Enquanto o time de TI discute política de uso, o time de marketing já colou um resumo de contrato inteiro num assistente genérico. O dev já colou uma chave de API num copiloto. O analista financeiro já subiu uma planilha com dado de cliente pra “só perguntar uma coisa rápida”.
Nada disso passa por aprovação. Nada disso vira log. Nada disso aparece em nenhum dashboard de custo.
O nome disso é Shadow AI
Shadow AI é o uso de inteligência artificial que acontece fora da governança da empresa. E o problema não é a ferramenta em si — é a invisibilidade. Você não consegue proteger dado que não sabe que saiu. Não consegue auditar uso que não sabe que existiu. Não consegue controlar custo que ninguém está somando.
Esse fenômeno cresce na mesma velocidade em que os modelos ficam mais acessíveis. ChatGPT, Claude, Gemini, Copilot — qualquer colaborador com um navegador tem acesso a ferramentas com capacidade computacional que as empresas pagavam fortunas para ter há cinco anos. O acesso democratizou. A governança, não.
O que está em jogo
Quando um colaborador cola dados sensíveis num modelo externo sem contrato corporativo, ele não sabe — e muitas vezes a empresa também não — se aquele dado está sendo usado para treinar o modelo, se fica armazenado nos servidores do fornecedor, se há cláusula de retenção de dados. A LGPD não pergunta se foi intencional. O incidente existe independente da intenção.
Além do risco regulatório, há o risco financeiro invisível. Equipes inteiras usando APIs pagas por conta própria, sem centralização, sem negociação de contrato, sem visibilidade de volume. O custo existe — só não aparece no lugar certo.
A pergunta que separa quem está exposto de quem está preparado
A pergunta que eu faria para o CISO ou CDO de qualquer empresa hoje é simples: se eu pedisse agora quem na sua empresa usou IA generativa essa semana, com qual modelo e com qual dado, você teria resposta em cinco minutos?
Se a resposta for não, o problema já existe. Só ainda não virou incidente.
Governança de IA não é freio — é direção
Governança de IA não é sobre proibir uso. Empresas que proíbem sem alternativa criam exatamente o Shadow AI que tentam evitar — o colaborador continua usando, só deixa de avisar. A saída é construir o caminho oficial mais fácil do que o caminho não oficial.
Isso envolve catalogar quais ferramentas são aprovadas para qual tipo de dado, criar políticas claras de classificação da informação, centralizar contratos de API, e — mais importante — educar os times sobre os riscos reais, não sobre burocracia.
A Associação Brasileira de Ciência de Dados e IA tem debatido exatamente esse tema: como criar frameworks práticos de governança que funcionem no mundo real, não só no papel. Se você ainda não acompanha esse movimento no Brasil, vale a atenção.
Para empresas que querem estruturar essa governança sem travar a operação, o modelo de CTO as a Service tem sido uma saída eficiente — um olhar técnico estratégico sem o overhead de uma contratação full-time.
Por onde começar
O primeiro passo não é tecnológico. É um inventário honesto: pergunte para dez pessoas do seu time quais ferramentas de IA elas usaram no último mês. A resposta vai ser mais longa do que você espera. E esse é o dado mais importante que você vai coletar antes de desenhar qualquer política.
Shadow AI não é um problema de segurança da informação. É um sintoma de que a empresa não criou uma alternativa oficial boa o suficiente. O time não é o problema — a ausência de estrutura é.
Se quiser aprofundar o tema de IA aplicada ao desenvolvimento e às operações de negócio, você pode assinar a newsletter gratuita sobre Vibe Coding — é onde esse tipo de discussão acontece com frequência.

