Dados da Microsoft indicam que 75% dos trabalhadores já usam Inteligência Artificial (IA) no trabalho. Essa democratização da IA trouxe consigo um fenômeno incontornável para o ambiente corporativo: a Shadow AI, que é uma derivação do Shadow IT.
A Shadow AI envolve uso descentralizado de ferramentas, modelos e APIs de Inteligência Artificial por colaboradores e departamentos, inteiramente à margem da homologação, supervisão ou governança das áreas de tecnologia e segurança.
É um cenário que coloca em risco a própria estratégia da empresa: contratos, análises de concorrência, decisões em formação, produtos, serviços e código proprietário ficam em situação de vulnerabilidade.
A prova está em um alerta recente do Gartner, o qual revelou que a Shadow AI já se tornou uma prática comum: 69% dos líderes de cibersegurança afirmam ter evidências ou fortes suspeitas de que funcionários utilizam ferramentas públicas de Inteligência Artificial Generativa proibidas pela empresa.
Mais alarmante ainda é a projeção a longo prazo: até 2030, mais de 40% das organizações globais enfrentarão incidentes graves decorrentes diretamente do uso não autorizado de Inteligência Artificial.
Quando diferentes áreas contratam ou adotam soluções de IA de forma isolada, geram-se processos desalinhados da infraestrutura corporativa, com risco evidente para as arquiteturas em que os modelos operam sem barreiras de governança de identidade ou gerenciamento de postura de segurança de Inteligência Artificial (ou ASPM, do inglês Application Security Posture Management).
Para a tríade de liderança técnica — composta por diretores de informação (CIOs), diretores de segurança (CISOs) e diretores de tecnologia (CTOs)—, a Shadow AI é um dos maiores desafios. Contudo, o verdadeiro papel da liderança executiva não é bloquear a inovação na ponta, mas canalizar essa força criativa para um ecossistema seguro, escalável e auditável.
De acordo com a IDC, a porcentagem de dados corporativos sensíveis injetados em ferramentas de Inteligência Artificial saltou de 10% para mais de 25% em um curto intervalo de tempo. O uso de contas não corporativas faz com que dados sensíveis e propriedade intelectual sejam processados por modelos externos públicos sem qualquer visibilidade ou controle.
Temos um caso do banco JPMorgan que mostra uma realidade recorrente: pesquisas internas indicavam que 30 a 40% dos funcionários já tinham experimentado o ChatGPT no trabalho e, após a empresa restringir o acesso, muitos seguiram usando a plataforma por canais pessoais.
A solução veio depois. O banco desenvolveu um assistente interno baseado em Inteligência Artificial e o disponibilizou em ambiente controlado para cerca de 60 mil funcionários. A conclusão é que proibir gera uso clandestino, enquanto governar gera uso visível e auditável. Consequentemente, o impacto é mensurável.
Mediante esse exemplo, podemos dizer que três ações separam as empresas maduras das que ainda dependem de bloqueio:
- Políticas explícitas de uso: definir com clareza o que pode e o que não pode ser enviado aos modelos, com exemplos práticos e responsabilização por categoria de dados.
- Canais oficiais de acesso: instância corporativa de modelos (Azure OpenAI, AWS Bedrock ou equivalente), com bases internas, barreiras de segurança e controles de privacidade, oferecendo alternativa concreta ao uso por contas pessoais.
- Capacitação e monitoramento: treinamento formal em uso seguro de Inteligência Artificial e monitoramento ativo de acessos a provedores externos.
A adoção integrada das ações permite a implementação de uma jornada estruturada sobre os pilares de estratégia corporativa, engenharia de dados e cultura organizacional.
Dessa forma, torna-se mandatório centralizar e automatizar os fluxos de integração em ambientes modernos, como Data Lakes e Lakehouses, assegurando dados devidamente tratados em uma única fonte. A introdução de testes automatizados de qualidade reduz drasticamente os riscos de erro dos algoritmos e resguarda as conformidades regulatórias.
Portanto, a inovação depende fundamentalmente de iniciativas voltadas à Data Literacy (capacidade de compreender os dados e se comunicar com os mesmos) e em AI Literacy (alfabetização baseada nos recursos de IA), as quais vão capacitar os profissionais a tomar decisões orientadas por dados de forma ética, consciente e segura.
O resultado será a vulnerabilidade da Shadow AI dando lugar a uma política de governança ativa e visível.
Então, a questão é: o que sua empresa está oferecendo como alternativa segura para os times que já estão usando Inteligência Artificial generativa?
*Por Alexandre Azevedo, CEO da White Cube.
