IA agêntica nas empresas: por que 40% dos projetos vão fracassar e como evitar estar nessa lista

IA agêntica nas empresas: por que 40% dos projetos vão fracassar e como evitar estar nessa lista

O Gartner projeta que mais de 40% dos projetos de IA agêntica em empresas serão cancelados até 2027. O motivo não é falha de tecnologia — é falha de governança. Em paralelo, o relatório State of AI 2026 da Deloitte mostra que apenas uma em cada cinco organizações possui um modelo maduro de governança para agentes autônomos. O gap entre velocidade de adoção e capacidade de controle está se ampliando. E é nesse gap que o risco operacional, jurídico e reputacional se acumula.

IA agêntica não é chatbot com nome novo

A distinção importa para quem toma decisão de investimento. Um chatbot recebe uma pergunta e devolve uma resposta. Um agente de IA recebe um objetivo e executa ações para atingi-lo — navega sistemas, toma decisões intermediárias, acessa APIs, modifica dados, dispara processos.

A diferença operacional é fundamental: agentes agem. Não sugerem — executam. Um agente de compras pode negociar com fornecedores, aprovar ordens de compra e atualizar o ERP. Um agente de atendimento pode emitir reembolsos, alterar contratos e escalar casos para humanos. Quando um agente erra, o erro não fica contido numa janela de chat. Ele se propaga pelos sistemas integrados. Em cascata.

É essa capacidade de ação autônoma que torna a governança de IA agêntica fundamentalmente diferente da governança de IA generativa. O risco não é o agente gerar um texto incorreto. É o agente executar uma ação incorreta com consequências reais no P&L.

Por que 40% vão fracassar

Três causas raiz explicam a projeção do Gartner. Nenhuma é técnica.

Ausência de inventário. A maioria das organizações não sabe quantos agentes opera, onde estão deployados, quais sistemas acessam e quem é o owner de negócio de cada um. Sem inventário, não há governança — há improvisação. É o equivalente a ter funcionários que ninguém contratou formalmente operando em sistemas críticos sem supervisão.

Permissões sem controle. Agentes estão sendo deployados com credenciais amplas porque é mais rápido. A lógica de “dar acesso total e depois restringir” é a mesma que gerou os maiores incidentes de segurança da última década. Quando um agente com permissões excessivas interpreta mal uma instrução ou alucina um objetivo intermediário, o dano é proporcional ao acesso que ele tem.

Observabilidade zero. Organizações conseguem monitorar uptime e latência de um agente. Mas não monitoram o que o agente decidiu, por que decidiu e qual foi a cadeia de ações. Quando algo dá errado — e vai dar — não há audit trail para diagnosticar a causa raiz, atribuir responsabilidade ou demonstrar ao regulador que existia supervisão.

Esses três gaps são sistêmicos. Resolver um sem os outros cria uma falsa sensação de controle.

Os 5 pilares de governança para IA agêntica

A recomendação aqui é direta: antes de escalar agentes em produção, a organização precisa ter cinco capacidades operacionais funcionando. Não como política — como processo.

1. Inventário de agentes. Registro centralizado de todo agente em operação: nome, função, sistemas acessados, owner de negócio, classificação de risco, data de deploy, modelo subjacente e versão. Atualizado com a mesma disciplina de um inventário de ativos de TI. Se a organização não consegue listar seus agentes em 24 horas, não está pronta para escalar.

2. Identidade e autenticação. Cada agente precisa de uma identidade única — não compartilhada com outros agentes ou com credenciais de usuários humanos. Autenticação baseada em certificados, tokens de curta duração e registro de cada sessão. Quando um agente executa uma ação, o sistema precisa saber qual agente, com qual identidade, em qual contexto.

3. Menor privilégio. Agentes devem operar com o mínimo de permissões necessário para a tarefa específica. Acesso amplo por conveniência é risco acumulado. A implementação exige revisão periódica de permissões — trimestral no mínimo — com owner de negócio atestando que cada permissão é necessária. O paralelo com IAM (Identity and Access Management) para humanos é direto e intencional.

4. Observabilidade de decisões. Monitorar métricas de infraestrutura não é suficiente. A organização precisa registrar a cadeia completa de decisões do agente: objetivo recebido, plano gerado, ações executadas, dados acessados, resultados obtidos. Esse log é o que permite audit trail, root cause analysis e demonstração de compliance. Sem observabilidade de decisões, a organização não sabe o que seus agentes estão fazendo — e ninguém no board deveria aceitar isso.

5. Compliance contínuo. Governança de agentes não é um projeto com data de entrega. É um processo contínuo que acompanha o ciclo de vida do agente: deploy, operação, atualização, descomissionamento. Cada mudança de modelo, de prompt, de permissão ou de escopo requer reavaliação. O framework deve incluir testes automatizados de compliance — o agente ainda opera dentro dos limites definidos? — executados com frequência programada.

O framework de Singapura como referência

Em janeiro de 2026, a IMDA (Infocomm Media Development Authority) de Singapura publicou um framework de governança específico para IA agêntica. É o primeiro de um regulador nacional a endereçar agentes autônomos de forma estruturada.

O framework é relevante por três razões: aborda explicitamente o risco de ações autônomas em cascata, define responsabilidades entre operadores e desenvolvedores de agentes, e propõe uma estrutura de accountability que pode ser auditada. Para organizações que operam globalmente, o framework de Singapura funciona como benchmark — não como obrigação regulatória, mas como referência de maturidade. Se a governança interna da organização não atende ao que Singapura propõe, há gaps a endereçar.

O contexto brasileiro

No Brasil, o cenário adiciona camadas de complexidade. A LGPD já exige explicabilidade para decisões automatizadas que afetem titulares de dados (art. 20). Um agente de IA que toma decisões autônomas sobre crédito, contratação ou precificação precisa ter sua lógica explicável. Agentes que operam como caixas-pretas violam esse requisito antes mesmo de entrar em produção.

O PL 2338 (Marco Legal de IA) vai formalizar obrigações adicionais: avaliação de impacto, supervisão humana, transparência. Empresas brasileiras que já estruturam governança de IA agêntica hoje estarão posicionadas. As que esperarem pela regulação vão enfrentar o custo de adequação sob pressão — sempre mais caro e mais arriscado.

O checklist que o CAIO precisa levar ao conselho

Cinco perguntas que o conselho deveria conseguir responder antes de autorizar a escala de agentes em produção:

  1. Quantos agentes operam na organização hoje, e existe um inventário centralizado com owner de negócio para cada um?
  2. Cada agente tem identidade única, ou agentes compartilham credenciais entre si ou com usuários humanos?
  3. As permissões de cada agente seguem o princípio de menor privilégio, com revisão periódica documentada?
  4. Existe log completo da cadeia de decisões dos agentes — não apenas métricas de infraestrutura?
  5. O framework de governança cobre o ciclo completo do agente, incluindo atualização e descomissionamento?

Se a resposta para qualquer uma dessas perguntas for “não” ou “não sabemos”, a organização não está pronta para escalar. E escalar sem controle é acumular risco que vai se materializar. O Gartner está dizendo que 40% vão descobrir isso da forma mais cara possível.

A recomendação é que esse checklist entre na próxima pauta do conselho. Não como item informativo — como item deliberativo. O momento de governar agentes de IA é antes de eles estarem em produção, não depois do primeiro incidente.