Uso de IA que ninguém autorizou, mas “todo mundo” usa

Imagina a cena: reunião de planejamento estratégico na sua empresa, todo mundo presente, líder da área falando que “estamos usando IA pra otimizar processos”. A apresentação tem o slide bonito sobre transformação digital, alguém menciona Copilot, alguém menciona ChatGPT, todo mundo concorda que é o futuro. Reunião acaba, todo mundo volta pra mesa.

Aí, por trás das câmeras:

• O analista de RH está colando currículos no ChatGPT pessoal pra triar candidatos.
• A pessoa do financeiro está jogando relatório de fechamento mensal no Claude pra resumir.
• Alguém do comercial criou um “agente” no Lovable que puxa dado de cliente do CRM e gera proposta automática.
• Alguém do TI nem sabe que essas três coisas estão acontecendo.

Isso tem nome, chama Shadow AI e provavelmente está acontecendo na sua empresa agora.

E a pergunta que fica é: como trabalhar no meio disso tudo sem virar o próximo problema do TI, ou pior do compliance? Será que você está fazendo algo errado sem nem saber que está?

O que é Shadow AI, afinal

Shadow AI é o uso de ferramentas de inteligência artificial dentro de uma organização sem conhecimento, aprovação ou supervisão da TI ou da segurança da informação.

O termo é uma evolução de Shadow IT, conceito mais antigo (anos 2000) que cobria qualquer software ou hardware adotado sem aprovação. Quem trabalhou em empresa grande na década passada lembra: pessoas instalando Dropbox no notebook do trabalho, criando macro VBA escondida do TI, usando Trello/Notion pessoal pra gerenciar projeto da equipe. Sempre teve.

A diferença com Shadow AI é importante, pois IA não armazena dados, ela processa por inferência: quando você cola um e-mail confidencial num ChatGPT pessoal pra “melhorar a redação”, a ferramenta não está só guardando aquele texto num servidor: dependendo da versão paga que você usa, ela pode incorporar o conteúdo no treinamento do próximo modelo. E modelo treinado não tem botão de desfazer.

A IBM e a ISACA tratam Shadow AI como categoria nova de risco, separada de Shadow IT, devido principalmente ao seu potencial de impacto. 

Três números que deveriam estar no radar de qualquer líder atual

Antes que alguém ache que estou exagerando, vou apresentar aqui três dados que mostram o tamanho do problema. Todos vêm de pesquisas internacionais mas mais a frente no texto vou trazer também um pouco mais de contexto de Brasil. Vamos aos números.

Número 1: 68% dos funcionários que usam IA no trabalho acessam essas ferramentas pela conta pessoal, não pela conta corporativa. O dado vem de uma pesquisa da TELUS Digital, conduzida via Pollfish em janeiro de 2025, com 1.000 funcionários adultos nos Estados Unidos, todos atuando em empresas com 5 mil ou mais colaboradores e que já tinham usado pelo menos uma vez ferramenta de IA. Importante notar o filtro: a amostra é de quem já usa IA no trabalho, então o 68% mede o comportamento dentro do grupo que adotou, não da população geral. Desses 68%, mais da metade (57%) admitiu ter colado informação sensível da empresa nessas ferramentas. Lembrando que aqui é autorrelato, ou seja, o número real provavelmente é maior, porque tem gente que faz e não admite.

Número 2: incidentes envolvendo Shadow AI custam US$ 670 mil a mais por vazamento. O dado vem do IBM Cost of a Data Breach Report 2025, pesquisa anual conduzida pelo Ponemon Institute (instituição independente especializada em segurança da informação) que entrevistou 3.470 profissionais de segurança e executivos C-level em 600 organizações reais que sofreram vazamento de dados entre março de 2024 e fevereiro de 2025. A pesquisa cobriu 17 indústrias em 16 países e regiões. Tradução do número: uma empresa que sofreu incidente envolvendo Shadow AI gastou em média US$ 4,63 milhões pra resolver, contra US$ 3,96 milhões da média global. A diferença de US$ 670 mil é o “imposto” cobrado por não ter governança.

Número 3: 97% das empresas que sofreram incidente envolvendo IA não tinham controles de acesso adequados. Mesma pesquisa IBM/Ponemon. E 63% das organizações pesquisadas não têm política de governança de IA, ou ainda estão “desenvolvendo uma”, o que na prática corporativa pode significar que vai ficar três anos no rascunho ou em discussões infinitas. Outro dado importante do mesmo relatório: incidentes de Shadow AI expuseram dado pessoal de cliente em 65% dos casos, contra 53% da média de incidentes não relacionados a IA. Ou seja, quando vaza por causa de Shadow AI, o que vaza tende a ser justamente o dado mais sensível.

Minha leitura desses três números juntos é simples: pessoas estão usando IA pra trabalhar, sem permissão da empresa, sem usar a versão correta da solução e com dados que não podiam estar usando. E quando dá errado, o custo é alto.

Tem gente que pode olha e pensar “mas isso é dado lá de fora, no Brasil é diferente”. Não é. A LGPD existe desde 2018, está em vigor desde 2020, e a ANPD (Autoridade Nacional de Proteção de Dado) já tem base legal pra multar empresa que processa dado pessoal sem controle. 

Por que o processo está acontecendo em ordem invertida

Historicamente, ferramentas corporativas precisavam ser “vendidas” pro funcionário. TI homologava, compravam licença, treinavam o time, e o time ainda assim resistia a usar. Quem implementou algum ERP ou até mesmo Power BI em empresa sabe do que estou falando: relatório novo, transações padrões, dashboard pronto, e o pessoal continuava abrindo planilha do Excel.

Com IA generativa, a ordem inverteu, já que o funcionário adotou primeiro, sozinho, gratuitamente, e a empresa está tendo que correndo atrás pra governar.

Uma reportagem do CIO Magazine descreve três dinâmicas que podem nos ajudar a explicam isso . Primeira: a barreira de entrada é praticamente zero. ChatGPT abre numa aba do navegador, sem instalação, sem aprovação, sem cartão de crédito.

Segunda: pressão organizacional e até mesmo social para aplicar IA e ganhar produtividade onde seja possível, é aquela sensação de que parece estar sempre correndo atrás do prejuízo.

Terceira: reforço cultural. Empresa moderna valoriza iniciativa, e o funcionário que entrega proposta em 30 minutos com Lovable é o que recebe elogio na reunião, mesmo que ninguém saiba como aquilo foi feito.

A previsão da Gartner é que, até 2027, 75% dos funcionários vão adquirir, modificar ou criar tecnologia fora da visibilidade da TI, contra 41% em 2022.

Para mim, a inversão é mais forte com IA porque, pela primeira vez, a ferramenta entrega algo que parece resultado finalizado, e não apenas automação de etapa. Power BI automatiza relatório, mas ainda exige a pessoa entendendo o dado. ChatGPT/Claude/Gemini entrega um texto pronto. Lovable entrega um app. A curva de aprendizado quase desaparece, e o resultado parece bom o bastante pra ir direto pro cliente ou pro chefe. 

E é exatamente aí que mora o risco: resultado parece incrivelmente bom, MAS pode estar errado. E muita gente acaba nem revisando.

Teste rápido: sua empresa tem Shadow AI?

Cinco perguntas que se você responder “não sei” ou “não” pra três ou mais, sua empresa tem Shadow AI rodando solto.

1. Você consegue listar, com nome de pessoa, todas as ferramentas de IA usadas na sua área hoje?
2. Você sabe que tipo de dado entra em cada uma dessas ferramentas (público, despersonalizado, dado pessoal de cliente, dado financeiro)?
3. Existe alguém formalmente responsável por aprovar ou negar uma nova ferramenta de IA antes que ela entre em produção?
4. As ferramentas usadas estão na versão enterprise contratada pela empresa, ou são contas pessoais pagas pelo próprio funcionário?
5. Existe um inventário consultável de agentes, modelos e automações em uso na empresa?

E aqui não tem julgamento moral: o problema não é o funcionário usar IA, o problema é a empresa não saber que está sendo usada.

Versão “paga” pessoal não é versão Enterprise. Entenda a diferença

Esse é um ponto sobre o qual vejo poucas pessoas falando sobre, mas é um divisor de águas do ponto de vista de viabilizar usar IA dentro de uma zona de controle.

Funcionário pagar do próprio bolso a assinatura do ChatGPT Plus ou do Claude Pro e usar no trabalho não é a mesma coisa que a empresa contratar ChatGPT Enterprise ou Claude Enterprise. Mesmo que o nome pareça parecido são soluções bastante diferentes. 

A versão Consumer (gratuita ou paga individual) costuma ter retenção de dados pra treinamento, não tem acordo formal de processamento de dados (DPA) com a empresa, não tem auditoria, não tem residência de dados controlada. A versão enterprise tem tudo isso por contrato.

Funcionário usar Claude Pro pessoal pra resumir reunião confidencial é Shadow AI, mesmo ele pagando. Esse equívoco vou aprofundar em um outro texto aqui do blog no qual vou trazer o comparativo dessas ferramentas, porque dá pano pra manga.

Plano de ação, mesmo sem política pronta

Não dá pra resolver Shadow AI com discurso e também não dá pra resolver com proibição absoluta (a única coisa que isso garante é que o uso vai migrar pro celular pessoal, longe de qualquer controle). Mas dá pra começar pequeno.

Ação 1: faça o inventário da sua área. Lista simples, em planilha mesmo. Quem usa IA? Que ferramenta? Pra quê? Conta pessoal ou conta da empresa? Se você é líder, peça isso ao time esta semana. Se você é membro de equipe, ofereça organizar o levantamento, é movimento de quem entende pra onde a coisa caminha. Claro que aqui é essencial ter uma relação de confiança dentro da equipe, até mesmo para os colaboradores falarem a verdade, ao ponto que se necessário, é importante fazer uma trabalho prévio com a equipe para aumentar o nível de consciência e deixá-los mais abertos a compartilhar as informações. 

Ação 2: separe casos por nível de risco. Resumir uma reunião interna sem dado de cliente é uma coisa, já triar currículo, decidir crédito, processar dado financeiro de cliente é outra. A primeira pode continuar (com cuidado). A segunda precisa parar até existir política clara.

Ação 3: leve ao TI ou à segurança da informação com proposta, não com problema. “Mapeei o que estamos usando, identifiquei três ferramentas críticas, sugiro que negociemos versão Enterprise dessas três e oficializemos” funciona muito melhor que “olha quanta coisa errada está acontecendo”. Quem traz solução abre conversa, quem traz só problema vira o pessimista da reunião e pode fechar as portas.

Ação 4: documente o que sua área usa hoje, mesmo sem política. Anote ferramenta, dado de entrada, dado de saída, decisão tomada. Se a empresa for auditada amanhã sob LGPD pelo artigo 20 (que trata de decisões automatizadas e está em vigor desde 2020), quem documentou tem como pelo menos ter uma base para defesa. 

Esse último ponto, a documentação, é um divisor de águas que separa quem usa IA de forma profissional de quem está apenas testando. 

O que está em jogo

Quem trabalha com dados sabe que governança parece chata até a primeira vez que algo dá errado. Aí vira a coisa mais importante do mundo.

No Brasil, a ANPD já fiscaliza pelo artigo 20 da LGPD desde 2020, e em dezembro de 2025 publicou o Mapa de Temas Prioritários 2026-2027 com IA como um dos quatro eixos

E vem mais regulação a caminho: o PL 2338/2023, conhecido como Marco Legal da IA, foi aprovado por unanimidade no Senado em dezembro de 2024 e no momento que escrevo esse artigo tramita na Câmara dos Deputados, com votação prevista pra 2026. Inspirado no AI Act europeu, o projeto classifica sistemas de IA por nível de risco (com categorias proibidas e categorias de alto risco que exigirão avaliação obrigatória), garante direitos como explicação e contestação de decisões automatizadas, e prevê multas que podem chegar a R$ 50 milhões por infração. Em outras palavras: quando a lei for sancionada, dizer que “estamos usando IA” não vai bastar. Vai ser exigido inventário, classificação por risco e política documentada e quem está construindo isso desde já chega no dia da sanção com a casa em ordem. 

E se você é a pessoa da área de negócio que está construindo coisa interessante com IA hoje, o melhor caminho não é esconder do TI, é documentar tudo e ser a primeira pessoa a propor: “isso aqui está rodando, está funcionando, vamos formalizar?”. Quem governa do lado de quem constrói tem um diferencial enorme nas mãos.

Deseja ir ainda mais fundo no tema?

Conseguiu entender esse conteúdo técnico apenas lendo esse texto? Então você já teve um gostinho da forma como ensinamos dentro de nossas formações.

Se quer aprender Power BI, análise de dados e Inteligência Artificial, sem rodeio e com aplicação prática no seu dia a dia profissional, entre aqui na lista de espera para as próximas turmas.

Perguntas frequentes

Shadow AI é a mesma coisa que Shadow IT? Não. Shadow IT é o conceito mais antigo, dos anos 2000, que cobre qualquer ferramenta usada sem aprovação. Shadow AI é uma categoria específica, separada por causa de uma diferença importante: IA não apenas armazena dados, ela processa por inferência e pode incorporar conteúdo no treinamento de modelo. Modelo treinado não tem botão de desfazer.

Se eu pago do meu bolso o ChatGPT Plus, posso usar no trabalho? Tecnicamente, o uso é seu. Mas se você inserir dado da empresa nessa conta pessoal, está caracterizando Shadow AI mesmo pagando. A versão consumer (Plus, Pro) não tem acordo de processamento de dados com sua empresa, não tem residência de dados controlada e historicamente teve políticas diferentes de retenção. Pra trabalho, o caminho correto é versão enterprise contratada pela empresa.

Qual o risco real de usar IA gratuita no trabalho? Três principais. Vazamento de dado sensível (cliente, financeiro, propriedade intelectual). Conformidade regulatória (LGPD prevê pedido de exclusão pelo titular, mas dado incorporado em modelo é praticamente impossível de remover). Decisão automatizada sem rastreabilidade (ninguém sabe qual versão do modelo decidiu o quê, com que dado).

Minha empresa não tem política. Posso continuar usando IA? Pode, mas com critério. Não insira dado pessoal de cliente, dado financeiro nominado, código proprietário ou segredo industrial. Documente o que está fazendo. E proponha pra liderança que se construa política o quanto antes. Iniciativa nessa direção é diferencial profissional em 2026.