Voltar para o blog
Equipe AtenaGovernançaSegurança

Shadow AI: seu time já usa IA. A pergunta é se você sabe.

Mais da metade dos profissionais esconde o uso de IA no trabalho — e quase metade continuaria usando mesmo se a empresa proibisse. Os números da IBM mostram o custo disso. Proibir não funciona; governar com capacitação, sim.

Existe uma versão oficial do uso de IA na sua empresa — a das ferramentas homologadas, da política publicada na intranet, do dashboard de licenças. E existe a versão real: a conta pessoal do ChatGPT aberta em outra aba, o contrato colado num chat gratuito para "só resumir rapidinho", o plugin instalado sem ninguém pedir autorização.

A distância entre as duas versões tem nome — shadow AI — e tem número. Nenhum deles é confortável.

O tamanho da sombra

Os levantamentos convergem num retrato constrangedor para qualquer política de TI:

  • 57% dos profissionais escondem seu uso de IA no trabalho, segundo pesquisa da Withum de 2025 — apresentando output de IA como trabalho próprio e evitando mencionar a ferramenta.
  • 46% dos trabalhadores do conhecimento continuariam usando IA mesmo que a empresa proibisse, segundo levantamento da Software AG com 6.000 profissionais.
  • Nas organizações que sofreram violações envolvendo IA, 97% não tinham controles de acesso adequados, segundo dados da IBM.

A leitura errada desses números é moral ("funcionários desobedientes"). A leitura correta é econômica: as pessoas usam IA escondido porque funciona. O ganho de produtividade individual é tão óbvio para quem experimenta que nenhum memorando compete com ele. A demanda é racional — o que está errado é o desenho da oferta.

Shadow AI não é um problema de disciplina. É o sintoma de uma empresa cuja política diz "não" enquanto o trabalho diz "preciso".

O custo de não saber

O Cost of a Data Breach Report da IBM começou a medir o efeito do fenômeno, e os números de 2025 dão a dimensão:

  • Incidentes envolvendo shadow AI custaram em média US$ 670 mil a mais por violação do que a média geral (US$ 4,63 milhões contra US$ 3,96 milhões).
  • Shadow AI esteve presente em cerca de 20% das violações analisadas — mais do que os incidentes envolvendo a IA oficialmente sancionada.
  • Quando o incidente envolve shadow AI, 65% dos casos expõem dados pessoais de clientes — bem acima da média geral.

A mecânica é fácil de visualizar. Dados corporativos colados em contas pessoais saem do perímetro: não há log, não há DLP, não há contrato de processamento de dados, e em alguns serviços gratuitos o conteúdo pode alimentar treinamento futuro. Foi exatamente esse cenário que levou a Samsung, ainda em 2023, a banir ferramentas de IA generativa depois que engenheiros colaram código-fonte sensível no ChatGPT — um dos primeiros casos públicos de vazamento por uso bem-intencionado.

E aqui está a ironia que os dados da Software AG expõem: o banimento não elimina o uso — só elimina a visibilidade sobre o uso. A empresa que proíbe troca um risco gerenciável por um risco invisível.

Profissional digitando em laptop com elementos de segurança digital

Por que proibição falha (e o que funciona)

Governança de IA que funciona parte de uma premissa realista: o uso vai acontecer. A escolha da empresa não é entre "com IA" e "sem IA" — é entre uso visível, seguro e competente, ou uso invisível, arriscado e amador. A partir daí, o desenho tem quatro peças.

1. Ofereça um caminho sancionado que seja melhor

A alternativa oficial precisa vencer a conta pessoal em conveniência, não só em conformidade. Ferramenta corporativa com dados protegidos, acesso fácil e — crucialmente — uma biblioteca curada de skills e conectores homologados: os casos de uso do dia a dia já empacotados do jeito certo, com as integrações que o time realmente precisa. Quando o caminho oficial é o mais produtivo, a sombra encolhe sozinha.

2. Escreva a política para adultos

Política de IA eficaz cabe numa página e responde três perguntas: o que pode (com quais ferramentas), o que nunca pode (dados de clientes em contas pessoais, decisões automatizadas sem revisão), e a quem perguntar na dúvida. O AI Risk Management Framework do NIST é a referência estrutural — mas a versão para o time precisa ser legível em dois minutos, ou não será lida.

3. Capacite como controle de risco

Esta é a peça que os programas de segurança esquecem: a pessoa fluente é um controle de segurança. Quem entende como os modelos processam dados sabe por que não se cola o contrato do cliente numa conta gratuita. Quem tem critério para validar outputs não repassa alucinação como fato. A maioria dos incidentes de shadow AI não nasce de má-fé — nasce de ignorância operacional que treinamento estruturado resolve. Governança sem capacitação é placa de "proibido" em porta destrancada.

4. Meça o uso real, não o declarado

Se 57% escondem o uso, pesquisas internas de autodeclaração são ficção. A telemetria das ferramentas sancionadas — quem usa, com que frequência, para quê — é o único retrato honesto, e cumpre papel duplo: mostra a adoção do caminho oficial e, por exclusão, o tamanho provável da sombra. Se as licenças oficiais estão paradas e o trabalho continua saindo "tocado por IA", você sabe onde ele está acontecendo.

O checklist do gestor

Para transformar o diagnóstico em agenda de 30 dias:

  1. Assuma que existe. Pergunte ao time, sem tom de auditoria, quais ferramentas usam de verdade. A conversa revela mais que qualquer scan.
  2. Feche o gap de conveniência. Liste o que a sombra oferece que o caminho oficial não oferece — e corrija a oferta.
  3. Publique a política de uma página. Pode / não pode / pergunte a quem.
  4. Monte a biblioteca homologada. Skills e conectores aprovados, prontos para instalar, com dono e revisão.
  5. Lance a trilha de capacitação. Fluência como pré-requisito de acesso às ferramentas mais poderosas — o incentivo alinha tudo.
  6. Acompanhe no painel. Adoção do caminho oficial subindo é a única métrica que comprova que a sombra está encolhendo.

A meta não é uso zero fora da política. É tornar o caminho certo tão bom que o errado perca a graça — e formar gente que saiba a diferença.

Shadow AI é o que acontece quando a curiosidade do time corre mais rápido que a estrutura da empresa. A curiosidade é o ativo; a falta de estrutura, o passivo. Empresas maduras não matam a primeira para esconder o segundo — constroem a estrutura que transforma uso escondido em capacidade organizacional.

A Atena junta as peças dessa estrutura: biblioteca curada de skills e conectores, trilhas de capacitação por função e painel de adoção para a liderança enxergar o uso real. Fale com a gente.