O Problema do Controle de IA

Shadow AI Não É o Problema. Governança Ausente É.

TV
Thiago Victorino
10 min de leitura
Shadow AI Não É o Problema. Governança Ausente É.

Um analista financeiro cola o relatório trimestral inteiro no ChatGPT para gerar um resumo executivo. Uma gerente de marketing usa o Claude para redigir a proposta de um cliente que ainda não assinou NDA. Um desenvolvedor alimenta código proprietário no Copilot para resolver um bug às onze da noite.

Nenhum deles pediu autorização. Nenhum agiu com má intenção.

A reação habitual é tratar esses funcionários como o problema. Bloquear ferramentas. Publicar políticas. Criar treinamento obrigatório. Mas a pesquisa da WalkMe com a SAP, publicada em agosto de 2025, mostra o tamanho real da questão: 78% dos funcionários já usam ferramentas de IA não aprovadas no trabalho. Apenas 7,5% receberam treinamento extensivo sobre o assunto.

Setenta e oito por cento não é desvio de comportamento. É comportamento padrão. E quando o comportamento padrão viola a política, o problema não está no comportamento.

A Inversão de Causalidade

A narrativa dominante sobre Shadow AI segue uma lógica confortável: funcionários usam IA sem permissão, funcionários criam risco, portanto precisamos controlar funcionários.

Essa lógica inverte a causalidade.

Funcionários usam IA não autorizada porque a organização não ofereceu alternativa viável. Não existe ferramenta aprovada, ou a ferramenta aprovada é inferior, ou o processo de aprovação leva semanas enquanto o prazo vence amanhã. O funcionário não está contornando controles por rebeldia. Está resolvendo um problema que a organização se recusou a resolver.

A CybSafe, em parceria com a National Cybersecurity Alliance, pesquisou mais de 7.000 profissionais em 2024. Resultado: 38% compartilham informações sensíveis com ferramentas de IA sem autorização. Não por negligência consciente. Por ausência de canal seguro para fazer o que precisam fazer.

Como exploramos em A Lacuna de Confiança É a Lacuna de Governança, 84% dos profissionais de tecnologia já usam IA, mas apenas 33% confiam nos resultados. Shadow AI é a versão extrema desse padrão: uso massivo sem estrutura para sustentá-lo.

Cognição Não Autorizada

Shadow IT é um funcionário instalando Dropbox sem pedir ao TI. O risco é conhecido: dados em repositório não monitorado. Shadow AI é categoricamente diferente.

Quando alguém usa IA não autorizada para redigir contratos, analisar dados financeiros ou formular estratégias, o risco não é apenas vazamento de informação. É influência não autorizada na tomada de decisão institucional. A IA que gerou aquele resumo executivo pode ter introduzido viés, omitido nuance, ou fabricado correlações que o analista não verificou. O output entra no fluxo decisório da empresa como se fosse trabalho humano verificado.

Isso é cognição não autorizada. A organização não autorizou aquele “cérebro auxiliar” a participar das suas decisões. Mas ele participou. E ninguém sabe.

O IBM Cost of Data Breach Report 2025 quantifica parte do custo: violações envolvendo Shadow AI custam em média US$ 670 mil a mais do que violações tradicionais. Mas o número captura apenas o risco de dados. O risco epistêmico (decisões contaminadas por outputs não verificados) não aparece em nenhum relatório porque ninguém está medindo.

O Custo dos Dois Caminhos

Existe uma tentação de resolver Shadow AI por subtração: bloquear ChatGPT, proibir Copilot, filtrar tráfego para APIs de IA. Algumas organizações fizeram exatamente isso. O resultado não foi segurança. Foi estagnação disfarçada.

A AIMakers estimou em 2025 que o custo de não adotar IA varia entre US$ 100 mil e US$ 500 mil por ano em produtividade perdida, dependendo do porte da organização. Shopify e Klarna seguiram o caminho oposto: mandataram uso de IA com ferramentas sancionadas e governança clara. Os resultados foram mensuráveis.

Os dois extremos sem governança são caros:

Bloquear IA: produtividade estagnada, perda de talentos, desvantagem competitiva acumulativa. Ignorar Shadow AI: US$ 670 mil por violação, multas regulatórias, degradação da qualidade decisória.

O EU AI Act estabelece multas de até EUR 35 milhões ou 7% da receita global, o que for maior. Supera o GDPR. E 63% das organizações que sofreram violações em 2025 não tinham política de governança de IA, segundo o mesmo relatório da IBM.

Governança não é um centro de custo entre dois riscos. É o único caminho que libera segurança e inovação simultaneamente.

O Paradoxo do Abandono

A McKinsey publicou em 2025 um dado que deveria incomodar mais do que incomoda: 42% das empresas abandonaram a maioria dos seus projetos de IA, contra 17% no ano anterior. A taxa de abandono mais que dobrou em doze meses.

Por que empresas abandonam projetos de IA? Raramente por falha técnica. Quase sempre por ausência de estrutura para levar o projeto do piloto à produção. Governança insuficiente, integração mal planejada, riscos não mapeados.

O Gartner e a ISACA corroboram: organizações com governança madura mantêm sistemas de IA em produção três vezes mais tempo do que aquelas sem governança estruturada. A governança não atrasa a inovação. Ela determina se a inovação sobrevive ao contato com a realidade.

Como argumentamos em Governança É o Portão da IA Empresarial, a capacidade do modelo não é mais o gargalo. Permissões, sandboxing e cautela regulatória determinam o que chega a produção. Shadow AI é precisamente o que acontece quando funcionários decidem contornar esse portão em vez de esperar que ele se abra.

Guardrails, Não Portões

A distinção entre guardrails e portões não é semântica. É arquitetural.

Portões exigem aprovação antes da ação. Funcionário quer usar IA, submete solicitação, espera aprovação, prazo vence, funcionário usa ChatGPT no celular pessoal. O portão criou Shadow AI.

Guardrails definem limites dentro dos quais a ação é livre. A organização oferece ferramentas aprovadas com políticas embutidas. Dados classificados não saem do perímetro. Outputs são logados para auditoria. O funcionário usa IA no trabalho, com a IA que a empresa escolheu, dentro de parâmetros que a empresa definiu.

Na prática, isso envolve três componentes:

Ferramentas sancionadas com acesso imediato. Se o processo de provisão leva mais de 48 horas, o funcionário já encontrou alternativa. A Shopify entendeu isso: padronizou ferramentas de IA para toda a empresa e estabeleceu expectativa de uso. O resultado não foi caos. Foi visibilidade.

Política como código, não como documento. Políticas em PDFs são para auditorias. Políticas embutidas no fluxo de trabalho (classificação automática de dados, bloqueio de inputs sensíveis no gateway, limites de contexto configuráveis) são para operação. A diferença entre “proibido compartilhar dados confidenciais” e um sistema que impede tecnicamente o compartilhamento.

Visibilidade sem vigilância. A organização precisa saber quais ferramentas de IA estão sendo usadas, com qual frequência, para quais tarefas. Não para punir. Para governar. Se 200 funcionários usam o ChatGPT para redigir propostas comerciais, a resposta não é bloquear o ChatGPT. É oferecer uma alternativa aprovada que faça o mesmo trabalho sem expor dados do cliente.

A Janela Regulatória

O Gartner estimou que gastos com governança de IA atingirão US$ 492 milhões em 2026, ultrapassando US$ 1 bilhão até 2030. Projetou também que mais de 40% das empresas enfrentarão incidentes de Shadow AI até 2030.

Esses dois números, lidos juntos, contam uma história simples: organizações estão investindo em governança porque o custo de não investir se tornou mensurável e pessoal. Quando o EU AI Act ameaça 7% da receita global e a Forrester prevê que uma violação por IA custará o cargo de pelo menos um executivo C-level, governança sai da pauta de compliance e entra na pauta do conselho.

Como discutimos em Governança de IA É Cibersegurança, agentes de IA operam como insiders digitais com acesso privilegiado. Funcionários usando Shadow AI replicam esse padrão involuntariamente: criam canais de dados não monitorados, introduzem decisões não auditáveis, expandem a superfície de risco sem que a organização perceba.

O Enquadramento Correto

Shadow AI não é um problema de comportamento. É um problema de design organizacional.

Funcionários que usam IA não autorizada estão respondendo racionalmente a incentivos mal desenhados. A ferramenta aprovada é pior. O processo de aprovação é lento. O treinamento é inexistente. A política diz “não use” sem oferecer alternativa ao “use isso aqui”.

A organização que trata Shadow AI como desobediência vai gastar energia policiando comportamento enquanto a causa raiz permanece intacta. A organização que trata Shadow AI como feedback vai usar os dados para construir a governança que deveria ter construído antes.

Setenta e oito por cento dos funcionários já decidiram. Eles vão usar IA. A única pergunta que resta para a organização é se ela vai participar dessa decisão ou descobrir depois que já foi tomada.

Fontes

  • WalkMe / SAP. “Shadow AI in the Workplace Report.” Agosto 2025.
  • CybSafe / National Cybersecurity Alliance. “Online Behaviors and Attitudes Report.” 2024.
  • IBM Security. “Cost of a Data Breach Report 2025.” 2025.
  • McKinsey & Company. “The State of AI in 2025: A Year of Retrenchment.” 2025.
  • Gartner. “AI Governance Market Forecast.” Fevereiro 2026.
  • Gartner. “Predicts 2026: AI Security and Risk Management.” Outubro 2025.
  • Gartner / ISACA. “AI Governance Maturity and Production Longevity.” 2025.
  • AIMakers. “The Cost of Not Adopting AI.” 2025.
  • Parlamento Europeu. “EU AI Act: Regulamento de Inteligência Artificial.” 2024.

Victorino Group ajuda organizações a construir governança de IA que habilita inovação sem perder controle: contato@victorino.com.br | www.victorino.com.br

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa