hoje também está lá no mailing, Vinícius, que é justamente essa movimentação do Banco Central: novas regras de segurança do Banco Central depois de, pelo menos, dois grandes incidentes. Tivemos em julho de 2025 o incidente da CM, do qual nós falamos no episódio 396, e o mais recente agora da Cínquia, Vinícius. O ataque que teria desviado 710 milhões também com PSTI, afetou o HSBC na (01:57) maior parte dos valores. Mas eles conseguiram recuperar, até o momento, 589 milhões, o que seria 83% do que teria sido desviado. Ou seja, uma boa quantia, um bom valor em termos proporcionais. Mas ainda assim, ficou cento e poucos milhões ali. Sim, mas 83% é um bom número. (02:30) Não, você está sendo otimista. Eles poderiam ter falado 10% do valor. Aí sim. Seria um desastre. Você nota que, para uma quadrilha hoje, roubar 700, 710 milhões em espécie de um banco é uma tarefa, eu diria, próxima do impossível, envolvendo um risco e um planejamento completamente maiores, uma logística maior. (02:56) E, Vinícius, antes de começarmos propriamente a falar sobre essa resolução do Banco Central, a resolução 498, que saiu na sexta-feira, na noite da sexta-feira, dia 5 de setembro. Sim, nós falamos sobre isso no episódio 396. Nós até fomos conferir na pauta e, claro, antecipamos, na verdade, uma tendência. Me parece que é uma tendência, pelo menos para quem conhece este mercado e para quem tem acompanhado a atuação do Banco Central, uma tendência meio óbvia. O que (03:29) dissemos é que o Bacen deveria aprimorar suas práticas de segurança, principalmente exigindo, monitorando e acompanhando a segurança dessas instituições. E, dois meses depois, justamente veio essa regra, que também contou com uma entrevista coletiva dada pelo Galípolo, que falou sobre algumas questões e depois respondeu perguntas da imprensa. Inclusive, também fizemos um resumo dessa entrevista que ele deu, e está lá no nosso mailing, perdão, no nosso blog. (04:05) E fica aquela sensação de que, de fato, o Banco Central se movimentou, Vinícius. Sim, sem dúvida. Acho que não teria outra resposta possível, porque se o Banco Central não fizesse um mínimo de movimento no sentido de exigir maiores controles e segurança dessas instituições, colocaria em xeque a própria confiança no sistema. E sabemos que a confiança no sistema financeiro é algo extremamente importante e conta com uma (04:40) série de proteções. E o que não falta, e nós chegamos a comentar no nosso episódio 396, é gente para dizer bobagem, para dizer que o sistema financeiro é ruim. Não falta esse tipo de coisa. Então, é mais uma ação afirmativa no sentido de garantir a segurança do sistema financeiro, desse mecanismo todo que envolve centenas, milhares de instituições que estão vinculadas numa grande rede. E nessa rede (05:14) temos nada mais, nada menos do que dinheiro sendo transferido. Ou seja, em vez de ter que explodir um carro-forte como acontecia alguns anos atrás (talvez ainda aconteça), em vez de ter que fechar uma cidade inteira e tentar roubar uma agência de um banco, hoje o que se precisa é de acesso à rede do Sistema Financeiro Nacional (05:40) e interagir com o Pix, que é o meio preferido. É quase como dinheiro em espécie circulando ali. Então, nada mais natural do que o Banco Central reforçar – eu não digo tanto criar novas coisas, Guilherme Goulart, pelo que nos pareceu – mas reforçar coisas que nós já tínhamos em outras resoluções, em outros regulamentos. Sim, sem dúvida. (06:06) Quando olhamos para a ISO 27002, por exemplo, e também para algumas resoluções e regras do Banco Central, ela meio que consolida isso. Não tem nada de muito novo aqui. Tem algumas regrinhas que vemos que foram feitas exatamente para o caso da CM, por exemplo, que vamos destacar aqui. (06:27) Algumas dessas criações ficam bem claras, mas mesmo essas inovações, que eventualmente para alguns podem parecer uma novidade, elas estão lá na ISO, por exemplo, há anos. Inclusive, são temas que, em geral, as empresas não dão muita atenção; um deles aqui que a gente vai comentar. (06:45) Fique conosco, não vá embora. Você vai saber. Tem que segurar a audiência, Vinícius. Vamos lá. O que vamos fazer? Vamos comentar algumas das regras aqui desta resolução. Algumas não vamos falar, porque ela é de certa forma extensa, Vinícius, tem 38, 39 artigos. Então, vamos deixar de fora algumas questões como descredenciamento dos PSTIs, algumas questões sobre planos de continuidade, a tal da saída ordenada do PSTI do sistema financeiro, que seria: se você tem problemas ou ele não cumpre com as (07:16) regras, ele não para de prestar o serviço imediatamente, porque, claro, você vai ter outras instituições utilizando aquele serviço. E também uma questão que eles até investiram um certo tempo ali de regulação, que é a gestão de crises operacionais, que é um elemento mais, eu diria, de alto nível e que toca até nessa questão da confiança que você comentou. Ou seja, é papel do ente regulador aqui também manter a confiança no sistema. Acredito que o Banco Central tem conseguido fazer isso e (07:47) demonstra mais essa atuação dele nesta regra. Bom, eles estabeleceram agora também novos requisitos de credenciamento, e muitos desses requisitos estão relacionados, por incrível que pareça, a aspectos da segurança, não somente técnica, mas organizacional. Aquilo que a LGPD fala, mas outras normas de segurança também falam. O Vinícius, inclusive, tem um artigo já bem antigo, Vinícius, em que você coloca aquele que fala sobre a política, (08:26) mecanismo e cultura. Ah, sim. Como tripé da segurança e tudo mais. Isso aparece bem aqui. Isso aí é de 2000, inclusive. Foi escrito a primeira vez que está num artigo publicado mesmo, foi numa jornada que eu, André Perez, Rafael Campelo, acho que nós três, não estou esquecendo, o Herman acho que também, escrevemos para um congresso da Sociedade Brasileira de Computação que aconteceu em Floripa. Estamos falando de 2000, 2001, (09:01) há bastante tempo, lá se vão 25 anos. Mas é interessante, porque isso é mais teoria da segurança da informação. O que eles estão atacando aqui? Primeira definição de diretorias específicas para lidar com segurança e gestão de risco. E essas diretorias devem ter uma capacitação técnica compatível com essa responsabilidade. (09:24) E também um diretor para gestão de crises, que é esse aspecto um pouco mais organizacional mesmo. Ou seja, não é só você responder ao incidente, não é só você sanar ou retornar ao ambiente em casos de incidentes que afetem a disponibilidade, mas também você conseguir publicamente lidar com essa crise. Estabeleceram questões como capital mínimo de 15 milhões, a comprovação da implantação de todo um mecanismo, de todo um arcabouço aqui de governança corporativa e gestão de riscos, a necessidade de se submeter à certificação de segurança de norma (09:58) reconhecida internacionalmente ou a seguração independente aceita pelo Banco Central, além de auditoria externa anual de segurança. Anual e de segurança. Uhum. E aí, você vai ter, muito p

Neste episódio comentamos o marco de 400 episódios e analisamos a fundo a nova lei do ECA Digital para a proteção de crianças online.​ Você vai aprender sobre as novas obrigações que o ECA Digital impõe a plataformas e serviços na internet, como a polêmica verificação de idade obrigatória e a proibição de funcionalidades viciantes, como o feed infinito e a reprodução automática. Discutimos os desafios técnicos e de privacidade para implementar um controle de acesso eficaz, a criação de uma nova autoridade reguladora e as regras mais rígidas contra o cyberbullying e a publicidade infantil, incluindo a proibição do profiling de menores para anúncios, além de promover o aumento da proteção de dados e a segurança de crianças no ambiente digital, abordando desde o controle parental até a responsabilidade das Big Techs na moderação de conteúdo e na monetização que envolve menores.​. Este é um guia essencial para entender o futuro da segurança online para crianças e adolescentes.​ Neste episódio comemorativo de número 400, Guilherme Goulart e Vinícius Serafim também celebram os 13 anos de podcast, relembram a trajetória do Segurança Legal e agradecem aos ouvintes pela jornada. Além da celebração, anunciam a inauguração do Espaço BrownPipe, um novo local para inovação e gravação de conteúdo.  Para não perder nenhum insight sobre segurança da informação, direito da tecnologia e privacidade, assine o podcast Segurança Legal no seu agregador favorito, siga-nos nas redes sociais e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Vídeo – Conheça o espaço BrownPipe Imagem do episódio – Height Requirement   📝 Transcrição do Episódio (00:01) [Música] Nosso primeiro podcast. Nós vamos tratar a respeito dos recentes vazamentos de dados do sistema, mais especificamente do sistema Consultas Integradas da Secretaria de Segurança Pública do Rio Grande do Sul. Isso tem vindo à lume através dos meios de comunicação, através de denúncias de situações que não aconteceram uma ou duas vezes; elas vêm se repetindo e vêm sendo reportadas ao longo do tempo. (00:43) Ao longo deste programa, nós vamos discutir algumas notícias às quais me referi. Vamos também discutir o que é o sistema Consultas Integradas. Como se dá o acesso ao sistema, quem pode acessá-lo, que informações estão lá e quais são os problemas de autenticação, se há problemas nesse sentido. (01:03) Vamos comentar também a respeito da auditoria do Tribunal de Contas do Estado do Rio Grande do Sul, que foi feita nesse sistema, indicando quais são as falhas a serem corrigidas pela Secretaria de Segurança Pública do Rio Grande do Sul. E vamos discutir algumas questões, possíveis soluções e também a questão da importância deste sistema e quais são os riscos que ele acarreta da forma como é utilizado. (01:51) [Música] Este é o Segurança Legal, episódio 100, gravado em 20 de abril de 2016: Os bastidores do Segurança Legal. Neste episódio especial, falamos sobre os bastidores do podcast Segurança Legal com a ajuda de Fábio Assolini como host. [Música] Este é o Segurança Legal, episódio 200, gravado em 20 de maio de 2019. (02:20) Chegamos aos 200. Neste episódio, vamos fazer comentários gerais sobre os últimos 100 episódios do Segurança Legal com a participação de Fábio Assolini. [Música] Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. [Música] Este é o Segurança Legal, episódio 300, gravado em 31 de dezembro de 2021. (02:53) Neste episódio, você ouvirá um pouco do que aconteceu nos últimos 100 episódios do Segurança Legal. Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. Sejam todos muito bem-vindos ao episódio 400 do podcast Segurança Legal. Estamos de volta com o seu podcast de segurança da informação, direito da tecnologia, tecnologia e sociedade. (03:29) Eu sou o Guilherme Goulart e aqui comigo está, pela 400ª vez, Vinícius. Na verdade, um pouco menos, porque tem vários episódios que eram os resumos de notícias do Assolini. Teve episódios que eu não pude fazer. Então não dá exatamente 400 episódios em que estamos juntos. (03:56) Mas sim, são quase 400 e eu estou quase sem voz aqui. Estou quase ausente do episódio 400. Pois é, eu vi aqui que o cardinal é quadrigentésimo. Quadrigentésimo episódio. Eu achei que fosse quadricentésimo, mas enfim. Acho que dá para contar 400 vezes aqui, Vinícius, até porque teve outras coisas que a gente participou. E acho que esse é o primeiro ponto aqui. Você ouviu aí, a gente fez um pequeno áudio do primeiro, do centésimo, do ducentésimo, do tricentésimo. (04:27) E agora do quadrigentésimo episódio, para trazer um pouco desse histórico, Vinícius. Afinal de contas, aquele primeiro áudio que você ouviu ali, já falei isso várias vezes aqui, mas acho que cabe falar novamente. Você vê que a qualidade estava ruim, tinha um ruído de fundo. Nossa, cara, eu estava olhando os tempos aqui. (04:52) Pegamos do episódio 1, do 100 e do 300. São quatro episódios. Só a abertura do primeiro episódio é metade do tempo de tudo que nós tocamos aqui no início. A gente fazia uma abertura bem mais longa. E sem contar que era uma coisa meio “durenga”, a gente ainda estava encontrando nosso jeito de falar para poder gravar. (05:24) Então, é muito interessante ouvir de novo essas aberturas. E mudou muito da primeira para a centésima. Sim, a qualidade e a forma de fazer a abertura. E também vimos a participação no 100 e no 200 do nosso querido amigo Fábio Assolini, que fez parte da história deste podcast também. (05:49) Aproveitamos para mandar um grande abraço para ele. Um cara muito importante na nossa jornada e, além de ser um cara fabuloso, uma pessoa muito bacana. Então, o Assolini, mesmo tendo deixado o Segurança Legal, faz parte desta história. É importante notarmos também. (06:09) O episódio 300 foi um apanhado dos últimos 100 episódios que durou 5 horas e pouco. Agora, vamos fazer algo um pouco diferente, porque tem outros temas que queremos tratar também, Vinícius. E acho que outro tema, além de agradecer aos ouvintes nesses 12, 13 anos de podcast, de 2012 para 2025, então são 13 anos de podcast. Isso é feito tudo para você, ouvinte. (06:37) Mas também nós temos um anúncio bem legal para fazer, que foi a inauguração do Espaço Brown Pipe na SETREM em 3 de maio. Conta para nós um pouco como foi esse dia. Deixa eu até botar umas imagens para rolar aqui. Depois tem o link para quem quiser assistir ao vídeo na íntegra, com áudio e tudo. A SETREM, a Sociedade Educacional Três de Maio, é uma instituição com mais de 100 anos de existência. (07:06) Claro, a faculdade não é tão antiga. Ela tem, acho que, em torno de 50 anos, se não estou enganado, que é o curso de Administração, um dos mais antigos. Mas é uma instituição com a qual temos uma certa ligação, né, Guilherme? (07:27) Uma instituição em que estudei em 93. Em um dos vários lugares que morei, morei aqui perto, em Boa Vista do Buricá, e acabei estudando na SETREM. E eu tenho muito boas lembranças da SETREM, inclusive relacionadas à questão de TI. Na época, era só eu e mais uns dois colegas que tínhamos computador, e chegamos a fazer trabalho em conjunto com modem, cara, linha discada, não tinha internet. (07:55) Então, temos uma vinculação muito grande. E depois, eu e tu acabamos vindo… Eu acabei voltando a Três de Maio por teu intermédio e da tua na época namorada, hoje tua esposa, a Tatiane. E aí eu conheci a minha esposa. Fomos juntos fazer uma palestra aí na SETREM e eu acabei conhecendo minha esposa. (08:19) Então, quando vim morar em Três de Maio, acabei dando aula na SETREM. Até hoje atuo lá na SETREM, na coordenação de TI junto com o pessoal e acompanho alguns projetos. Então, já fazia horas que a gente estava circulando na volta da SETREM. (08:39) Tu foste professor da SETREM também, Guilherme, no período que tu conseguias ficar viajando. E acabamos estreitando esses laços com a instituição, uma instituição pela qual temos um carinho bastante grande. E a Brown Pipe, nós dois iniciamos trabalhando remotamente desde o dia um. E aí, com a pandemia e o pós-pandemia, como muitas empresas, o resto do pessoal foi para o home office. Eu e o Guilherme sempre trabalhamos em home office. (09:12) Resolvemos então ter um espaço físico ali na SETREM, uma parceria para criar um espaço que represente a Brown Pipe e que seja aberto para conseguirmos interagir de uma maneira mais próxima com a academia, considerando o espaço que temos muito próximo da gente. (09:34) Então, essa sala aí que vocês vão ver, é mais um lugar de encontro, de estudo, de gravações. Vocês vão ver coisas gravadas lá. Este fundo aqui já é de lá. E nós fizemos um evento em que falamos sobre inteligência artificial, segurança da informação e proteção de dados. Essas três coisas. (09:59) Fizemos um talk com empresários aqui da região sobre esse tema. Então, foi um momento bem interessante, em que inauguramos esse espaço lá dentro da SETREM e reforçamos uma parceria que já estamos buscando há algum tempo, para estar mais perto dos alunos aqui da cidade. Tem curso de Direito aqui, de Computação, Psicologia, Enfermagem, Pedagogia, tem várias coisas aqui. (10:29) Quando falamos em proteção de dados, nem sempre chamamos tanta atenção. Mas quando falamos, por exemplo, de ferramentas que todo mundo está usando, aí acaba envolvendo toda essa questão da proteção de dados, segurança da informação e tudo mais. Bom, mas estão aí algumas imagens para você conferir o que aconteceu no evento. (10:45) Estamos bem felizes por ter feito isso, Guilherme. Por ter feito essa inauguração. Acho que são duas coisas das quais eu me orgulho muito na minha vida: o podcast Segurança Legal e a Brown Pipe. Porque construímos essa empresa desde o início com uma série de valores que fo

Neste episódio comentamos o vídeo de Felca sobre exploração infantil, a regulação das big techs, falhas no GPT-5 e os novos decretos de cibersegurança do Brasil.​ A discussão parte do vídeo “Adultização” de Felca, que expõe a exploração infantil e a sexualização em redes como Kwai, levantando o debate sobre a responsabilidade das big techs e a regulação de conteúdo. Abordamos também falhas de segurança em IAs, como o prompt injection no ChatGPT e o jailbreak do GPT-5. Além disso, analisamos os novos decretos que instituem a Política Nacional de Segurança da Informação (PNSI) e a Estratégia Nacional de Cibersegurança (E-Cyber), que fortalecem o papel do GSI e a educação em segurança digital na sociedade.​ Para não perder análises aprofundadas sobre tecnologia e direito digital, siga, assine e avalie nosso podcast na sua plataforma preferida.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Vídeo Adultização Vídeo – Felca passa a andar em carro blindado com seguranças após receber ameaças Quem é Felca, youtuber que denunciou ‘circo macabro’ de Hytalo Santos e a adultização de crianças? Núcleo – Kwai está infestado de conteúdo que sexualiza menores Núcleo – Instagram permite bots de IAs que sexualizam e infantilizam mulheres Núcleo – Kwai e TikTok têm dificuldade para moderar conteúdos com exploração sexual de menores Aos Fatos – Investigado pelo MPF, Kwai lucra com lives que expõem crianças a assédio e chantagem A Single Poisoned Document Could Leak ‘Secret’ Data Via ChatGPT Blackburn, Blumenthal Urge Meta to Shut Down Instagram Map Feature to Protect Kids from Pedophiles & Traffickers Bipartisan senators call for Instagram to shut down its new map feature, citing children’s safety concerns Red Teams Jailbreak GPT-5 With Ease, Warn It’s ‘Nearly Unusable’ for Enterprise DECRETO Nº 12.572, DE 4 DE AGOSTO DE 2025 –Institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação no âmbito da administração pública federal. DECRETO Nº 12.573, DE 4 DE AGOSTO DE 2025 – Institui a Estratégia Nacional de Cibersegurança. Imagem do Episódio – Gin Lane (1751) de William Hogarth 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Segurança Legal, episódio 399, gravado em 11 de agosto de 2025. Vinícius, 11 de agosto é o dia do advogado, o dia da advocacia. Então, um grande abraço para todos os advogados e advogadas que nos escutam. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas das notícias das últimas semanas. (00:28) E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Esse é aquele momento, você já sabe, de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Para entrar em contato com a gente, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou para o Mastodon, Bluesky e YouTube, onde você pode ver a gravação deste episódio. Pedimos que você também nos apoie pela campanha de financiamento coletivo no apoia.se/segurançalegal, onde você pode escolher sua modalidade de apoio e contribuir para um projeto livre e desimpedido de produção de conhecimento. (01:11) É isso aí. Fiquei despreparado. É que você fala essa parte e eu abstraio. Espero você terminar de falar para começar, e você me solta um “Vinícius”, me quebra no meio. Mas o apoio é importante, é isso aí. O apoio é importante e a divulgação que você faz do podcast é, sem dúvida nenhuma, também de grande importância. Então, compartilhe e divulgue o Segurança Legal, recomende o Segurança Legal. (01:45) Até porque, Vinícius, não é todo episódio que chega, se tudo der certo, aos 400 episódios. É um corpo de conhecimento que não é simples de produzir. Então, ajude os velhinhos aqui. Isso é por sua conta. Sobre o episódio 400, já avisando o pessoal, talvez ele não saia na semana que vem. (02:11) Não é certo que vai sair na semana que vem. Talvez não saia. Eu e o Guilherme estávamos conversando mais cedo e talvez… Vamos ver como fica o ajuste das agendas de gravação para o episódio 400. Mas vamos conversar aqui e ver como faremos. Então, talvez não saia na segunda-feira, mas vamos ver. (02:34) Bom, a gente vem de uma abertura mais alegre, como sempre, para um tema mais chato, para dizer o mínimo, e grave. Na minha opinião, é difícil de falar. Para quem tem filhos também é difícil de falar e de ouvir. Fiquei especialmente incomodado com essa história, mas temos que tratar aqui porque é um tema do qual falamos com bastante frequência: o papel das crianças, de maneira geral, na internet. (03:04) Temos falado sobre esses temas desde o início do podcast Segurança Legal. Temos vários episódios sobre crianças na internet, internet dos brinquedos e por aí vai. Nos últimos dias, viralizou o vídeo de um influencer que eu confesso que não conhecia, um tal de Felca. O apelido dele é Felca. Um vídeo chamado “Adultização”. (03:44) Nick, obrigado. “Adultização”. Foi publicado há quatro dias e já tem 27 milhões de visualizações, o que é um feito incrível em outra perspectiva, Vinícius, porque é um vídeo de 49 minutos. Nós, que fazemos conteúdo longo, sabemos como a organização atual do conteúdo na internet privilegia muito mais os microconteúdos. Então, já é uma vitória o cara fazer um conteúdo longo, viralizar e ter essa atenção. E esse vídeo do Felca joga luz sobre um tema que a gente já sabia, que já tínhamos falado aqui, que é a forma inadequada… Não especificamente sobre a questão da sexualização de crianças, acho que não tocamos muito nesse tema. (04:25) Mas sobre como a infância vem sendo mal cuidada na internet e como as crianças vêm sendo mal retratadas ou até mesmo usadas por adultos em contextos nos quais elas não deveriam estar participando. Logo no início do vídeo, e já te passo a palavra, Vinícius, ele fala sobre um caso da “Bel para Meninas”. Era uma influencer mirim. Eu até tive a oportunidade de analisar esse caso. (05:02) Estava vendo antes aqui, num capítulo de livro sobre publicidade e proteção da infância. O capítulo que escrevi junto com minha colega Mariana Mena Barreto Azambuja, no qual falamos mais especificamente sobre publicidade, porque a questão lá da Bel não tinha a ver com aspectos sexuais, mas com uma menina que era colocada em situações vexatórias pela própria mãe. Isso veio à tona. (05:39) Depois, quando tomou um corpo maior, o canal saiu do ar, os pais foram hostilizados, se desculparam e, depois, não acompanhei mais o que aconteceu. Mas o que esse Felca trouxe foi jogar na cara de todo mundo — e eu falo de nós, pessoas comuns, mas também das autoridades — o que algumas pessoas têm feito com a imagem, principalmente de meninas. (06:04) É, Guilherme, o que ele traz tem um mérito muito grande. Fiquei bastante feliz de ter visto alguém com o alcance dele fazer algo assim. Porque o que ele traz, infelizmente, não é novo. Como você mesmo falou, temos coisas de alguns anos atrás em que já começávamos a perceber esse tipo de conteúdo aparecendo na internet. Naquele momento em que gravamos sobre a “Bel para Meninas” e crianças na internet, o que mais chamava a atenção era essa exploração por parte dos próprios pais, expondo as crianças. E comecei a ver gente, moro em Três de Maio, cidade pequena com 24 mil habitantes. (06:48) E comecei a ver pessoas fazendo as mesmas coisas. Isso há anos. Hoje já deve estar bem mais adiantado, eu não acompanho, então não fico sabendo. Mas as famílias começaram a pegar a modinha, naquela época, antes da pandemia, de criar conteúdo usando os filhos. Com uma dessas crianças, cheguei a conviver rapidamente em um determinado ambiente. (07:18) Não foi na escola. E vi a criança se comportando como se fosse um miniartista, no trato presencial, sem câmera, sem nada, já se comportando como se fosse uma celebridade. (07:41) Então, isso mexe bastante com a cabeça das crianças e as expõe de maneiras que, muitas vezes, não são muito previsíveis pelos próprios pais, até por ignorância mesmo. E aí, por várias vezes, a gente viu aquele discurso de que tem que quebrar a criptografia para sair catando pedófilo. (08:06) Falamos sobre isso em várias oportunidades aqui no Segurança Legal. O pessoal dizendo que temos que quebrar a criptografia para acabar com o crime de pedofilia, com a exploração infantil e coisas do gênero, criar portas dos fundos em sistemas para permitir que a polícia consiga fazer seu trabalho. (08:30) Guilherme, esse negócio de criança exposta na internet e, mais recentemente, a sexualização de crianças na internet, isso está para quem quiser ver. Tanto que ele mesmo mostra que cria uma conta e em menos de cinco minutos já está recebendo conteúdo de crianças sendo sexualizadas, nem digo adolescentes. Adolescentes, então, nem se fala. (09:04) E junto com isso, Guilherme, temos o seguinte: primeiro, está aí. Estão lá os nicks, o pessoal com “link na bio”, os links para a galera se encontrar e trocar material de pornografia infantil e tudo mais. Então, para quem quiser ver, temos outras coisas além. (09:30) Claro, isso é muito grave, não estou dizendo que se trata da mesma coisa. Mas é o mesmo estilo de situação. Temos os golpes sendo dados com ligações telefônicas, os caras com centrais telefônicas. Há pouco tempo prenderam uma galera. Era um call center, com mesinha, com pessoal trabalhando. (09:49) O trabalho dos caras é aplicar golpe nos outros. Eles usam centenas de linhas telefônicas e ninguém faz nada. “Ah, prenderam agora o pessoal”. Sim, mas eu continuo recebendo ligação. Chega a um ponto em que não quero atender telefone de um número que não conheço, porque o que vem dali é golpe. (10:07) É um outro crime feito às claras e vemos uma ação ou outra, mas o negócio não acaba, continua. E outro caminho que vemos também, Guilherme, ainda ne

Neste episódio falamos sobre as sanções dos EUA ao Brasil e como a quebra de confiança na tecnologia americana pode afetar o mercado, o STF e as Big Techs como Google e Microsoft.​ Guilherme Goulart e Vinicius Serafim aprofundam a análise sobre a crise diplomática causada pela aplicação da Lei Magnitsky e suas conexões com os interesses das gigantes de tecnologia. A discussão explora a crescente dependência do Brasil em serviços de nuvem estrangeiros e como isso ameaça a soberania digital do país. O debate aborda a erosão da confiança em plataformas como AWS e Microsoft, o risco de um “kill switch” tecnológico que poderia paralisar serviços essenciais, e a necessidade urgente de o Brasil investir em alternativas. O episódio traça paralelos com a disputa tecnológica entre EUA e China, citando o caso da NVIDIA, e questiona até onde um governo pode ir para proteger suas empresas.​ Neste episódio, você irá descobrir os bastidores da tensão geopolítica e entender os riscos da dependência de software e hardware para a segurança da informação e a estabilidade das instituições brasileiras. Para não perder futuras análises, assine o podcast, siga nas redes sociais e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes Podcast kill switch – The algorithm made me say it Algospeak: How Social Media Is Transforming the Future of Language Frases do Richard Stallmann Amazon Q Developer Extension Comprometida com Código Malicioso Stallman warns against cloud computing Criador da Lei Magnitsky critica sanções impostas a Alexandre de Moraes: ‘Acerto de contas político’ Has Brazil Invented the Future of Money? (Paul Krugman) Jamil Chade – Estado brasileiro gastou R$ 10 bi com Big Techs em 1 ano, alertam entidades Microsoft manterá acesso de Moraes a seus serviços no STF 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 398, gravado em 4 de agosto de 2025. Eu sou o Guilherme Goulart e junto com Vinícius Serafim vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? (00:18) Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Sempre lembrando que este é o momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. (00:31) Então, pegue o seu café e vem conosco. Para entrar em contato é muito fácil, você pode utilizar o e-mail podcast@segurançalegal.com, mas também o Instagram, Bluesky e YouTube. Basta procurar. Se você não sabe o endereço, vá ao Google ou ao seu buscador preferido e coloque “Segurança Legal” que você vai nos encontrar. Certo, Vinícius? (00:54) Certíssimo. (00:56) Vamos começar com um anúncio: a parabenização que damos ao nosso querido amigo, agora Dr. Paulo Renar, que concluiu seu doutorado na UnB. A tese tem o título “Constitucionalismo Digital e Criptografia: o julgamento dos bloqueios do WhatsApp no contexto da jurisprudência do Supremo Tribunal Federal sobre temas de direito digital”. Longo, não? O título é a introdução. (01:28) Fica então o nosso abraço e os nossos parabéns ao Paulo Renar, uma grande figura para o direito digital do país. Ele tem um protagonismo muito grande, esteve envolvido nas discussões do Marco Civil e vem se envolvendo em outras discussões importantes para o país. É uma honra ter o Paulo Renar como ouvinte do podcast e como nosso amigo. Ele já teve várias participações aqui e concluiu um doutorado, e um doutorado bem feito, no qual ele se debruçou sobre o tema. É algo que tem que ser comemorado, uma grande conquista. (02:08) Eu estava comentando com o Guilherme que o Paulo Renar terminou mais rápido que eu. Eu não terminei. (02:22) Terminei, mas meu saudoso orientador, infelizmente, não está mais conosco. Então, deixemos para a próxima. (02:32) Grande abraço, Paulo. Também temos uma mensagem do Carlos Barreto. Não tínhamos combinado, mas eu leio e depois você comenta, pode ser? (02:40) Pode ser. Disse o Carlos: “Olá, muito obrigado por comentar sobre minha mensagem”. Nós lemos a mensagem dele em um dos episódios passados. “Queria compartilhar esta outra mensagem porque no episódio mais recente do Kill Switch“, que foi o podcast que ele recomendou na outra mensagem. (02:58) Eu disse que iria escutar, escutei e continuo escutando. Inclusive, comentei no outro episódio. Eu só reclamei da quantidade e da duração das propagandas. É bastante propaganda. (03:16) Ele fala: “No episódio mais recente, eu comecei a ouvir e quase parei, mas não sei explicar. Quando ele começou a falar sobre o tema, fiquei chocado. É como se a nossa vida online estivesse mudando a forma como falamos. Sei que não tem tanta relação com segurança da informação, mas acho importante para o nosso dia a dia. Mais uma vez, estou compartilhando esta mensagem enquanto ouço o episódio, ainda não sei o final”. Ele faz mais alguns comentários e deixa o link para o podcast. Ele também comenta: “Sei que você comentou sobre o podcast e realmente a parte que eu também acho horrível é o excesso de propaganda, mas queria deixar esta mensagem para dizer que tente não pular este episódio, porque é interessante para você também. Grande abraço, Carlos Barreto.” E aí, Vinícius? (03:55) Olha, Carlos, eu achei o podcast extremamente interessante. A abordagem deles é diferente, bem crítica, digamos assim. Um podcast gringo com uma abordagem assim não é tão comum. Eu já me liguei nesse podcast e estou ouvindo desde que você me indicou, está na minha fila de podcasts da semana. (04:26) Realmente, a propaganda é chata. Eu só me desespero quando estou longe do celular e não consigo apertar o botão de pular 30 segundos. Quando começa a propaganda, começo a apertar aquele botão. Em outros podcasts eu faço a mesma coisa. (04:44) Eu não ouvi este episódio que o Carlos recomenda ainda, está na fila. Eu vou ouvi-lo, Carlos. Mas o assunto, a ideia, me interessou bastante. Claro, tenho que ouvir para saber do que se trata. Deixo para comentar quando efetivamente ouvir o episódio. Pelo que estou vendo, eles entrevistam um cara chamado Adam Aleksic. (05:07) Ele escreveu um livro chamado Algo-Speak: How Social Media is Transforming the Future of Language, um best-seller do New York Times. Ele é linguista e fala sobre como os algoritmos da internet estão transformando a linguagem e a comunicação de formas inéditas (unprecedented). (05:33) A tradução é algo muito interessante. Não vamos abrir esse parêntese. (05:56) É que o Guilherme está trabalhando na tradução de um livro, autorizado pelo autor original, e ele e o Colombo estão se aprofundando nessas questões de tradução. É realmente muito interessante. (06:18) Mas isso nós deixamos para outra hora. Quem sabe fazemos um spin-off chamado “Conversas Paralelas” e gravamos sem preocupação com o tempo. (06:31) Boa ideia. Mas antes de passar para o próximo assunto, ainda tenho mais um abraço para dar. (06:37) Encontrei dias atrás, em Três de Maio, o Dimas. Ele é nosso ouvinte há muito tempo, mas antes disso é nosso amigo e foi meu aluno, meu orientando na graduação. Encontrei-o em uma padaria e perguntei como ele estava. (07:03) O Dimas está em Lebon Régis. Santa Catarina. É Lebon Régis o nome. Eu também achei que ele tinha ido para a França, mas ele está em Lebon Régis. Eu disse para ele que mandaria um abraço. Um abraço para o Dimas de Lebon Régis, nosso ouvinte lá. (07:33) Então, Dimas, um abração para ti. E quando se mudar de novo para alguma cidade com nome diferente, nos avisa. Grande abraço. (07:41) E a Amazon, Vinícius? Tudo bem com a Amazon? (07:44) Tudo certo. As entregas estão chegando direitinho, as recorrências também. (07:58) A Amazon tem uma ferramenta que chama Amazon Q, que é uma extensão para o Visual Studio Code (VS Code). É um ambiente de desenvolvimento bastante conhecido, com vários ambientes derivados dele, e é um IDE muito adotado por desenvolvedores no mundo inteiro. (08:28) O Amazon Q é uma extensão para o Code, um agente de IA para codificação. Ele ajuda no desenvolvimento e uma das coisas que consegue fazer é executar comandos para criar ambientes de deploy, onde você vai rodar o software. (09:00) Essa extensão tem seu código-fonte em um repositório Git. Um atacante descobriu uma falha na configuração desse repositório e, por meio dela, submeteu uma modificação no software. Essa modificação foi aceita e distribuída na versão 1.84.0, em 17 de julho, cerca de 15 dias atrás. (09:39) O que essa versão modificada tinha? Um prompt que, em resumo, dizia para “limpar o estado do sistema para um estado próximo do de fábrica” e “deletar os arquivos e os recursos da nuvem”. Era essa a instrução. (10:04) Trocando em miúdos, a ideia era que, ao utilizar a ferramenta, o agente de IA lesse esse prompt e atendesse ao pedido, destruindo a infraestrutura na nuvem e arquivos locais. (10:28) A Amazon disse que estava mal implementado e que não iria acontecer. Alguns pesquisadores de segurança, no entanto, disseram: “Não é bem assim, poderia ter acontecido”. O fato é que no dia 17 a versão foi distribuída e no dia 24 de julho ela foi removida e substituída pela versão 1.85, que foi corrigida. (10:59) Em princípio, a coisa se resolve. A lição que fica são os novos problemas que vamos enfrentar com agentes de IA por toda parte. O que o atacante tentou fazer foi inserir um prompt escondido no código-fonte da extensão para que os agentes de IA, com acesso aos ambientes dos usuários, executassem essas instruções e saíssem apagando arquivos e destruindo infraestrutura. É prompt injection. (11:32) A tendência é que tenhamos cada vez mais cuidado com isso, porque as ferramentas estão ficando muito avançadas. Nós mesmos estamos usando ferramentas de desenvolvimento com IA, e elas leem arquivos da nossa máquina e recebem instruções. É preciso ter muito cuidado ao importar a

Neste episódio comentamos sobre a IA Grok de Elon Musk gerando conteúdo nazista, a suposta influência de big techs nas tarifas de Trump ao Brasil, e a banalização da biometria em condomínios.​ Guilherme Goulart e Vinícius Serafim aprofundam os perigos da IA sem controle, analisando como o Grok de Elon Musk reproduziu discursos de ódio e antissemitismo após ter sua moderação de conteúdo relaxada. O episódio explora a complexa teia de interesses na guerra comercial de Trump, investigando a pressão das Big Techs sobre o Brasil em temas como LGPD e regulação da IA. A discussão avança para a cibersegurança automotiva, com uma nova vulnerabilidade de Bluetooth que permite o hacking de carros, e os riscos do uso de biometria e reconhecimento facial em condomínios, questionando a privacidade e a proteção de dados.​ Para não perder futuras análises, assine o podcast Segurança Legal na sua plataforma de áudio preferida, siga-nos nas redes sociais e deixe sua avaliação. Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Caso C&M: prejuízo com ataque hacker e fraude no Pix pode superar R$ 1 bilhão Sou obrigado a fazer reconhecimento facial no meu prédio? Veja perguntas e respostas sobre o tema  Relatório revela que ameaça de Trump de investigar Brasil atende a Big Techs Análise: entenda os interesses das big tech na carta de Trump ao Brasil PerfektBlue Bluetooth Vulnerabilities Expose Millions of Vehicles to Remote Code Execution Episódio #81 – Cherokee Remote Control 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 397, gravado em 14 de julho de 2025. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, trago para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Olá aos internautas. (00:26) Como vão? Tudo certo? Tudo bem? Vocês já sabem, este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida. No caso, hoje estamos com chimarrão aqui, Vinícius, e venha com a gente. Hoje está quente. Hoje é dia de tomar água. (00:44) Para entrar em contato conosco, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou também nos encontrar no Mastodon, Instagram, Bluesky e YouTube. Se você nos ouve pelo feed, sabe que também consegue ver os nossos rostinhos bonitos lá no YouTube. Vinícius, uma pequena atualização sobre o caso CM, o caso do nosso último episódio, o grande hack dos últimos tempos, senão o maior hack, a maior fraude já cometida no Brasil, pelo menos é o que se tem até agora. (01:20) Em termos de valores, sem dúvida nenhuma, é o maior. Não em dados, mas em valor financeiro movimentado. A coisa realmente se concretizou no sentido de se confirmar que deve, sim, passar de 1 bilhão. Não sei se chega a três, que chegou a ser discutido, chegou a ser falado em 3 bilhões de reais na questão da fraude. Se você não sabe do que estamos falando, tem que voltar nos episódios anteriores. No anterior, na verdade. (01:53) No 396. É o caso do REC bancário, CM, Banco BMP e tudo mais. Isso. O que temos que talvez não comentamos na semana passada, porque aconteceu depois, ou pelo menos ficamos sabendo depois, é que a Polícia Civil entrou também na investigação. Existe uma investigação paralela da Polícia Civil. (02:17) O que temos até o momento é que a BMP confirmou o prejuízo de 541 milhões. Outras duas instituições confirmaram 104 milhões e outra, 49 milhões. Isso ainda não dá 1 bilhão, mas a soma preliminar, segundo o que sabemos, supera 1 bilhão, embora não tenhamos a listagem de tudo o que foi perdido. Não temos a listagem exata de quem perdeu o quê. (02:45) Então, sim, passou de 1 bilhão e vamos ver se chega nos três que o pessoal chegou a comentar na semana em que gravamos. A outra questão, que vocês já sabem, é que o dinheiro foi convertido, em boa parte, para criptomoeda. Existe uma investigação para seguir o caminho do dinheiro, mas, em última análise, ele vai chegar a uma exchange que vendeu criptoativos, e alguma conta legítima recebeu esses criptoativos e os passou para algum lugar. E aí, boa sorte. Mas esses intermediários a polícia vai conseguir levantar, e está levantando. (03:23) Não sabemos se já não levantou. Então, a Polícia Federal e a Polícia Civil estão fazendo investigações paralelas sobre este caso. Um bilhão está confirmado. (03:44) Por enquanto, ainda não temos informação técnica, não temos mais nenhuma novidade, pelo menos não por enquanto. A própria CM frisou que a questão foram as credenciais que o atacante conseguiu, e não uma falha no sistema, uma falha de segurança no sistema. O termo que ela usou, mas entendemos muito bem que, na mídia em geral, ela tem que… O termo que o pessoal usa… Ela falou que não é nenhum problema no código-fonte dela. (04:17) Leia-se: ela está dizendo que não foi uma vulnerabilidade no sistema, uma vulnerabilidade técnica no sistema. Pode ter sido, e pelo visto existe, tanto que aconteceu, uma vulnerabilidade do ambiente. Se vocês pegarem a ISO 27002, que tem os controles da ISO 27001, verão que, quando falamos de segurança da informação, não se fala apenas da segurança técnica da aplicação, as vulnerabilidades que ela tem, se está exposta ou não, superfície de ataque, esse tipo de coisa, mas abrange, entre outras coisas, processo de contratação, gerenciamento de credenciais e até liberação de usuários, controle de acesso a certas operações e tudo mais. (05:01) Então, sim, a CM está correta. Se não há vulnerabilidade no sistema, está correta em dizer que não tiveram um problema por causa do sistema. Mas, sim, eles tiveram um problema de segurança no ambiente deles, que permitiu que alguém subornasse um funcionário. (05:25) E esse funcionário fez alguma coisa que ainda não sabemos o que é. Executou scripts, executou comandos etc. Ok, mas que comandos exatamente, o que foi, nós não sabemos, ou pelo menos não chegou até nós ainda. (05:43) E ele conseguiu credenciais de clientes da CM, que é a BMP e outras empresas, e mexeu no dinheiro deles, conforme o episódio 396. Tem outra coisa que não comentamos: essa é uma característica de fraudes dessa natureza. Já gravamos sobre isso várias vezes, já falamos sobre a questão da confidencialidade das informações e sobre como as instituições, em geral, ao redor do mundo, acabam lidando com isso. Elas não têm incentivos nem interesses de trazer a público todas as explicações das falhas, porque isso pode comprometê-las de formas muito diferentes. (06:22) Mas uma coisa que não comentamos, e aí sim há uma obrigação legal, são as comunicações necessárias do incidente de segurança que eventualmente envolva dados pessoais. Eu não vi nas notícias, até agora, nenhuma informação sobre tratamento ilícito de dados pessoais. Mas, se formos partir do pressuposto de que o sujeito teve um acesso tão longo aos sistemas, se ele criou transações Pix, se ele forjou transações Pix, ele provavelmente não forjou transações apenas de pessoas jurídicas. (07:05) Ele também pode ter forjado transações Pix de pessoas físicas. Se isso aconteceu, o incidente também envolveu tratamento ilícito de dados pessoais e, portanto, deveria contar com a notificação à ANPD. Achei curioso não ver nenhuma informação sobre isso, sobre essa questão de dados pessoais, porque se ele teve um acesso tão profundo aos sistemas, diria que não podemos descartar a hipótese de que ele tenha copiado dados de pessoas físicas. (07:39) Portanto, aí sim, teríamos um incidente de vazamento de dados pessoais, para além das questões do furto. É, mas não sabemos exatamente como foi feita a auditoria. O pessoal pode ter avaliado isso e descartado. “Olha, não aconteceu.” (08:02) Mas aí os titulares de dados que eventualmente sofreram uma invasão deveriam ter sido avisados. Se isso tivesse acontecido, acho que já teria vindo a público. Mas, se foi feita a auditoria e foi visto que ele não fez nada, que ele executou operações e não fez extração de dados, não tem sentido dizer o que não aconteceu. Agora, se o cara tivesse extraído alguma coisa, mas me parece que, se eu estivesse no lugar desses atacantes, eu faria a coisa o mais direta possível. (08:44) Por isso que eu falei, para quê explorar? Se tinha uma pessoa lá dentro que tinha acesso, era desenvolvedor… (08:59) Pegar dados para fazer fraudes, para quê, se eles podem movimentar mais de 1 bilhão de reais em criptomoeda? Não tem porquê. É passar o rodo, como se diz. Você não vai lá juntar o copinho d’água, você pega o rodo e empurra tudo. E foi o que esses caras fizeram. Mas, enfim, é isso. Quem não sabe exatamente o que dissemos, vá dar uma olhada no 396. (09:26) Por enquanto, não temos muitas novidades, nada muito novo. Quem acompanhou as notícias nos últimos dias, sobretudo na semana passada, viu um comportamento meio chocante do Grok, Vinícius, que ganhou bastante atenção da mídia. (09:47) Pois é. (09:52) O Musk… bom, acho que, a estas alturas, todo mundo sabe quem é o Elon Musk e sabe muito bem das transformações que ele tem tido em termos de atuação pública. Era um cara que, se vocês ouvirem episódios bem antigos do podcast, eu achava muito legal o esquema da SpaceX. Cheguei a comentar na época, há anos, acho que foi na pandemia, Guilherme, que a SpaceX pousou aqueles dois foguetes, a primeira vez que eles pousaram juntos sem explodir. Eram três, um sumiu, mas dois pousaram juntos. (10:25) Aqueles boosters, eu não sei o nome, mas os foguetes da SpaceX. Eu achava muito legal. O esquema da própria Starlink, um negócio muito interessante, o investimento em carro elétrico. Só que, ao mesmo tempo, à medida que foi passando o tempo, começou a surgir um lado mais político do Musk. Para quem quiser saber mais detalhes, não vamos entrar nisso,

Neste episódio falamos sobre o ataque bilionário ao sistema Pix, detalhando como criminosos, com a ajuda de um funcionário, desviaram milhões de reais de instituições financeiras. Guilherme Goulart e Vinícius Serafim analisam a fundo o recente ataque cibernético que abalou o sistema financeiro brasileiro. Eles exploram a arquitetura do Pix, do Sistema de Pagamentos Brasileiro (SPB) e o papel de um Provedor de Serviço de Tecnologia (PSTI). O debate aprofunda as hipóteses de como os criminosos, com a ajuda de um insider, conseguiram criar transações fraudulentas não lastreadas, afetando a liquidez dos bancos sem tocar no dinheiro dos correntistas. A discussão aborda a segurança das chaves privadas, a gestão de credenciais e as camadas de confiança entre o Banco Central, bancos e fintechs.​ Neste episódio, você irá descobrir os detalhes técnicos por trás da fraude, entender a complexa arquitetura do sistema de pagamentos e aprender sobre os riscos de segurança em transações financeiras, a importância da gestão de riscos e as ameaças internas. Para não perder análises como esta, assine o podcast, siga o canal e deixe sua avaliação  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Regras gerais do SPI e de segurança Página do PIX no BCB Resolução BCB n° 192 de 23/2/2022 Instrução Normativa BCB n° 243 de 16/3/2022 Instrução Normativa BCB n° 511 de 30/8/2024 Resolução BCB n° 25 de 22/10/2020 Resolução BCB n° 175 de 15/12/2021 Resolução BCB n° 195 de 3/3/2022 Catálogo de Serviços do SFN Volume VI Manual das Interfaces de Comunicação do PIX Manual de Fluxos do Processo de Efetivação do PIX Manual de Segurança do SFN Manual de Redes do SFN Manual de Segurança do PIX Manual de Penalidades do PIX Regras gerais sobre o SPB Resolução CMN n° 4.282 de 4/11/2013 CIRCULAR BCB Nº 3.681 DE 4/11/2013 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia, tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes, olá aos internautas. (00:27) Muito bem, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Para isso, estamos à disposição, como você já sabe, pelo e-mail podcast@segurançalegal.com, YouTube, Mastodon, Bluesky e Instagram. (00:50) Também temos a nossa campanha de financiamento coletivo no Apoia.se, em apoia.se/segurançalegal. No blog da Brownpipe, www.brownpipe.com.br, você consegue ver as notícias mais importantes de segurança e também se inscrever no nosso mailing semanal para receber essas atualizações periodicamente. (01:13) Que semana, hein, Vinícius? Pois é. Uma semana de confusão mental ao redor desse golpe bilionário. Não foi em dólares, foi em reais mesmo. Nem se sabe se foi 1 bilhão, mas já se falou em 400 milhões, já se falou em 3 bilhões. Eu já vi notícias falando de 3 bilhões, 800 bilhões. (01:40) É de todo tipo de valor. Teve bastante coisa nesses últimos dias. O ataque foi divulgado no dia primeiro de julho. Hoje, gravamos no dia 7, uma semana depois. Que ataque! Talvez tenha gente que não saiba do que estamos falando, embora eu ache difícil. Se você ouviu, viu televisão, saiu no Fantástico, Jornal Nacional, em todos os portais de notícias. (02:11) Um ataque divulgado agora no dia primeiro de julho de desvios milionários ou talvez bilionários de contas de clientes de uma empresa chamada CM. A gente vai falar um pouco depois sobre os papéis de cada um no sistema financeiro, no sistema de pagamentos brasileiro e também no sistema Pix. Mas ela é um provedor de serviços de tecnologia da informação que conecta instituições financeiras aos serviços e à rede do Banco Central e também intermedeia uma série de serviços para empresas. (02:47) Que não querem se conectar diretamente com a rede do Banco Central, elas utilizam serviços de intermediação. Então, o que se sabe até agora é que foi realizado o desvio de valores de clientes da CM. A CM não é a dona do dinheiro, ela só faz a intermediação. (03:12) Então, quem sofreu o golpe e quem sofreu financeiramente, pelo menos diretamente, foram os bancos. Os valores maiores teriam saído do banco BMP, que é um dos clientes da CM. No primeiro momento, ficou-se especulando como eles teriam tido acesso à infraestrutura da CM, uma empresa autorizada pelo Banco Central para fazer esse serviço de intermediação. (03:38) Mas logo depois descobriu-se que um funcionário teria sido aliciado e vendido as suas credenciais. Por quantos milhões, Vinícius? R$ 15.000. R$ 15.000. Não só as credenciais, mas a cooperação ativa, pelo que a gente viu nas notícias, ao longo dos meses que antecederam essa operação, que foi agora no início do mês passado. Foi em junho a operação. (04:09) 30 de junho começou, na virada para julho. Então, ele ficou alguns meses nesse processo e não foi “recebeu 15.000 e entregou as credenciais”. Ele cooperou estando dentro. E isso acho que foi um pouco desconsiderado pela mídia, a ideia de “somente as credenciais”. (04:34) Não, não foi somente as credenciais, porque ele teria sido aliciado ainda em março deste ano. Ele era um funcionário de 48 anos, foi eletricista predial, técnico de instalação de TV a cabo, entra na faculdade de tecnologia aos 42 e, pelo que eu li, trabalhava há 3 anos na CM. Em maio, veja, ele é aliciado em março. (04:58) Nesse período, ele recebeu valores por motoboy, tinha um protocolo de descartar celulares depois que se comunicava com os criminosos. Trocava de celular a cada 15 dias. Mas o que a gente leu até agora é que desde maio ele teria começado a inserir comandos maliciosos no ambiente da CM. Diga. Eu ia dizer o seguinte, que quando a gente fala “inserir comandos maliciosos”, não é que ele estaria inserindo necessariamente operações a serem executadas, mas eu diria que ele estava recebendo comandos do pessoal que o contratou. (05:35) O que se faria? Pensando como quem faz pen test, nós não chegamos a fazer esse tipo de operação de aliciar funcionário para testar. (05:55) Isso a gente não faz. Mas se colocando no lugar do criminoso, e não do hacker, no lugar do criminoso: eu pediria para esse cara levantar informações sobre o ambiente, o que tem, como é feita a gestão, que antivírus usam, se tem controle de acesso, como é organizada a rede. Tem um monte de informação que eu pediria se eu tivesse tempo como criminoso, até chegar a um ponto em que eu daria um jeito de estabelecer algum tipo de acesso remoto, se fosse possível, ou constatar que não era, e aí teria que seguir outro caminho. (06:34) Então, quando falam que ele estava executando comandos desde maio… Dentro dessa expressão “executar comandos”, muita coisa fica escondida, implícita. (07:01) Essa questão dele estar levantando informação, fazendo print de tela, tirando foto com celular, mostrando o ambiente físico onde ele estava, que dependendo da situação pode ser relevante… Esse cara estava levantando informação há um tempão. Pode ser que, à medida que a Polícia Federal for investigando, ela vá descobrindo mais coisas. Talvez não seja uma mera coincidência. (07:25) Talvez esse cara não tenha sido aliciado a partir do momento que ele entrou na empresa. Ele pode ter entrado na empresa já como parte de um ataque mais amplo, com investimento. Se o ganho potencial é grande, você investe mais tempo, mais recursos. E aí é importante dizer, Vinícius, e deveríamos ter dito antes, que estamos no campo de estabelecer algumas hipóteses para como o ataque se deu. Isso que você está fazendo agora é levantar algumas hipóteses. (07:55) Porque no exterior é bem mais comum, até em questões de Estado, colocar pessoas dentro de ambientes propositalmente para que elas façam levantamentos e contribuam com criminosos. Você tem, às vezes, até grupos criminosos que financiam faculdades de pessoas. (08:19) Não estou dizendo que foi esse o caso. Mas, diante dos valores que foram desviados, e claro, ainda tem que se chegar aos cabeças dessa organização criminosa, que até o momento não se sabe quem são, o valor possível como fruto desse crime justificaria medidas até mais longas. Enfim, o ataque teria ocorrido no dia 30 de junho. (08:43) Isso resultou em 166 transações fraudulentas via Pix. O próprio BMP teria notado algumas movimentações atípicas em suas contas, e também algumas exchanges de criptoativos, porque eles começaram não somente a distribuir dinheiro para outras contas, mas também a tentar lavar e distribuir o dinheiro pela via da compra de criptomoedas. No dia 1º de julho, a CM comunica o Banco Central, que desliga os acessos da empresa (desse PSTI) de maneira preventiva. Dia 2 de julho, o BC torna público o ataque e abre-se o inquérito. (09:20) Dia 3 de julho, a CM anuncia a retomada parcial das operações e, à noite, o funcionário é preso. Pulamos aqui para o dia 7. O mais relevante é que a polícia revela uma tabela de quem recebeu os valores, que seriam 29 instituições financeiras. (09:43) Desses valores desviados, 270 milhões que saíram do BMP já foram bloqueados, e esses 270 milhões teriam ido para a instituição SOF, segundo as informações da polícia. Até agora, foram suspensas sete instituições financeiras que teriam recebido esses valores. Houve uma suspensão, acredito eu, preliminar. Não que elas vão deixar de operar, mas para se investigar se eventualmente teriam algum papel. Mas também não se sabe qual foi o grau de participação delas. Até onde se sabe, elas somente receberam esses valores. E ao suspendê-las, elas não conseguem movimentar esses valores. (10:20) Então essa é uma boa razão para suspender rapidamente. Os valores foram

Neste episódio comentamos a histórica decisão do STF sobre a inconstitucionalidade do artigo 19 do Marco Civil da Internet, que altera a responsabilidade civil das plataformas digitais.​ Acompanhe a análise de Guilherme Goulart e Vinícius Serafim sobre o novo regime de responsabilidade civil dos provedores de aplicação, como redes sociais e outras Big Techs. Com a decisão, a remoção de conteúdo ilícito, que antes exigia uma ordem judicial, agora pode ser feita mediante notificação extrajudicial em diversos casos. A mudança visa proteger direitos fundamentais e combater a monetização de publicações criminosas. Foi discutido o conceito de “inconstitucionalidade progressiva” e o novo dever de cuidado proativo das plataformas para monitorar e remover conteúdos graves, como atos antidemocráticos, crimes de ódio e desinformação, sob pena de configurar “falha sistêmica”.​ Para não perder nenhuma análise sobre Direito da Tecnologia e Segurança da Informação, siga o podcast na sua plataforma de áudio preferida, assine nosso canal e ative as notificações. Sua avaliação também é fundamental para que o conteúdo chegue a mais pessoas.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Link para a tese Big techs rechaçam decisão do STF, criticam instabilidade e preveem judicialização em massa Livro – Empire of AI: Dreams and Nightmares in Sam Altman’s OpenAI Foto do episódio: Agora – Foto de Seth Anderson de obra de Magdalena Abakanowicz 📝 Transcrição do Episódio (00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos assistem no YouTube.(00:27) Sempre lembrando que para nós é fundamental a participação de todos. Para isso vocês já sabem: nós estamos no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky e Instagram. Também temos nossa campanha de financiamento coletivo no Apoia-se, em apoia.se/segurançalegal. Você pode escolher sua modalidade de apoio e participar do nosso grupo do Telegram.(00:49) Sempre lembrando, conclamamos que você considere apoiar um projeto independente de geração de conteúdo. Também pedimos àqueles que antes nos apoiavam e deixaram de apoiar quando fizemos a migração do PicPay de volta para o Apoia-se, pois várias pessoas não voltaram. Então, considere ajudar o podcast Segurança Legal a continuar existindo.(01:09) Tem o blog da Brown Pipe, a empresa que também é uma mantenedora do podcast Segurança Legal. É só entrar em brownpipe.com.br, acessar as notícias que são atualizadas semanalmente e se inscrever no mailing semanal.(01:29) E também, para quem estiver nos vendo no YouTube, é aquela coisa que sempre pedimos, Vinícius: se inscrever no canal, clicar no sininho e, se quiser e puder, interagir conosco pelo YouTube também é uma boa. Eu estou inscrito com o sininho ativado nos canais que assisto frequentemente, Vinícius, porque ele passa a recomendar para outras pessoas também.(01:47) Então é importante para entrar no algoritmo. Hoje vamos falar bastante sobre algoritmo aqui, Vinícius. Você quer dar um retorno para um ouvinte que, esses dias, te recomendou um podcast? Sim. Só… Cadê o nome dele aqui que sumiu? É o Carlos Barreto.(02:08) Pô, você tinha colado. Não, está aqui embaixo. Está na pauta. Poxa, Carlos, eu olhei seu nome antes e agora, quando fui falar, não o encontrava aqui na pauta. A indicação que o Carlos Barreto fez para nós foi do podcast Kill Switch. Uhum. Eu disse que iria ouvir e depois daria minha opinião sobre o podcast.(02:34) Eu ouvi vários episódios desde os que saíram. O último que ouvi foi bem legal, sobre por que os drones predadores (Predator Drones) estão voando sobre Los Angeles. Eu achei a abordagem deles bem interessante. É algo bem crítico, muito bem feito e que sai um pouco fora da caixa. O que eu não gostei, mas entendo perfeitamente, é que tem muita propaganda.(03:04) Então, tem que pular muita propaganda no começo e, lá pelo meio do episódio, também entram alguns minutos de propaganda. Tem que pular tudo. Mas aí fica a minha recomendação, Carlos, para ti e para os nossos outros ouvintes que gostam de acompanhar podcasts.(03:24) Eu gosto muito de usar o Pocket Casts. Dá para usar em pocketcasts.com e tem um aplicativo para celular que justamente te permite pular bem fácil. Eu acho que todos te dão alguma flexibilidade nesse sentido, de acelerar e de poder pular propaganda e coisa parecida.(03:48) Então, acabei usando para fazer isso também. Mas é isso, gostei, estou assinando, vou continuar assinando, está na minha lista do que eu ouço ao longo da minha semana. Está bom? É isso aí. Um grande abraço, Carlos. Obrigadão. Obrigado mesmo pela dica. Valeu muito.(04:11) Nós somos consumidores de podcast. Na semana passada, Vinícius, eu participei do podcast do Cesuca, que é a faculdade onde eu dou aula. Antes eu estava à frente do podcast deles, o projeto acabou e hoje uma professora retomou, e o primeiro convidado fui eu. Voltei como convidado.(04:30) E a gente comentava justamente isso: num momento em que cada vez mais a atenção acaba recaindo em vídeos extremamente curtos, em conteúdos extremamente curtos, o podcast permanece como uma mídia quase de resistência, como gosto de brincar aqui, no sentido de que insistimos em falar por mais tempo dos problemas. O mundo e a realidade são complexos e precisamos de tempo para refletir и para tratar sobre essas complexidades, inclusive esta grande complexidade que é o julgamento do STF.(05:07) Finalmente terminou o julgamento do STF sobre a inconstitucionalidade do artigo 19 do Marco Civil da Internet. Considerou-se inconstitucional, na tese que se adotou, a chamada inconstitucionalidade progressiva. Nós já gravamos sobre isso aqui, mas a ideia é que o artigo 19, que definia o regime de responsabilidade civil dos provedores — que antes somente se responsabilizariam pelo conteúdo gerado por terceiros a partir de uma ordem judicial específica —, a partir de agora…(05:42) Vamos falar um pouco sobre os detalhes da tese que já foi publicada. Será possível agora a retirada de conteúdos ilícitos por meio apenas da notificação extrajudicial, inclusive. Pode ser judicial, mas pode ser extrajudicial também.(06:02) E eles passam a ser responsáveis em certas circunstâncias. O artigo 19 ainda vai valer para alguns casos, conforme vamos ver, mas acho que é um dos grandes julgamentos do STF. O Supremo Tribunal Federal no Brasil se tornou um órgão de bastante atenção, seja pelos julgamentos envolvendo os atos antidemocráticos, mas é supercomum as pessoas que não são do direito saberem quem são os ministros, terem sua opinião sobre… Eu ia dizer justamente isso.(06:35) Até alguns anos atrás, você ouvia falar do STF… E tem gente que faz a crítica justamente nessa direção, de que o STF deveria ser um pouco mais discreto, mas a gente pouco ouvia falar do STF como instituição. Dificilmente ouvíamos falar de um ministro específico, talvez no meio da notícia, mas sem dar muita bola.(06:55) Hoje, eu não vou me arriscar aqui, mas acho que sei o nome de todos, pelo menos dos mais conhecidos. Se parar para pensar, você consegue lembrar. E alguns dizem, inclusive, Vinícius, que isso se deve ao televisionamento ou à transmissão das sessões. Eu acho, não tenho certeza, que é o único órgão que permite essa abertura.(07:27) Se por um lado dá uma transparência bastante grande, por outro há críticos. Principalmente alguns professores de constitucional entendem que as decisões deveriam se dar de forma fechada, aquelas discussões e embates às vezes duros que ocorrem lá dentro. Mas enfim, o propósito de falar hoje não é esse. O propósito é falarmos sobre qual será o novo regime de responsabilidade e também sobre como as coisas vão acontecer a partir de agora.(08:04) É importante dizer também que há várias críticas a essa decisão. Isso é plenamente possível e desejável. No regime democrático é plenamente normal discutir e criticar decisões judiciais. Claro, nós as cumprimos, mas são passíveis de discussão. Um detalhe importante, uma das críticas é que o Supremo estaria legislando nesse caso, mas na verdade o recurso que dá origem a essa tese chega em 2020 ao STF. O Marco Civil é de 2014. E o recurso chega ao STF e ele começa a ser julgado em novembro de 2024 e termina agora em junho de 2025.(08:45) Então, o próprio Supremo teria dado um tempo para que o Congresso legislasse sobre esse tema. Acusou-se o Supremo de estar legislando, mas o Supremo tem esse poder — e claro que se pode discutir qual é a extensão desse poder —, mas quando o Supremo julga a inconstitucionalidade de uma lei, ele tem o poder de determinar como aquela circunstância deve ser compreendida.(09:24) Como se deveria interpretar aquela situação com a definição da inconstitucionalidade de uma lei. Então, o que o Supremo faz é isso: “Olha, com a inconstitucionalidade do artigo 19, como devo resolver os problemas relacionados à retirada de conteúdo и também à responsabilidade ou à responsabilização de provedores de aplicação?”. Essa é a questão. E claro, o próprio Supremo também, diante das críticas de que estaria legislando, deixa bem claro no final…(09:59) Faz um apelo ao legislador. Diz: “Apela-se ao Congresso para que seja elaborada legislação capaz de sanar as deficiências do atual regime quanto à proteção de direitos fundamentais”. Porque o fundamento foi esse. A ideia é que, segundo o Supremo, o regime atual de responsabilização e de regulação de publicações de terceiros nas redes sociais — não só nas redes sociais, mas nos provedores de aplicação — estaria deixando certos direitos fundamentais desprotegidos.(10:31) As pessoas precisariam de uma ordem judicial para a retirada do c

Neste episódio comentamos sobre os perigos da IA, a desinformação acerca de VPNs e a controversa lei “One Big Beautiful Bill”, que propõe uma moratória na regulação de inteligência artificial.​ O tema central é a encruzilhada ética das novas tecnologias, especialmente a inteligência artificial.  Guilherme Goulart e Vinícius Serafim contrastam o impulso para o desenvolvimento rápido e não regulamentado da IA, exemplificado pela “One Big Beautiful Bill” nos EUA, com os apelos por uma supervisão ética por parte de figuras como o Papa Leão XIV e especialistas em segurança. Você irá aprender como tecnologias como VPNs são frequentemente promovidas com promessas enganosas de anonimato e como sistemas de IA falhos já são usados em decisões críticas, sublinhando a necessidade urgente de regulação e princípios centrados no ser humano.​ Se você se interessa por segurança digital, privacidade e os impactos da tecnologia na sociedade, não deixe de assinar o Café Segurança Legal no seu agregador de podcasts favorito e seguir nosso canal para não perder nenhuma discussão.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Pope Leo XIV speaks out against AI: ‘A challenge of human dignity, justice and labour’ Will Pope Leo XIV be an ally against AI? The Big Beautiful Bill Could Decimate Legal Accountability for Tech and Anything Tech Touches Filmes Homens, Mulheres e Filhos 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 394, gravado em 9 de junho de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas. (00:24) Dessa vez, acho que vai para o YouTube. Não vai dar problema no vídeo de novo. Vamos torcer para que sim. Vai para o YouTube ou vai dar problema? Vai para o YouTube. Tivemos um pequeno detalhe técnico e o último episódio não foi para o YouTube, mas ficou no feed. O áudio está lá. (00:41) Só não tem o nosso vídeo. O áudio está. Este é o nosso momento, como vocês já sabem, de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho. Então, pegue o seu chá, sua bebida preferida, e venha com a gente. Você já sabe que consegue nos contatar pelo podcast@segurancalegal.com ou também no Mastodon, Instagram, Bluesky e YouTube. (01:06) E também tem o nosso blog da Brownpipe, que você já conhece, onde consegue ficar atualizado e se inscrever em nossa mailing list sobre as notícias. Algumas delas, inclusive uma que trataremos hoje, está lá no blog. E antes de começarmos, Vinícius, temos duas mensagens de ouvintes. Gostaria de destacar que tive a oportunidade de participar do Primeiro Congresso Gaúcho de Responsabilidade Civil do IBERC e da Unisinos. (01:34) Foi feito lá na Unisinos, a convite do meu querido amigo Cristiano Colombo, e parabenizar o Cristiano e os outros organizadores do IBERC também. Foram dois dias de muitas palestras. Falei sobre danos nos ambientes de IA, então pude compartilhar e conversar com o grupo sobre algumas coisas — algumas bem presentes, outras mais projetadas — de possíveis danos que podem ocorrer nesse ambiente. (01:56) Diga, Vinícius. Não colocamos isso na pauta, mas dê alguns exemplos dos danos decorrentes do que você comentou lá. Dentre os mais conhecidos, estão os potenciais de discriminação, questões relacionadas ao uso de reconhecimento facial, mas também questões menos faladas. Por exemplo, o pessoal do OWASP tem um guia bem interessante sobre vulnerabilidades no ambiente de IA, e tirei de lá algumas possibilidades de data (02:27) poisoning, por exemplo. Porque quando falamos de IA — e tenho dito isso sempre que falo para audiências mais diversas — IA não é só o ChatGPT. Temos no Hugging Face cerca de 1.700.000, sei lá, possíveis modelos. No Hugging Face, logo chegaremos a 2 milhões de modelos; 1.700.000 foi a última vez que vi. Então, você tem uma série de questões sobre treinamento desses modelos, sobre gestão de dados, (02:58) sobre o uso de ferramentas de IA para prestação de contratos mesmo. Até conversava com o pessoal lá depois, imagina, alguém te contrata como advogado para dar um parecer e, dependendo do advogado, do professor, pode cobrar tranquilamente centenas de milhares de reais por um parecer específico. Então, acho que teremos que começar a discutir também até que ponto obrigações que devem ser realizadas somente por aquele devedor, por aquela pessoa (03:30) específica, qual o grau de interferência ou de intensidade que a IA poderia ter. E aí, os danos possíveis seriam no ambiente contratual, ou seja, descumprimento contratual pelo próprio uso da IA; danos sobre você carregar certos dados que eventualmente não poderiam ser carregados nas IAs e esses dados poderem ser utilizados para atividades de treinamento e, eventualmente, aparecerem; danos de dados de clientes, dados pessoais, dados sensíveis. Foi mais ou menos nessa linha. Não estou lembrando de cabeça de (04:02) todos aqui, Vinícius, mas foi mais ou menos nessa linha. Você foi citando e fui lembrando de alguns exemplos. Tivemos aquele caso no Brasil de um rapaz que estava em um jogo de futebol e foi erroneamente reconhecido pela IA como sendo um criminoso, um foragido. E aí ele saiu escoltado pela polícia. (04:22) Foi uma exposição gigante do cara. Não sei que fim levou esse caso. Tivemos aquele caso, falando em prejuízo não só para a pessoa física, mas para uma pessoa jurídica também, daquela companhia aérea que comentamos inclusive no podcast há um tempão, (04:40) na qual foi obrigada a restituir uma passagem aérea, etc., porque a IA inventou uma situação de reembolso que não existia. Eles tentaram se esquivar dizendo: “Não, mas foi a IA que fez”. A resposta foi: “Você colocou a IA para falar em seu nome, então você vai atender à demanda do seu cliente”. Teve essa também. (05:04) Outra coisa que conversei com você na semana anterior é sobre um dano, que seria uma vulnerabilidade, mas o dano aqui ocorre com a exploração da vulnerabilidade, que é o “dano de excessiva agência”. Isso é trazido pelo OWASP: dano de excessiva agência da IA. Qual é a tendência? É mais uma tendência, mas tenho certeza de que vai acontecer. Hoje, as ferramentas de IA, sobretudo os LLMs, são muito reativas. Você pede para ela fazer algo, ela faz e pronto. Com a popularização dos agentes e as (05:41) possibilidades de agentes fazendo coisas para você de forma autônoma, ou seja, qual é a diferença? É que o agente tem autonomia para atingir um determinado objetivo, um determinado propósito. O exemplo que gosto muito, e o Gemini já faz um pouco disso, mas ainda te pede autorização para fazer, é que ele acha e você pede para ele reorganizar sua agenda, ele faz uma reorganização, só que você precisa dizer: “Eu aceito que faça isso”. Usei bem pouco, mas assinei para ver como funcionava (06:12) lá. Imagina um assistente pessoal que de fato organiza sua agenda, compra passagem para você, manda e-mail. Isso é plenamente possível e está em uma fronteira, me parece, muito próxima. Então, as possibilidades de erros nessa circunstância de você dar excessiva agência para a IA, acho que vai trazer uma nova fronteira de danos para essa área. (06:39) No que diz respeito ao usuário final, ainda se apanha muito para entregar um agente decente e fácil de usar. A OpenAI tem alguma coisa, inclusive aquelas tarefas agendadas. Se não estou enganado, no Gemini eles implementaram a mesma coisa. (06:59) Tem também tarefas agendadas lá para fazer tarefas repetitivas com agendamento, mas ainda em um nível muito básico de agenciamento. E vimos o fiasco da Apple tentando colocar a Siri com GPT, etc., para tornar o telefone praticamente um agente, no qual você simplesmente manda que ele faça coisas, e vimos o que aconteceu: a coisa não deu muito certo. (07:25) Vai dar, mas naquele momento não deu. Ao mesmo tempo, o uso de agentes de IA no ambiente corporativo, ou seja, para desenvolver soluções que estão atendendo as pessoas, já vem de bastante tempo, já é realidade há alguns anos. Claro que tem uns chatbots muito malfeitos por aí que irritam só de ver. Acho que nem tem IA, acho que é alguém que fez um looping para te atender e você não consegue sair daquele looping. Mas tem coisas que funcionam muito bem. E você tem diversas ferramentas. (08:04) Não estou fazendo propaganda de ferramenta aqui, gente, mas só para citar três que vocês podem procurar, para quem não conhece, entender o tipo de coisa que estou falando: o Flowise é uma dessas ferramentas, (08:23) o LangFlow e o n8n. Existem essas e muitas outras. Citei três de que lembro de cabeça. Essas ferramentas permitem criar fluxos de automação envolvendo agentes de IA e integração com todo tipo de serviço que se possa imaginar, desde a reação à leitura de um e-mail. (08:41) Tem aquele que você usava um tempo atrás, Guilherme, para automação também. É o IFTTT. If This Then That. Eles já estão começando também a incluir agentes. No IFTTT eu não tenho certeza, mas vi outro desses dias para atividades de marketing que é justamente isso. Sim, ele monta campanhas. (09:09) E a grande sacada para essas coisas funcionarem são, primeiro, as APIs desses grandes modelos. OpenAI, Anthropic, Gemini, Grok, todos esses caras têm APIs para você consumir. Então, você consegue acessar modelos extremamente potentes sem ter que criar uma infraestrutura sua de IA para atender, o que você não conseguiria, não com modelos desse tamanho. (09:40) E a capacidade desses modelos — e isso, de uns meses para cá, se tornou mais comum entre os diversos modelos — de usarem ferramentas. Então, fica muito fácil integrar com outras coisas do seu ambiente. Você pode, por exemplo, quer

Neste episódio, comentamos os impactos do analfabetismo funcional na tecnologia, analisando como a dificuldade de interpretação e análise crítica afeta a segurança digital, a proteção de dados e a economia.​ Aprofundando a discussão a partir de um estudo do INAF, os apresentadores Guilherme Goulart e Vinícius Serafim, ambos professores com vasta experiência, exploram como os baixos níveis de alfabetismo funcional no Brasil criam um ambiente vulnerável. Eles debatem como a dificuldade em interpretar informações torna a população um alvo fácil para fraudes bancárias, golpes de engenharia social e a disseminação de fake news. O episódio também aborda os riscos sistêmicos que isso representa para a segurança da informação nas empresas, a fragilidade na gestão da privacidade e os desafios para a efetiva proteção de dados, questionando a validade do consentimento informado em um contexto de baixa compreensão. As implicações para a economia digital e a capacidade de usar o governo digital com segurança são outros pontos centrais da conversa.​ Para não perder futuras análises sobre segurança e tecnologia, assine o podcast, siga-nos em nossas plataformas e deixe sua avaliação.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Artigo de Ana Frazão – Analfabetismo funcional e riscos de manipulação INAF – Indicador de Alfabetismo Funcional Matriz de habilidades do INAF Pesquisa retratos da leitura de 2024 Brasil fica entre os piores em teste de criatividade do Pisa 📝 Transcrição do Episódio (00:03) Este é o Segurança Legal, episódio 393, gravado em 23 de maio de 2025: Impactos do analfabetismo funcional na tecnologia. Neste episódio, fazemos uma análise da pesquisa do INAF com foco nos seus impactos na tecnologia. Segurança Legal com Guilherme Goulart e Vinícius Serafim. Um oferecimento Brown Pipe Consultoria. (00:31) [Música] Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? E aí, Guilherme? Olá aos nossos ouvintes. Estou de volta. A gente já estava um tempão sem gravar. Na semana passada eu não consegui, tanto que você teve que gravar sozinho. (01:12) Depois de um longo tempo, olá novamente aos nossos ouvintes. Estamos de volta. Nós somos resilientes, não deixamos a peteca cair. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de temas. Vocês já sabem os canais: podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky e Instagram. (01:31) Também temos a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal. Se você puder, apoie. No último episódio, Vinícius, comentei sobre as pessoas que, quando tivemos o problema de migração para o PicPay, não voltaram para o Apoia.se. Se você é uma delas, conclamamos você a voltar a nos apoiar. (01:50) O seu apoio é importante para o podcast. Lá no YouTube você consegue ver os nossos rostos e também fazer seus comentários, curtir, enfim, tudo aquilo que vocês já sabem. Neste episódio, nos chamou bastante atenção um texto publicado no Jota pela Ana Frazão, uma autora bem conhecida na área de IA, proteção de dados e direito. Ela escreveu um artigo com o título “Analfabetismo funcional e riscos de manipulação”. (02:22) O subtítulo é: “A falta de educação da população brasileira potencializa os riscos do capitalismo de vigilância”. Ela está correlacionando o papel das big techs, das redes sociais e também da proteção de dados. Basicamente, ela se baseia em uma pesquisa, um estudo feito pelo INAF. (02:49) Será justamente o estudo sobre o qual falaremos aqui. Ela toma como ponto de partida esse estudo que avalia o indicador de alfabetismo funcional no Brasil. Claro, de um lado o alfabetismo funcional e, do outro, o analfabetismo funcional, que é um conceito bem conhecido. (03:13) Fala-se muito no Brasil sobre o analfabetismo funcional, mas vamos avançar um pouco. No primeiro momento, partindo do texto da Ana Frazão, explicaremos alguns elementos desse estudo do INAF e, depois, falaremos um pouco sobre os impactos do analfabetismo funcional na tecnologia de maneira geral, mas também sobre segurança da informação e proteção de dados pessoais. Então, fique conosco, não saia daí. (03:43) Guilherme, tem uma coisa muito interessante. Eu e o Guilherme temos vários pontos de contato com isso, motivo pelo qual nos interessou esse estudo, porque tanto eu quanto o Guilherme somos professores. Eu sou professor há mais de 20 anos. (04:06) Comecei a dar aula lá em 1999, quando estava fazendo meu mestrado, por volta de 1999, 2000, em cursos de graduação. O Guilherme também já tem uma estrada aí de uns 10 anos ou mais. Na graduação, 11 anos, mas muitos mais em pós-graduação também. Nós temos uma ligação com essa questão do analfabetismo funcional ou alfabetismo funcional, e acompanhamos essa história dos alunos que vêm chegando (04:45) às universidades, as turmas que, com o passar do tempo, vamos recebendo e as dificuldades que fomos percebendo cada vez mais nos alunos. Ao mesmo tempo, estamos falando de 20 anos atrás. Em 2000 não havia iPhone, não havia smartphone. O iPhone foi aparecer em 2007. (05:09) Em 2000 não tínhamos isso. Não sei se o Orkut já existia naquela época. A gente percebe… 2007, foi isso. 2007. Mas mesmo assim, faz um tempão. A gente acompanha esse negócio há muito tempo. (05:40) Pelo lado da segurança da informação e proteção de dados, e já comentamos isso várias vezes aqui no Segurança Legal, nos diversos episódios em que falamos sobre o uso de redes sociais, sobre crianças na internet, sobre esses efeitos, a necessidade de se compreender o que se está fazendo na internet, a capacidade de análise, isso já colocamos várias vezes aqui ao longo de todos esses anos de Segurança Legal. (06:06) Pode parecer para você que este assunto não tem nada a ver com segurança da informação ou com proteção de dados. Na verdade, vamos ver que não só pelo artigo da Ana Frazão, que faz justamente essa vinculação com proteção de dados, (06:30) mas com todo o contexto da segurança da informação que vamos trazer aqui, o tipo de prejuízo que o problema do analfabetismo funcional traz para as pessoas diretamente e, de forma indireta, por meio dos serviços, das empresas. Porque não pensem, vocês vão ver os números que apresentaremos, que analfabetismo funcional tem a ver com o puro e simples analfabetismo no sentido da pessoa não conseguir ler. A coisa é muito mais grave. Vocês vão ver que um percentual (07:07) bastante relevante da nossa população se enquadra em um nível de alfabetismo rudimentar ou mesmo analfabeto. A maioria esmagadora é de elementar para baixo. Mas, feito esse introito, acho que dá para começar explicando justamente isso. (07:32) Em primeiro lugar, o estudo parte de quatro habilidades que as pessoas teriam, e ele mede essas quatro habilidades. Eu vou listá-las aqui e você dá uma breve explicação delas, Vinícius. Eu já separei aqui. (07:50) Vamos lá. Em algum momento isso vai ser bem importante para entendermos o impacto disso na segurança. Quais foram as quatro habilidades medidas? Primeira: reconhecer e decodificar. Segunda: localizar e identificar. Você fala uma e eu dou a definição. Vai lá. Ah, beleza. Reconhecer e decodificar é reconhecer uma letra, um número, um símbolo, elementos gráficos. (08:13) Notem que é algo bem básico. No contexto digital, identificar ícones, hyperlinks, funções touch, scroll. A aplicação vai desde o reconhecimento de pontuação até navegar em interfaces digitais, certo? Isso é o reconhecer e decodificar. (08:39) Acho que ele vai do básico para o mais complexo. Depois é localizar e identificar: a capacidade de encontrar informações específicas em textos e ambientes digitais. A complexidade vai da localização de uma informação saliente, ou seja, algo evidente no texto, até o uso de mecanismos de busca como o Google. (09:05) A aplicação dessa habilidade é encontrar dados em textos, tabelas, gráficos e sites. Certo? Conseguir encontrar a informação. Depois, avaliar e refletir… Na verdade, essa para mim é a quarta, Guilherme. Acho que você pulou “compreender e inferir”. Ah, é verdade. (09:35) Eu anotei a ordem errada. É compreender e inferir. Essa é a última. Tem razão. Compreender e inferir, que é o próximo nível, é a integração e interpretação de informações, o estabelecimento de conexões lógicas. Então, obter um conjunto, encontrar informações e estabelecer uma relação lógica entre elas. (09:59) As habilidades envolvidas aí são comparação, ordenação, operações matemáticas, deduções, etc. As aplicações dessa habilidade são resolver problemas, interpretar gráficos, fazer inferências. Certo? É isso. Eu identifico as informações, consigo correlacioná-las e resolver problemas a partir delas. E a última habilidade é avaliar e refletir. (10:37) Avaliar e refletir, como o próprio nome diz, é avaliar e refletir sobre aquilo que você levantou. É a capacidade de fazer análise crítica, confrontar informações, emitir pareceres. A complexidade envolvida é verificar veracidade, identificar viés, fazer julgamentos éticos. (11:00) Eu gosto muito desses exemplos de aplicação, como avaliar fake news. Você vê uma notícia e consegue identificar que ela é falsa. Vou dar um exemplo rapidinho. Mais de uma vez eu vi pessoas na imprensa citando a “greve de robôs na Índia”. (11:27) As pessoas às vezes extrapolam um pouco o que os robôs podem fazer. E se você vai atrás, vê que não foi isso, foi um experimento. Não tem nada a ver com greve de robôs. Então, conseguir avaliar uma fake news, desde uma coisa simples assim até algo político, analisar argumentos, perceber quando um argumento é falso, tomar decisões fundamentadas. Esse é o último

Neste episódio comentamos as falhas de segurança no Gov.br, o bloqueio de celular por dívida e danos morais por vazamento de dados. Você irá entender os riscos e seus direitos. Guilherme Goulart analisa incidentes de segurança da informação na plataforma Gov.br, incluindo fraudes por engenharia social e a exploração de vulnerabilidades na biometria facial. A discussão aprofunda a transferência de risco ao cidadão e a falta de transparência sobre as falhas. Você descobrirá detalhes da decisão judicial que proibiu o bloqueio de celulares como garantia em microcrédito, prática abusiva segundo o direito do consumidor. Por fim, o episódio detalha uma decisão do STJ sobre responsabilidade civil e a presunção de danos morais em fraude bancária decorrente de vazamento de dados, um marco para a proteção de dados e a LGPD.​ Gostou do episódio? Siga o podcast, ative as notificações para não perder os próximos e avalie-nos na sua plataforma de áudio preferida Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes DECRETO Nº 8.936, DE 19 DE DEZEMBRO DE 2016 Portaria SEDGG (Secretaria de Governo Digital do Ministério da Economia) Nº 2154 DE 23/02/2021 Decreto 9.756/2019 DECRETO Nº 12.069, DE 21 DE JUNHO DE 2024 Portaria SGD/ME nº 23, de 04.04.2019 Golpe no gov.br: como funciona e o que fazer para se proteger Jornalista do Estadão tem conta invadida e sofre ameaça de vazamento SIAFF ACESSADO PELO GOV.BR EM 2024 https://www.brownpipe.com.br/policia-desmantela-quadrilha-interestadual-que-fraudava-documentos-via-gov-br/ https://convergenciadigital.com.br/governo/hacker-e-preso-no-rio-de-janeiro-por-invadir-e-fraudar-o-gov-br-para-clonar-veiculos/ Desvio de R$ 15 milhões de sistema do governo segue sem solução há mais de dois meses Governo identificou autor de desvio de verbas de sistema de pagamentos, diz jornal Mais segurança: contas Ouro do GOV.BR têm crescimento de 98% em dois anos Golpistas se passavam por pessoas mortas para fraudar gov.br 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 392, gravado em 16 de maio de 2025. Eu sou o Guilherme Goulart e, desta vez somente eu, sem o Vinícius Serafim, vou trazer para vocês algumas notícias — três notícias — destas últimas semanas que nós vamos discutir aqui. Então, pegue o seu café. (00:26) No meu caso, já estou com o meu chazinho. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe, é muito fácil. O nosso e-mail é podcast@segurançalegal.com, mas você também pode recorrer ao Mastodon, Instagram, Blue Sky e YouTube, onde, se quiser, além de nos ouvir pelo feed, pode nos ver lá no YouTube. Já pensou também em apoiar o projeto Segurança Legal? Acesse o site apoia. (00:50) se/segurançalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Apenas para lembrar a quem nos acompanha há mais tempo, nós tivemos um problema com o PicPay. Antes, sugerimos que os nossos ouvintes fossem para o PicPay, pois era mais fácil e a taxa era menor. (01:16) E aí, um determinado dia, o PicPay disse: “Não, não vamos mais receber valores para projetos”. Então, o que aconteceu foi que muitas pessoas que migraram para o PicPay não voltaram para o Apoia-se, e nós perdemos mais da metade dos nossos apoiadores nos últimos tempos. (01:35) Então, se você está nos ouvindo e foi uma dessas pessoas que foi para o PicPay e não voltou, considere voltar a apoiar este podcast. Hoje, nós temos três notícias. Antes disso, não posso me esquecer de falar sobre o blog da Brownpipe. Se você acessar www.brownpipe.com.br, encontrará uma série de notícias, algumas das quais nós tratamos aqui. (01:59) Acredito que duas das três notícias estão no blog, mas, de qualquer forma, você consegue ver uma série de notícias cuja curadoria nós fazemos semanalmente. Se quiser, também pode se inscrever no mailing, que as notícias principais nós encaminhamos por lá também. Você já pode aproveitar e conhecer os serviços que a Brownpipe presta em www.brownpipe.com.br. (02:24) Bom, e mais uma questão. Estou com uma gripe que está alterando um pouco a minha voz, então já peço desculpas por essa voz um pouco mais anasalada que vocês terão que ouvir durante o episódio de hoje. A primeira notícia, então, diz respeito ao GOV.BR e ao que tem se tornado, na minha opinião, um grande desafio para toda essa disciplina de autenticação e de autorização, que é um ponto clássico da segurança da informação e que envolve justamente aqueles métodos. (03:01) Aqueles métodos técnicos que permitem que pessoas consigam se identificar perante sistemas e, uma vez identificadas perante sistemas, realizar ações que elas sejam autorizadas a realizar. O que nós temos visto nos últimos tempos, sobretudo nestes últimos dois anos, 2025 e 2024, e alguma coisa em 2023 também, são alguns incidentes no GOV.BR que me parecem bem preocupantes e deveriam estar sendo muito mais falados e muito mais discutidos, não somente pela (03:37) comunidade de segurança, mas também pelo próprio governo que se utiliza de um sistema. Para vocês terem uma ideia, ele é utilizado por 163 milhões de usuários aqui no Brasil e possibilita o acesso a mais de 4.500 serviços. Vejam, 4.500 serviços podem ser acessados mediante essa autenticação disponibilizada pelo GOV.BR. (04:04) Claro que conhecemos aqueles mais comuns que provavelmente todos nós aqui usamos, seja a CNH digital, ou seja, a autenticação pelo GOV.BR nos dá acesso à CNH digital, a serviços do INSS, ao próprio e-CAC, que nos permite o acesso a serviços relacionados à declaração do imposto de renda. Eu até imaginei que fossem menos serviços; quando vi o número de 4.500 (04:36) serviços, fiquei realmente surpreso. E também, aqui do próprio site do Gov.br, as contas de nível ouro do Gov.br, ou seja, aquela que te permite ir mais além e fazer mais coisas, como, por exemplo, o e-CAC e a declaração de imposto de renda com a conta ouro, tiveram um crescimento de 98% nos últimos dois anos. No final de 2022, existiam 32 milhões de contas nessa categoria; o número passou para 63 milhões em dezembro de 2024, e as contas ouro são as mais seguras da plataforma do governo federal. Em primeiro lugar, e eu confesso para vocês, este é (05:09) um tema no qual eu não me aprofundei muito, que é todo o arcabouço de regras que regulam o funcionamento do GOV.BR. Então, quando comecei a investigar um pouco algumas dessas normas, algumas eu já conhecia, claro, como a questão relacionada às políticas de segurança do governo federal e tudo mais, mas existe uma série de decretos e portarias, seja o decreto 8.936, de 2016, que começa com aquela ideia antiga — alguns talvez lembrem — da plataforma de cidadania digital, que visava à disponibilização (05:41) de uma plataforma única e centralizada, mediante um nível de autenticação requerido para acesso, compatível com as informações e seguro. Há decretos federais, uma portaria da Secretaria de Governo Digital do Ministério da Economia de 2021, que define esses tipos de identidade — bronze, prata e ouro —, sendo essa última, a ouro, com acessos, como eu disse antes, um pouco mais avançados, e diretrizes sobre a Rede Nacional do Governo Digital. Ou seja, é complexo, é bem (06:21) complexo esse arcabouço jurídico que regula e que permite tudo isso. E, claro, aquelas pessoas que vão estudar governo digital, que vão estudar direito administrativo e a relação com o digital, certamente terão um pouco mais de intimidade com todas essas regras. Vou colocar algumas dessas portarias ali no shownotes para quem quiser acompanhar ou começar uma investigação das regras que regulam todo esse sistema. Vou deixar ali no shownotes para quem tiver um pouco mais de curiosidade. Pois bem, chegamos na (06:56) questão dos incidentes. Eu mapeei aqui quatro ou cinco incidentes, sendo que os últimos dois me parecem os mais interessantes. Os últimos dois têm até alguma questão da imprensa que eu vou querer ler e reproduzir para vocês aqui, apenas para situarmos o problema e depois fazermos algumas observações sobre o que, na minha opinião, seriam os maiores problemas que estão se demonstrando agora com esses incidentes. Lá em 2023, em outubro, uma notícia de uma jornalista cuja conta do Gov.br (07:25) foi invadida; trocaram a senha e exigiram dinheiro para não divulgar dados do seu imposto de renda. Lembrando que hoje, e acho que na época isso já existia, agora não tenho certeza, mas hoje você tem uma série de mecanismos de segurança disponibilizados pelo próprio aplicativo do GOV.BR. Ou seja, você consegue tanto habilitar a autenticação de dois fatores como também autorizar aparelhos pela via do aplicativo do Gov.br instalado no seu celular. Então, se você é usuário do Gov.br, (08:03) se você está nos ouvindo, é muito provável que seja usuário do Gov.br, mas, mesmo que não seja, este é um ponto interessante. Mesmo que você não tenha criado a conta, você potencialmente é um usuário. E se você não criou essa conta e não habilitou as proteções, mesmo que não seja usuário desse sistema, você está vulnerável a eventuais golpes ou invasões da sua conta. (08:28) Então, se você é usuário do Gov.br e está nos ouvindo, mas não habilitou esses mecanismos de segurança via aplicativo, pare de nos escutar, vá lá, habilite esses mecanismos e depois volte aqui. Naquela época, provavelmente não havia essas proteções. Já em abril de 2024, e deste caso eu me lembro, e certamente vocês se lembram também, pois foi bem divulgado, foi a invasão do Sistema Integrado de Administração Financeira, o SIAF, que na época foi invadido por meio da invasão de contas do GOV.BR de alguns gestores de despesas (09:08) desse sistema. O objetivo dos fraudadores, dos criminosos, ao invadir esse sistema, era desviar recursos. E, de fa

Neste episódio, comentamos o vazamento de dados da XP Investimentos. Guilherme Goulart e Vinícius Serafim analisam o incidente, os dados expostos e o que você precisa saber para se proteger de fraudes.​ Guilherme Goulart e Vinícius Serafim aprofundam a análise sobre o grave incidente de segurança que resultou em um significativo vazamento de dados de clientes. Eles discutem as implicações para a proteção de dados e a violação da privacidade, abordando a demora na comunicação do ocorrido e as exigências da LGPD e da ANPD. O debate detalha como os dados financeiros e dados pessoais expostos (como saldo, perfil de investidor e informações sobre produtos) aumentam drasticamente os riscos de fraudes, phishing e ataques de engenharia social, revelando o que criminosos podem inferir sobre seu patrimônio e estilo de vida.​ Gostou do episódio? Siga, assine e avalie o Segurança Legal no seu agregador de podcasts favorito para não perder nenhuma análise.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – Aprova o Regulamento de Comunicação de Incidente de Segurança O que são escritórios/assessores vinculados a XP? Encarregado de dados: após fiscalização, empresas cumprem obrigações da LGPD 2024-08-12 – Episódio #371 – 1º Encontro de Encarregados da ANPD 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 391, gravado em 30 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham ou que nos assistem posteriormente no YouTube. (00:34) Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho aqui, mais leve. Para entrar em contato conosco, você já sabe: basta enviar uma mensagem para podcast@segurançalegal. (00:52) .com ou também pelo Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal no apoia.se/segurançalegal. Existem as modalidades de apoio, você participa do grupo do Telegram, mas, o principal: você está ajudando um projeto de geração de conteúdo e de conhecimento livre e desimpedido. (01:13) Os podcasts, Vinícius, são a resistência. Nós somos a resistência. Antes de começarmos com as duas notícias – hoje teremos somente duas, até para que conseguíssemos entregar o episódio no feriado, neste pseudoferiadão, já que sexta não é feriado, mas muita gente vai emendar – eu gostaria de mandar um abraço. Eu estive em dois eventos, Vinícius, um na sexta passada e um na segunda-feira passada. (01:52) O primeiro deles foi o evento da Abrad, o Congresso Nacional de Direito Educacional, feito pela Associação Brasileira de Direito Educacional (Brad). Aqui no Rio Grande do Sul, ela é representada pelo Maurício Teles, um amigo meu de longa data. Conheço-o há bastante tempo, de quando dei algumas aulas no Verbo Jurídico e ele trabalhava lá. (02:18) Então, ele gentilmente me convidou e eu pude falar um pouco, Vinícius, por apenas 15 minutos, sobre ética, educação e inteligência artificial. Tu conseguiste falar em 15 minutos? Eu duvido. Não, mas levei alguns elementos do nosso podcast, algumas coisas que já comentamos aqui, como aquela pesquisa da Microsoft, e a partir dali apresentei alguns breves elementos. (02:44) O segundo, Vinícius, foi uma palestra que concorreu na segunda-feira com nosso querido amigo Fabiano Menke, o professor da UFRGS, nosso amigo de longa data com quem já escrevemos juntos. Ele já passou aqui pelo Segurança Legal e me convidou para falarmos lá na UFRGS sobre as interfaces entre inteligência artificial e proteção de dados. (03:10) E foi um diálogo muito bacana, porque temos pensado nisso ao longo dos últimos anos. O próprio Menke falou sobre isso, Vinícius, e esse nosso diálogo que temos aqui no podcast também, há bastante tempo falando sobre esses temas. É sempre bom também, porque fui lá para aprender com o Fabiano Menke, que é uma grande autoridade no tema. Foi aquela troca de ideias, aquele tipo de conversa em que você aprende com a pessoa, pensa junto, e de repente percebe que não é bem assim. Foi uma coisa muito bacana. O Rafael (03:43) Escaroni, também mestre pela UFRGS e sócio do Fabiano Menke, estava lá também, meu conhecido há bastante tempo. E ele foi supergentil, porque disse que ouve o podcast e fez uma pergunta envolvendo um dos temas que tratamos. (04:00) Ele comentou: “Muito bom te ver, porque às vezes fico dialogando com vocês na minha mente enquanto estou ouvindo”. Foi muito bom encontrar ouvintes do podcast, encontrar o Rafael Escaroni e também poder trocar uma ideia com o Fabiano Menke sobre essas interfaces. (04:21) E um recado para os nossos ouvintes: eu já percebi, não sei se já aconteceu contigo, mas percebi agora recentemente, em uma viagem que fiz, algumas pessoas me olhando de uma maneira meio… tentando confirmar a identidade. Então, só para dar um recado: se vocês nos virem por aí, não tenham medo. A gente fica superfeliz de encontrar quem escuta o nosso podcast em carne e osso, porque interagimos pouco pela natureza da nossa área. (04:56) A gente sabe que muita gente nos escuta, pelo que o pessoal nos fala, pelos convites para eventos, pelas estatísticas que acompanhamos de acesso. Mas, ao mesmo tempo, muitas vezes parece que estamos nós dois sozinhos aqui conversando, e tem um monte de gente, vocês são vários que nos escutam. Então, quando tiverem oportunidade em algum evento ou nos encontrarem por aí, não tenham receio. (05:30) O Guilherme tem uma cara meio feia, mas podem chegar perto dele, não tem problema. Nos procurem, digam: “A gente ouve o podcast”. Para nós, isso é um baita de um incentivo. Sabe que, nessa mesma linha, recentemente, temos um ouvinte e seguidor nosso, o Diego Costa, que também conhecemos há bastante tempo. Ele dá uma série de palestras sobre segurança da informação e, como ouvinte das antigas, sempre recomenda o podcast Segurança Legal. Ele postou no Instagram e (06:08) me marcou em um vídeo dele. Depois que ele terminou a palestra, disse: “Escutem esses caras, eles estão há bastante tempo gravando isso”. É um reconhecimento bacana. Eu fico especialmente muito feliz e muito honrado, porque são pessoas que nos escutam, muitas pessoas que admiro e que têm uma trajetória. (06:34) Eu fico feliz e, ao mesmo tempo, dá um friozinho na barriga, porque parece que somos só nós, mas falamos para milhares de pessoas toda semana. Milhares de pessoas nos escutam. Fica um beijo. Diga, Guilherme. Indo para o nosso tema, a gente até conversou sobre aprofundar um pouco mais as discussões, pegar menos notícias e aprofundar um pouco mais as nossas conversas aqui. Porque vocês não sabem, mas antes de cada podcast tem outro podcast que eu e o Guilherme fazemos, conversando entre nós. E às vezes conversamos longamente, até mais de (07:04) uma hora. E pensamos: “Pô, cara, isso aqui era o podcast”. A nossa conversa poderia ter sido o podcast. E, às vezes, na notícia, ficamos naquela de querer dar a notícia e acabamos não aprofundando muito. (07:21) Mas, para iniciar logo a nossa conversa, o que aconteceu com a XP Investimentos? (07:28) A XP é uma instituição financeira brasileira, de conhecimento de todos. Ela opera desde 2006, liderando diversos segmentos do mercado financeiro. (07:52) Eles têm uma plataforma muito interessante para investimentos. Começaram com essa parte e depois abriram para a prestação de serviços bancários. Também têm um cartão de crédito bastante interessante, com algumas vantagens bem boas. Aí têm empréstimo, seguro, previdência. Você faz pela plataforma deles também, consegue fazer esses, chamam de investimentos, mas é previdência. É uma instituição financeira utilizada por milhares de pessoas, bem consolidada. O que aconteceu? No dia 24 de abril, os (08:33) clientes da XP começaram a receber um comunicado indicando que teria havido um incidente no dia 22 de março de 2025. Portanto, uma comunicação realizada, segundo eles próprios, um mês depois do incidente. Quando olhamos para a mensagem, acho que podemos lê-la aqui depois, Vinícius, e ir fazendo alguns comentários sobre ela, porque há uma série de questões interessantes. Por que este caso está aqui? É um (09:12) vazamento de dados pessoais relevantes. Não foram dados sensíveis, mas dados pessoais relevantes que diremos quais são daqui a pouco. Fique conosco, apoie o podcast no apoia.se/segurançalegal. Mas, ao mesmo tempo, olhar para os comunicados é uma atividade interessante. Por exemplo, uma coisa que retiramos deste comunicado é que, certamente, se eu fosse apostar, apostaria que ele foi criado com o apoio de relações (09:43) públicas na área de segurança da informação e de proteção de dados. As duas estão juntas. Certamente foi um incidente de segurança que afetou dados pessoais. Quando falamos em envolver relações públicas em comunicados, já se está criando, fora do Brasil há muito mais tempo, mas aqui já está bem estabelecida a ideia de que você pode precisar de uma orientação técnica de como colocar a sua mensagem. Eu vejo isso nesta mensagem. É uma mensagem (10:22) cuidadosamente elaborada, como deve ser. A própria LGPD e as normas que regulam a questão dos comunicados dizem que o comunicado tem que ser claro, tem que expor quais são os riscos e tudo aquilo que já sabemos. E isso eu vejo aqui, Vinícius. Então, tem esse ponto. (10:45) Em alguns momentos, ela me pareceu uma mensagem um pouco contraditória. Um comunicado de incidentes tem que ser realista para o titular, claro que também não pode criar uma situação de pânico desmedida. E por isso tem que ser cuidadosamente criada,

Neste episódio comentamos sobre a briga da Meta com a FTC que pode dividir a empresa, o estudo que revela o descumprimento da LGPD pelas IAs e o risco de fim do banco de dados de vulnerabilidades CVE.​ Você irá descobrir os detalhes da ação antitruste da FTC contra a Meta e como a regulação de big techs impacta o mercado global. Aprofundamos a análise sobre a aderência de plataformas de inteligência artificial à LGPD, destacando falhas críticas em proteção de dados e privacidade. Analisamos também a crise de financiamento do Mitre que ameaça o futuro do CVE, um pilar para a gestão de vulnerabilidades em cibersegurança. Além disso, abordamos o vazamento de milhões de credenciais no GitHub e a nova norma sobre riscos psicossociais, que afeta diretamente os profissionais de segurança da informação.​ Assine, siga e avalie nosso podcast para não perder nenhuma análise sobre o mundo da segurança digital. Visite nossa campanha de financiamento coletivo e nos apoie! Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Relatório – IA GENERATIVA E LGPD: TRANSPARÊNCIA, DESAFIOS REGULATÓRIOS E CAMINHOS PARA A CONFORMIDADE Guia de informações sobre os Fatores de Riscos Psicossociais Relacionados ao Trabalho do Ministério do Trabalho Ex-Meta exec tells Senate Zuck dangled US citizen data in bid to enter China Meta whistleblower Sarah Wynn-Williams says company targeted ads at teens based on their ‘emotional state’ 39 Million Secrets Leaked on GitHub in 2024 MITRE-backed cyber vulnerability program to lose funding Wednesday CVE program gets last-minute funding from CISA – and maybe a new home CVE Program Almost Unfunded U.S. Govt. Funding for MITRE’s CVE Ends April 16, Cybersecurity Community on Alert  In last-minute reversal, US agency extends support for cyber vulnerability database Exclusive: DOGE staffer ‘Big Balls’ provided tech support to cybercrime ring, records show Livro – Careless People: A Cautionary Tale of Power, Greed, and Lost Idealism 📝 Transcrição do Episódio (00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 390, gravado em 17 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último período. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham pelo YouTube. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. (00:29) Então, pegue o seu café e vem conosco. Para entrar em contato com a gente, basta enviar uma mensagem para podcast@segurançalegal.com ou também via redes sociais: Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal pelo apoia.se/segurançalegal. (00:48) Você escolhe uma das modalidades de apoio e, entre os benefícios recebidos, terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Lembrando que sempre pedimos para que você considere apoiar um projeto livre e independente de produção de conteúdo. O blog da Brownpipe, brownpipe.com.br, (01:05) é a empresa que também é uma das mantenedoras do Segurança Legal, junto com os apoiadores. Lá você consegue se inscrever na mailing semanal para receber as notícias publicadas no blog. Vinícius, indo direto ao ponto, o que está acontecendo com a Meta nos Estados Unidos? É um golpe na Meta ou um golpe que pode quebrar a Meta ao meio? (01:36) Não, mas está bom. É que tem um manual do negócio que está aqui. Está ótimo. Mas vai mudar o sol, tudo bem. Vai ficar assim. Não sei se está te atrapalhando, mas incomoda um pouco, ele está bem claro no fundo. O que aconteceu foi o seguinte: recentemente, o que tem chamado a atenção são duas notícias. (02:04) Uma delas está relacionada ao fato de que o Zuckerberg teria concordado em compartilhar dados de usuários norte-americanos com a China para entrar no mercado chinês. Inclusive, que o Facebook cooperou ativamente para acelerar o desenvolvimento de IA na China. Isso pré-era Trump. (02:30) E agora, vai para julgamento no Federal Trade Commission (FTC), lá nos Estados Unidos, a questão de obrigar a Meta a se dividir em mais empresas. Isso tem a ver com Trump e não tem a ver com Trump. (03:00) Então, a primeira notícia é essa questão do Zuckerberg oferecendo acesso a dados de cidadãos americanos para a China para poder entrar no mercado chinês, inclusive com um sistema de “death” em posts que passam de um certo número de views. Então, parabéns para o Zuk, que agora, desde o início, quando o Trump tomou aquele tiro que pegou de raspão na orelha, foi o momento em que o Zuckerberg primeiro se manifestou de maneira positiva em relação a um candidato e se engajou. Ele não tinha feito isso antes, nem com Trump, nem com (03:40) Biden, mas naquele momento ele passa a dizer que o Trump era um “badass”, um herói. A partir dali, ele passa a admirar o Trump, isso logo antes das eleições. Desculpa pela minha reação, estava tentando me conter. Então, essa questão da China é nova. (04:05) Isso está sendo denunciado agora por uma pessoa de dentro do Facebook. E tem a questão do livro, não é isso? Tu queres comentar ou citar o livro, Guilherme? Eu não lembro de cabeça. (04:21) Então, teve essa denúncia e essa questão do Federal Trade Commission em relação à Meta ter que se dividir. Ela começa com o Trump. Lá no primeiro governo, o Trump não ficou muito feliz com a Meta e o Facebook implementando iniciativas de fact-checking e tirando conteúdo do ar. (04:55) No final do governo Trump, quando ele perde as eleições e faz aquela chamada para ir ao Capitólio para impedir a validação das eleições, o Facebook entende que aquilo é uma incitação à violência e tira tudo do ar. (05:22) O Trump não ficou, digamos, muito feliz com isso no final do mandato dele. Então, no finalzinho do mandato, o Trump coloca o FTC para investigar a Meta. Termina o mandato do Trump, e o Zuk entra em lua de mel com o governo Biden, pelo menos no início. (05:52) No começo, as Big Techs gostaram do governo Biden. Só que o governo Biden começa a demandar a regulação das redes e das tecnologias, e as Big Techs não ficaram nem um pouco felizes com isso. Por fim, o Biden nomeia para o FTC uma pessoa que todas as Big Techs odiavam, e aí a galera se descola do Biden. (06:27) Mas, ainda assim, o processo do FTC não anda até o final do governo Biden. O FTC reativou essa investigação contra a Meta, e o governo Trump herdou isso reativado. Então, o FTC está ativamente processando a Meta nesse sentido. (06:56) E apesar de o Zuk ter dito que ama o Trump, o Trump não está correspondendo ao amor dele, está meio que o escanteando. A Meta está tentando, direto na Casa Branca, fazer com que esse processo deixe de existir. E como, nesse momento nos Estados Unidos, não é preciso seguir processo nenhum, é só convencer o Trump a tirar o processo, ele tira e acabou. (07:23) É o caminho que eles estão tentando, mas o Trump não está dando muita bola. Então, por enquanto, esse processo está andando e, ao que parece, vai adiante. Há um risco bastante grande de a Meta ter que se dividir em mais de uma empresa. A coisa começa com a compra do Instagram. Lá na época, o FTC entendeu que o Instagram era um produto diferente do que o Facebook já oferecia, e hoje eles entendem que compraram um concorrente. (07:58) Seria um caso de antitruste, que implica uma avaliação se a Meta teria um monopólio com a compra do Instagram e do WhatsApp, junto com o Facebook. Seria para ver se eles teriam o monopólio das redes sociais nos Estados Unidos. Isso acontece ao mesmo tempo em que há aquelas movimentações para o Trump querendo afetar a operação do TikTok, trazer o TikTok para os Estados Unidos, com o X querendo, supostamente, dar uma proposta para comprar o TikTok. Sobretudo Facebook e Instagram. E aqui no (08:41) Brasil é muito importante isso. Quando a gente fala sobre redes sociais, Facebook e Instagram, o Facebook ainda tem muita gente utilizando. Era isso, Vinícius? Sim, já tinha concluído. Toca a ficha. (09:11) Aqui no Brasil, falando também um pouco sobre Big Techs e sobre o papel de grandes empresas nesse mercado, passando mais para o mercado da inteligência artificial, esse tema do qual a gente não consegue deixar de falar, saiu um estudo, um “discussion paper” publicado pela FGV Direito Rio, que avaliou o grau de aderência das principais plataformas de inteligência artificial disponíveis no mercado às práticas de proteção de dados, especificamente à LGPD. Ou seja, buscou verificar se os grandes players de IA que estão oferecendo serviços no Brasil estão cumprindo a LGPD. Um parêntese aqui, Vinícius, que (09:49) deve ser aberto, e é uma coisa que, na nossa imprensa, ao contrário da americana, por exemplo, acontece com bastante frequência: esse estudo foi amplamente divulgado pela imprensa (Globo, O Globo, Folha de S. Paulo, etc.). (10:12) E, mais uma vez, eles não trazem o link do estudo. Ou seja, você tem que ativamente buscar, pesquisar, perder seu tempo, o que a maioria das pessoas não vai fazer. Se fosse na faculdade, você tomaria um puxão de orelha: “vai botar as fontes aí”. Claro, as pessoas podem querer ler aquele estudo. (10:32) Além disso, eles avaliaram se as empresas estavam cumprindo a LGPD. O primeiro ponto que avaliaram, além da questão de proteção de dados, foi o uso dessas ferramentas estrangeiras e como isso afeta nossa soberania digital, algo que já falamos várias vezes no Segurança Legal. Ou seja, o Brasil está dependente dessas ferramentas, sem ter uma alternativa viável no momento para (11:07) migrar para serviços brasileiros ou que não sejam americanos, considerando todos os problemas que estão vivendo com Trump agora. Eles destacaram isso. Começam separando, o que é interessante, o que são os termos de uso e o que é a política de privacidade. Algumas empresas, às vezes, colocam tudo no mesmo documento, mas