O que é shadow AI e como as empresas podem lidar?

Pense no cenário: uma pessoa analista anexa um contrato no ChatGPT para resumir o documento, alguém do RH usa uma ferramenta gratuita para redigir feedbacks de desempenho, ou o time de desenvolvimento recorre a um assistente de código para acelerar uma entrega.

Essas pessoas estão usando IA, com dados reais, em ferramentas que o time de TI nunca aprovou e provavelmente sem perceber que isso pode ser um problema. No entanto, ninguém está agindo de má-fé, estão apenas tentando trabalhar melhor com as ferramentas que têm à disposição.

O problema é que, muitas vezes, a empresa não sabe o que está acontecendo e como essas ferramentas de Inteligência Artificial estão sendo usadas. Esse fenômeno tem nome: shadow AI. Uma pesquisa da WalkMe, revelou que 78% das pessoas colaboradoras admitem usar plataformas de IA não autorizadas no trabalho.

Mas, qual o problema de usar ferramentas não autorizadas pela empresa? As pessoas colaboradoras não podem ter autonomia para escolher? Quais são os riscos envolvidos nessa ação?

Neste artigo, você vai entender mais sobre o que é shadow AI, como esse comportamento pode trazer riscos às organizações e o que as empresas podem fazer para lidar com esse fenômeno de forma inteligente.

O que é shadow AI?

Shadow AI é o uso de ferramentas de Inteligência Artificial por pessoas colaboradoras sem o conhecimento, aprovação ou controle da empresa. Isso inclui desde usar o ChatGPT para redigir e-mails e resumir reuniões, até ferramentas de geração de imagem, por exemplo.

O ponto central aqui não é a ferramenta de IA em si, nem a pessoa que a usa, mas a ausência de visibilidade sobre o que está sendo compartilhado com a plataforma, que pode incluir dados sensíveis e informações sigilosas da organização.

AI shadow vs. shadow IT: qual a diferença?

O conceito de shadow IT existe há décadas. Ele descreve o uso de qualquer software ou serviço fora do controle da área de tecnologia, como usar o Google Drive pessoal para guardar arquivos do trabalho ou instalar um aplicativo não autorizado no computador corporativo.

A shadow IA é uma evolução desse fenômeno com uma camada extra de risco. Quando falamos de Inteligência Artificial, os dados que circulam costumam ser mais sensíveis, como contratos, estratégias internas, informações de clientes, dados financeiros e avaliações de desempenho. E as ferramentas, em sua maioria, processam essas informações em servidores externos, ou seja, fora do ambiente supervisionado da empresa.

Além disso, diferente de um software não autorizado que simplesmente roda no computador, uma ferramenta de IA recebe, interpreta e potencialmente armazena o conteúdo que a pessoa colaboradora insere nela, seja um texto, um documento ou uma planilha com dados sensíveis.

Dependendo dos termos de uso da plataforma, essas informações podem ser usadas para treinar modelos ou ficar armazenadas em servidores externos por tempo indeterminado. Por isso que a shadow IA merece uma atenção muito mais cuidadosa do que o shadow IT tradicional.

Leia também: O que é a IA Explicável?

Por que as pessoas colaboradoras recorrem à shadow IA?

A IA está em absolutamente tudo hoje, seja no computador, no celular, nos aplicativos que usamos para trabalhar, como no caso do Google Workspace, e até em lugares improváveis, como em geladeiras.

Então, por que alguém precisaria pedir permissão para usar algo que é tão acessível? Este é um dos raciocínios mais plausíveis: a facilidade e a naturalidade como a IA já está no nosso cotidiano faz com que usemos a tecnologia de forma automática.

E os dados já confirmam essa lógica: segundo uma pesquisa da WalkMe, apenas 7,5% das pessoas entrevistadas receberam algum tipo de treinamento sobre o tema. A mensagem implícita que chega para a pessoa colaboradora é “a empresa ainda não decidiu o que pensa sobre isso”. Por esse motivo, na dúvida, cada membro da equipe usa a IA por conta própria.

Há outro fator que o estudo aponta e que vale destacar: quase metade das pessoas entrevistadas admitiu esconder o uso de IA no trabalho. A pesquisa chamou esse fenômeno de “AI shame” — uma mistura de insegurança e receio de ser julgado(a) por depender de uma ferramenta para entregar o trabalho. Ou seja, a pessoa sente que precisa esconder o atalho, mesmo que ele seja legítimo.

A partir dessas informações, podemos concluir que o problema não é tecnológico, é cultural. Enquanto a empresa não criar um ambiente onde o uso de IA seja discutido de forma aberta e sem julgamento, uma parte significativa desse uso vai continuar acontecendo nas sombras.

Quais são os riscos da shadowing AI para as empresas?

Entender a motivação das pessoas colaboradoras é essencial, mas isso não elimina os riscos. Uma pesquisa da BlackFog realizada com 2 mil profissionais nos EUA e Reino Unido nos apresenta alguns números importantes:

33% das pessoas já compartilharam pesquisas e dados em ferramentas de IA não aprovadas pela empresa.
27% admitiram ter compartilhado dados de colaboradores e colaboradoras, incluindo nomes, salários e avaliações de desempenho.
60% afirmaram que, se a ferramenta ajuda a entregar mais rápido, o risco de segurança vale a pena.

Acredito que esse último dado seja o mais revelador. Não porque as pessoas sejam irresponsáveis, mas porque elas não foram preparadas para avaliar esse tipo de decisão. Ninguém explicou para elas o que acontece com os dados depois que o “enviar” é clicado.

Mas, então, o que acontece com os dados?

Quando alguém da equipe insere informações em uma ferramenta de IA externa, esses dados saem do ambiente controlado da empresa. O que acontece depois depende inteiramente dos termos de uso e das políticas de privacidade de cada plataforma — documentos que praticamente ninguém lê antes de criar uma conta.

Dependendo da ferramenta, como já mencionamos, essas informações podem ser usadas para treinar modelos futuros, armazenadas em servidores de empresas terceiras por tempo indeterminado ou simplesmente ficam expostas a brechas de segurança que a organização jamais saberá que existem.

Vale ressaltar que em ferramentas gratuitas e não tão conhecidas esse risco é ainda maior, pois se o produto não tem custo, os dados das pessoas costumam ser parte do modelo de negócio.

E a Lei Geral de Proteção de Dados (LGPD)?

No Brasil, a Lei Geral de Proteção de Dados impõe obrigações claras sobre como os dados pessoais devem ser coletados, armazenados e tratados. Por conta disso, quando alguém usa uma ferramenta de IA não aprovada para processar dados de clientes, parcerias ou outras pessoas, a empresa pode estar violando esses princípios mesmo sem saber que isso está acontecendo.

Para as organizações, é importante ter ciência de que, em caso de vazamento ou uso indevido, a responsabilidade recai sobre ela. O fato da pessoa colaboradora ter agido por conta própria não isenta a empresa de responder perante a Lei ou de arcar com as consequências reputacionais e financeiras de um incidente.

Como as empresas devem agir em relação às IA shadows?

A resposta não é bloquear todos os acessos da empresa em ferramentas de IA. Na verdade, adotar políticas restritivas demais tendem a empurrar o uso para a clandestinidade — o oposto do que se quer. O melhor cenário é trazer a IA para dentro de um ambiente gerenciado.

Aqui na Ecto, por exemplo, usamos IA no dia a dia, seja para auxiliar nas demandas de SEO, conteúdo, tecnologia e outras áreas. Porém, temos um princípio inegociável: a supervisão humana. Isso porque a tecnologia é uma camada de apoio, não uma substituta do julgamento profissional.

Esse posicionamento explícito, além de conversas e direcionamentos, faz toda a diferença para que as pessoas saibam como se comportar com a tecnologia, além de se sentirem à vontade para usar as ferramentas certas sem medo de julgamento.

Por isso, para as empresas que ainda não possuem uma governança de IA, a orientação é:

1. Criar uma política clara de uso de IA

O primeiro passo é definir uma política de uso de IA e comunicar à empresa. Não precisa ser um documento jurídico complexo, mas deve responder perguntas como: quais ferramentas estão aprovadas? Que tipo de dado não pode ser inserido em nenhuma IA externa? O que fazer quando surgir uma ferramenta nova que parece útil?

Uma política transparente oferece as informações necessárias para que as equipes tomem decisões informadas por conta própria, o que elimina a zona cinzenta onde a shadow IA prospera.

2. Envolver todas as pessoas, não só o setor de TI

Como já mencionamos, a governança de IA não é um problema técnico; é um problema cultural. A área de tecnologia pode definir as ferramentas aprovadas e monitorar o ambiente, mas a adesão vem de outro lugar: da liderança que usa as ferramentas certas de forma transparente, da gestão que abre espaço para falar sobre IA nas reuniões e dos treinamentos que ensinam não só o que fazer, mas como se proteger.

3. Oferecer treinamento das ferramentas aprovadas

Não adianta simplesmente proibir o uso de ferramentas populares de IA se as pessoas colaboradoras não têm alternativas à altura para resolver seus problemas ou se não sabem utilizar as plataformas autorizadas.

Organizações que oferecem boas ferramentas e investem em treinamentos relevantes têm mais chances de manter o uso da IA dentro de um ambiente controlado e seguro. Além disso, transmitem uma mensagem importante para o time: a liderança reconhece que a Inteligência Artificial já faz parte do trabalho e está comprometida em tornar esse uso produtivo, responsável e seguro.

Por fim, fica claro que a shadow IA dificilmente vai desaparecer. À medida que as ferramentas se tornam mais acessíveis e poderosas, a tendência natural é que cada vez mais profissionais as incorporem ao seu dia a dia — com ou sem autorização.

A pergunta que cada empresa precisa agora responder é: queremos que isso aconteça de forma estruturada, com regras claras e dados protegidos? Ou vamos continuar fingindo que isso não está acontecendo? A escolha, como sempre, está nas mãos da liderança.

Gostou do tema? Para continuar conferindo outros artigos sobre os principais assuntos de Inteligência Artificial, conteúdo, mídia, entre outros assuntos, acompanhe o blog da Ecto!

Imagem de capa — Fonte: pch.vector / Freepik.com (2026)