Você provavelmente já usou algum chatbot de inteligência artificial para resumir um texto longo, obter dicas sobre algum assunto ou receber uma ajudinha na hora de escrever um texto complicado. Mas e quando isso acontece dentro do ambiente de trabalho? Assim surgiu o conceito de Shadow AI ou IA paralela.

O termo descreve o uso de ferramentas de IA sem aprovação, monitoramento ou conhecimento das áreas de tecnologia e segurança da informação de uma companhia.

E embora muitas vezes a motivação seja aumentar a produtividade, a prática tem acendido um alerta entre especialistas por envolver riscos que vão desde vazamentos de dados até problemas regulatórios e prejuízos financeiros.

Para se ter uma ideia da dimensão do problema:

Um levantamento da Gartner apontou que 69% das empresas suspeitam ou têm evidências de que seus funcionários estão usando IA generativa sem autorização;

Já dados do estudo Value of AI, da SAP em parceria com a Oxford Economics, mostram que 66% das companhias brasileiras admitem que o uso não autorizado ocorre com alguma frequência nas empresas;

E piora: a pesquisa “Inovações em Cibersegurança na Gestão de Riscos e Uso de IA 2025”, também da Gartner, revelou que 33% dos funcionários admitem inserir informações confidenciais das companhias em ferramentas públicas ou não aprovadas.

O Olhar Digital consultou especialistas para entender o que é Shadow AI, e como essa prática está afetando o dia a dia das empresas e dos funcionários.

O que é Shadow AI?

De acordo com a empresa de cibersegurança Palo Alto Networks, Shadow AI é o uso de ferramentas ou sistemas de inteligência artificial sem a aprovação, monitoramento ou envolvimento das equipes de TI ou segurança de uma organização.

Na prática, isso acontece quando funcionários recorrem por conta própria a plataformas de IA para realizar atividades relacionadas ao trabalho, sem que a empresa tenha definido regras, controles ou mecanismos de supervisão para esse uso.

Para Samuel Barros, reitor do IBMEC, trata-se de um fenômeno cada vez mais comum dentro das organizações.

Inclusive, o conceito não é completamente novo: ele deriva do chamado Shadow IT, expressão usada para descrever tecnologias utilizadas sem aprovação na área de TI. Segundo a Palo Alto, a diferença é que a IA paralela traz riscos específicos relacionados à forma como os modelos processam dados, geram respostas e influenciam decisões.

Por que os funcionários recorrem à IA sem autorização?

Especialistas defendem que o fenômeno não tem a ver com má-fé do funcionário.

Kelly Stefani, CRO da Agility, avalia que a principal motivação costuma ser a pressão por produtividade somada à falta de orientação das empresas.

As pessoas estão sendo cobradas para entregar mais, em menos tempo e com mais qualidade. Quando descobrem uma ferramenta que ajuda a resumir documentos, criar apresentações, organizar dados ou escrever melhor, naturalmente elas querem usar.

Kelly Stefani, CRO da Agility

Segundo ela, muitos funcionários sequer têm clareza sobre os riscos envolvidos ou sobre quais ferramentas são permitidas pela organização. “O colaborador não necessariamente está tentando burlar uma regra. Muitas vezes ele nem sabe que existe uma regra, ou não entende o risco envolvido”, declarou.

Já para Samuel Barros, as empresas ignorarem esse movimento pode ser um erro estratégico. “É muita ingenuidade achar que os times não estão utilizando inteligência artificial, sabendo que ela [tecnologia] agiliza muito as entregas e facilita muito a vida”, afirmou.

Quais são os riscos do Shadow AI?

Para Stefani, o principal problema é a perda de controle sobre informações corporativas: “o maior risco do Shadow AI é a empresa perder visibilidade sobre onde seus dados estão circulando. E quando não há visibilidade, não há governança”, resumiu.

Os especialistas costumam dividir os riscos em diferentes camadas.

Exposição de dados sensíveis

Um dos cenários mais preocupantes envolve o compartilhamento de informações confidenciais em plataformas públicas de IA.

Segundo a Palo Alto, funcionários podem inserir dados proprietários, estratégicos ou regulados sem compreender como essas informações serão armazenadas, processadas ou utilizadas pelos provedores dos modelos.

Kelly Stefani alerta que o problema pode envolver desde dados pessoais até ativos estratégicos da organização.

Muitas vezes, o dado compartilhado não é apenas operacional. Pode ser uma proposta comercial, uma estratégia de negócio, uma base de clientes, uma metodologia proprietária, uma análise financeira ou uma informação de pipeline.

Kelly Stefani, CRO da Agility

Uma pesquisa da LayerX Security, citada pela Conversys IT Solutions, revelou que 75% dos funcionários que utilizam ferramentas de IA não aprovadas já inseriram informações sensíveis nessas plataformas.

Problemas com a LGPD e outras normas

O compartilhamento indevido de dados também pode gerar consequências legais.

Barros destaca que a falta de controle pode colocar empresas em situação de descumprimento da Lei Geral de Proteção de Dados (LGPD).

Você pode estar expondo os dados da companhia, de clientes, de fornecedores, a um ambiente não controlado. O que, por si só, a Lei Geral de Proteção de Dados Brasileira já apresenta como um risco significativo.

Samuel Barros, reitor do IBMEC

A própria Palo Alto Networks aponta que ferramentas de IA paralela podem contornar exigências de proteção de dados e abrir caminho para investigações, sanções e multas.

Decisões baseadas em informações incorretas

Outro risco está relacionado à qualidade das respostas geradas pelos sistemas: sem supervisão adequada, colaboradores podem tomar decisões baseadas em conteúdos imprecisos, desatualizados ou produzidos por modelos que utilizam dados inadequados.

Também há riscos relacionados ao chamado “envenenamento de modelos”, situação em que sistemas treinados com informações comprometidas produzem respostas enviesadas, incorretas ou manipuladas.

Falta de rastreabilidade

Kelly Stefani explicou que, quando cada área adota ferramentas de IA por conta própria, sem critérios comuns, sem integração e sem acompanhamento, o resultado é um ecossistema corporativo fragmentado.

Segundo ela, isso dificulta investigações, aumenta o risco de vazamentos e impede que a organização aprenda com o próprio uso da tecnologia.

Quais áreas são mais vulneráveis?

Embora o Shadow AI possa atingir qualquer setor, algumas áreas exigem atenção especial por lidarem diretamente com dados sensíveis.

Stefani cita recursos humanos, jurídico, finanças, contabilidade, marketing e vendas entre os departamentos mais expostos.

No RH, por exemplo, informações sobre salários, avaliações de desempenho e dados pessoais podem ser compartilhadas indevidamente;

Já no jurídico, contratos, pareceres e documentos sigilosos representam potenciais riscos;

Em áreas comerciais, propostas, históricos de negociação e informações sobre clientes também podem acabar expostos em ferramentas sem controle.

De quem é a responsabilidade em caso de vazamentos?

A resposta não é simples.

De acordo com a executiva da Agility, a responsabilização depende das circunstâncias de cada caso.

Se a empresa possui políticas claras, treinamento, ferramentas homologadas e mecanismos de governança, um descumprimento deliberado dessas normas pode ser atribuído ao colaborador. Por outro lado, quando não existem regras, orientações ou controles adequados, a organização também pode ser responsabilizada por não ter adotado medidas suficientes para prevenir o problema.

“Em outras palavras, o colaborador nunca é retirado da equação, mas a empresa também não consegue simplesmente transferir toda a responsabilidade para ele”, explicou.

Como as empresas podem se proteger do Shadow AI?

Para os especialistas, a solução não está em proibir o uso da inteligência artificial.

“O primeiro passo é ganhar visibilidade sobre quem usa, quais ferramentas e em quais contextos”, afirmou Stefani.

A partir desse mapeamento, as organizações devem criar políticas claras sobre quais ferramentas são autorizadas, quais tipos de dados podem ser compartilhados e quais procedimentos devem ser seguidos.

Samuel Barros defende a criação de um código formal de conduta para o uso de IA.

A empresa, por recomendação, deveria construir um código de norma e conduta de utilização de inteligência artificial. Quais são as ferramentas autorizadas? Para que elas podem ser utilizadas? Que tipo de documento você pode compartilhar? Que tipo de documento você não deve jamais compartilhar?

Samuel Barros, reitor do IBMEC

Ele também sugere a criação de repositórios internos de prompts, registros históricos de utilização e mecanismos permanentes de controle.

Outro ponto destacado pelos especialistas é a educação dos colaboradores.

“O colaborador precisa entender o porquê das regras. Quando ele entende que copiar uma planilha de clientes, uma proposta comercial ou um contrato confidencial em uma ferramenta pública pode gerar risco regulatório, financeiro e reputacional, a relação com a tecnologia muda”, defendeu Kelly Stefani.

O desafio da governança

Para os especialistas, o crescimento do Shadow AI mostra que a discussão sobre inteligência artificial deixou de ser apenas uma questão tecnológica, mas também de governança e cultura corporativa.

À medida que a IA se integra cada vez mais às atividades do dia a dia, as empresas terão de encontrar um equilíbrio entre inovação e controle.

O post Shadow AI: você já usou IA ‘escondido’ no trabalho? O risco pode ser maior do que você pensa apareceu primeiro em Olhar Digital.