Shadow AI: o uso não autorizado de inteligência artificial nas empresas e os riscos envolvidos
O uso de ferramentas de inteligência artificial sem aprovação das áreas de tecnologia e segurança da informação tem se tornado uma prática cada vez mais comum nas organizações. O fenômeno, conhecido como Shadow AI ou IA paralela, desperta a atenção de especialistas por envolver riscos que vão desde vazamentos de dados até problemas regulatórios e prejuízos financeiros às companhias.
Levantamentos recentes ajudam a dimensionar o cenário. Uma pesquisa da Gartner indicou que 69% das empresas suspeitam ou já têm evidências de que seus funcionários utilizam IA generativa sem autorização. Dados do estudo Value of AI, realizado pela SAP em parceria com a Oxford Economics, revelaram que 66% das companhias brasileiras admitem que o uso não autorizado ocorre com alguma frequência. Outra pesquisa da própria Gartner, intitulada "Inovações em Cibersegurança na Gestão de Riscos e Uso de IA 2025", mostrou que 33% dos colaboradores reconhecem inserir informações confidenciais da empresa em ferramentas públicas ou não aprovadas.
De acordo com a empresa de cibersegurança Palo Alto Networks, Shadow AI é o uso de ferramentas ou sistemas de inteligência artificial sem a aprovação, o monitoramento ou o envolvimento das equipes de tecnologia da informação e segurança. Na prática, isso significa que funcionários recorrem por conta própria a plataformas de IA para executar atividades relacionadas ao trabalho, sem que a empresa tenha estabelecido regras, controles ou mecanismos de supervisão para esse uso. O conceito deriva do chamado Shadow IT, expressão usada para descrever tecnologias adotadas sem aprovação da área de TI, mas com a particularidade de envolver os riscos específicos ligados à forma como os modelos de IA processam dados, geram respostas e influenciam decisões.
Para Samuel Barros, reitor do IBMEC, trata-se de um fenômeno cada vez mais presente nas organizações. Segundo ele, ignorar o movimento pode ser um erro estratégico, já que a inteligência artificial agiliza entregas e facilita o cotidiano profissional. Já Kelly Stefani, CRO da Agility, avalia que a principal motivação dos colaboradores é a pressão por produtividade somada à ausência de orientações claras por parte das empresas. Ela destaca que muitos funcionários sequer sabem quais ferramentas são permitidas ou quais riscos estão envolvidos. O colaborador, muitas vezes, não está tentando burlar uma regra, apenas encontrou uma ferramenta que ajuda a resumir documentos, criar apresentações, organizar dados e escrever com mais qualidade, sem que a empresa tenha oferecido alternativas oficiais.
Os riscos associados ao Shadow AI costumam ser divididos em diferentes camadas. A primeira é a exposição de dados sensíveis. Funcionários podem inserir informações proprietárias, estratégicas ou reguladas em plataformas públicas sem compreender como esses dados serão armazenados, processados ou utilizados pelos provedores dos modelos. Uma pesquisa da LayerX Security, citada pela Conversys IT Solutions, revelou que 75% dos profissionais que utilizam ferramentas de IA não aprovadas já compartilharam informações sensíveis nessas plataformas. As consequências podem incluir exposição de propostas comerciais, estratégias de negócio, bases de clientes, metodologias proprietárias, análises financeiras e dados de pipeline.
Outra camada de risco envolve o descumprimento da Lei Geral de Proteção de Dados, a LGPD. Barros lembra que inserir dados de companhias, clientes e fornecedores em ambientes não controlados já representa, por si só, um risco significativo do ponto de vista regulatório. A Palo Alto Networks também alerta que o uso de IA paralela pode contornar exigências de proteção de dados e abrir caminho para investigações, sanções e multas. Há ainda o risco de decisões baseadas em informações incorretas, já que modelos podem produzir respostas imprecisas ou desatualizadas, além do chamado envenenamento de modelos, situação em que sistemas treinados com dados comprometidos geram resultados enviesados. A falta de rastreabilidade completa o cenário, pois a adoção fragmentada de ferramentas por diferentes áreas dificulta investigações e aumenta a exposição das organizações.
Determinados departamentos são considerados mais vulneráveis por lidarem diretamente com dados sensíveis. Recursos humanos, por exemplo, trabalha com informações sobre salários, avaliações de desempenho e dados pessoais. O jurídico lida com contratos, pareceres e documentos sigilosos. Áreas de finanças, contabilidade, marketing e vendas também aparecem entre as mais expostas, devido ao acesso a propostas, históricos de negociação e informações estratégicas sobre clientes.
A questão da responsabilidade em caso de vazamentos não possui resposta única. Para Kelly Stefani, quando a empresa possui políticas claras, treinamento adequado e mecanismos de governança, um descumprimento deliberado pode ser atribuído ao colaborador. Por outro lado, na ausência de regras e controles, a própria organização pode ser responsabilizada por não ter adotado medidas suficientes para prevenir o problema. Em qualquer cenário, a empresa não consegue transferir integralmente a responsabilidade para o funcionário.
Diante desse contexto, especialistas defendem que a solução não está em proibir o uso da inteligência artificial, mas em estabelecer governança. O primeiro passo, segundo os especialistas, é mapear quem utiliza quais ferramentas e em quais contextos. A partir desse diagnóstico, as empresas devem definir políticas claras, criar códigos formais de conduta, investir em educação dos colaboradores e desenvolver mecanismos permanentes de controle. Para os especialistas consultados, o crescimento do Shadow AI mostra que a discussão sobre inteligência artificial nas organizações deixou de ser exclusivamente tecnológica e passou a envolver também governança, cultura corporativa e gestão de riscos.
