Shadow AI: 38% dos funcionários já vazaram dados da sua empresa sem você saber

O que é Shadow AI e por que você deve se preocupar

Shadow AI não é um fenômeno do futuro. É a versão atual de um problema que as equipes de TI já conhecem bem: o Shadow IT. A diferença é significativa: enquanto um funcionário instalando um software não autorizado afetava principalmente a conformidade e a segurança de endpoint, um funcionário usando um modelo de IA generativa com dados sensíveis pode vazar informações estratégicas, contratos, dados de clientes e segredos comerciais — em questão de segundos, sem deixar rastro.

A pergunta não é se isso está acontecendo na sua empresa. É em que escala.

Os números revelam a dimensão real

Dados do relatório da IBM sobre Shadow AI (2024) mostram um cenário preocupante:

• A adoção de IA generativa em empresas cresceu de 74% para 96% entre 2023 e 2024
• 38% dos funcionários já compartilharam informações sensíveis de trabalho com ferramentas de IA sem autorização do empregador
• 1 em cada 5 empresas no Reino Unido (20%) registrou vazamento de dados causado por funcionários usando IA generativa — dado confirmado por pesquisa com CISOs
• ¾ dos CISOs afirmam que insiders representam risco maior do que ameaças externas

O dado mais preocupante não é nenhum desses percentuais isolados — é que eles representam apenas as empresas que descobriram o problema. A maioria não tem visibilidade suficiente para saber o que está acontecendo internamente.

O padrão de uso que você provavelmente não está monitorando

Em médias e grandes empresas, o padrão típico de Shadow AI é este:

• Marketing usa ChatGPT sem conta corporativa, colando briefings de clientes e estratégias de campanha diretamente no chat
• Comercial usa IA para resumir contratos e propostas com valores e condições confidenciais
• RH usa IA para analisar currículos e feedback de performance com dados pessoais de colaboradores
• Financeiro usa IA para análises de planilhas com dados de receita, custos e projeções

Nenhum desses usos é necessariamente mal-intencionado. O problema é a ausência de qualquer controle sobre quais dados estão sendo compartilhados, com quais modelos, e em quais condições de privacidade e conformidade.

Por que a IA generativa amplifica o risco de forma única

Ferramentas tradicionais de Shadow IT geralmente armazenam dados localmente ou em ambientes controlados. A IA generativa é estruturalmente diferente:

Os modelos processam o que você envia. Em configurações padrão, conversas podem ser utilizadas para treinar ou melhorar os modelos dos fornecedores. A maioria dos funcionários nunca leu os termos de serviço. Nenhum deles sabe o que acontece com os dados depois que a janela do chat é fechada.

A interface conversacional induz ao vazamento de contexto. Para obter uma boa resposta, o funcionário naturalmente inclui contexto específico: "nossa empresa está negociando com X", "o cliente Y tem uma cláusula que diz...", "nossa margem nesse produto é Z". Todo esse contexto vai junto com o prompt — e sai do perímetro da empresa.

A velocidade de adoção supera qualquer controle manual. Novas ferramentas surgem toda semana. Bloquear por lista negra é uma corrida que sempre se perde.

O risco regulatório é concreto

A ausência de governança sobre Shadow AI não é apenas um risco operacional — é um risco legal. Sob a LGPD no Brasil e o GDPR na Europa, o envio não autorizado de dados pessoais a terceiros — incluindo plataformas de IA — pode caracterizar violação das normas de proteção de dados.

As multas do GDPR chegam a €20 milhões ou 4% do faturamento global anual (o que for maior). A ANPD brasileira ainda consolida sua jurisprudência, mas a tendência regulatória global é clara: governança de IA será obrigatória, não opcional.

O que uma política de IA precisa cobrir

Uma política eficaz não é uma proibição. É uma estrutura que permite o uso seguro e produtivo de IA. No mínimo, ela deve responder:

1. Quais ferramentas são aprovadas para uso corporativo (com conta, contrato e DPA assinado)?
2. Quais tipos de dados nunca devem ser inseridos em qualquer IA externa?
3. Quem aprova uma nova ferramenta de IA antes da adoção?
4. Como os incidentes são reportados quando alguém identifica um uso indevido?
5. Qual o processo para novas solicitações de ferramentas de IA por times?

Sem essas respostas documentadas e comunicadas, a política não existe — independentemente do que estiver escrito no código de conduta.

Perguntas frequentes sobre Shadow AI

O Shadow AI é ilegal?
Não necessariamente, mas pode configurar violação de contratos com clientes (cláusulas de confidencialidade), da LGPD/GDPR e de políticas internas de segurança da informação.

Como saber se minha empresa já foi afetada?
Na maioria dos casos, você não sabe — e esse é o problema. Um diagnóstico de Shadow AI mapeia ferramentas em uso, padrões de acesso e potenciais exposições em 15 a 30 dias.

Proibir o uso de IA resolve o problema?
Não. Proibição sem alternativa leva ao uso oculto. A abordagem eficaz é criar canais seguros e aprovados, reduzindo o incentivo para soluções paralelas.

---

A Intrabit realiza diagnósticos de IA corporativa para mapear ferramentas, custos e exposições. A primeira conversa é gratuita e sem compromisso.

Leitura complementar

• AI-BOM: o inventário de Shadow AI que sua empresa precisa antes de governar IA
• 1 em cada 5 empresas já teve vazamento de dados por IA
• Política de IA que muda comportamento