A história que ninguém te contou

Sua empresa não tem um projeto de IA.

Não tem um comitê de IA.

Não tem uma estratégia formal de adoção de IA.

E mesmo assim, sua empresa já usa IA.

Todo dia. Em vários lugares. Por várias pessoas. Sem que ninguém tenha aprovado. Sem que ninguém esteja monitorando. Sem que você consiga, hoje, dizer onde, como, com quais dados, e com qual decisão sendo tomada.

Isso tem um nome.

Chama-se Shadow AI.

E é o problema mais grave que sua empresa enfrenta agora — sem perceber.

Como aconteceu

Em novembro de 2022, ChatGPT foi lançado. Em janeiro de 2023, atingiu cem milhões de usuários. Em fevereiro de 2023, sua equipe começou a usar.

Você não foi avisado. Não houve memorando. Não houve aprovação.

Houve apenas pessoas, individualmente, descobrindo que conseguiam fazer mais coisas em menos tempo se simplesmente colassem texto numa caixa de chat de um site público.

Foi assim que começou. Foi assim que continua. E é assim que está agora — só que pior, porque agora não é só texto.

É código. É contrato. É dado de cliente. É planilha financeira. É conversa de e-mail. É tudo o que tem dentro do computador da sua equipe.

O que está acontecendo enquanto você lê

Vou te dar uma estimativa que vale para 90% das empresas brasileiras de médio e grande porte hoje:

  • 30% a 60% dos seus colaboradores usa alguma forma de IA generativa pelo menos uma vez por semana.
  • 10% a 25% usa todos os dias.
  • 5% a 15% usa para tarefas críticas — análise de contrato, decisão financeira, comunicação com cliente.
  • Em 100% dos casos, eles colaram, em algum momento, dado interno na ferramenta.

Você não tem como saber esses números. Eles não estão em lugar nenhum oficial. Eles vivem na conta pessoal do colaborador, no navegador dele, na conversa que ele teve com o ChatGPT na hora do almoço.

Mas estão lá. E são reais.

O caso Samsung

Em abril de 2023, um engenheiro da Samsung colou código-fonte interno no ChatGPT pedindo que a ferramenta otimizasse. Outros dois engenheiros, em ocasiões separadas, fizeram coisas similares — colaram trechos de reuniões internas, especificações de hardware.

Esses dados ficam no histórico do ChatGPT. Ficam disponíveis para o modelo. Em tese, podem aparecer em respostas futuras a outros usuários.

A Samsung descobriu. Em maio de 2023, a Samsung proibiu o uso de IA generativa internamente. Isso virou notícia mundial.

Apple. Amazon. JPMorgan. Verizon. Northrop Grumman. Todas baniram ou restringiram pesadamente o uso de ferramentas públicas de IA por funcionários.

A pergunta importante não é "por que essas empresas baniram?"

É: se a sua empresa fizesse uma auditoria amanhã, encontraria o equivalente ao que a Samsung encontrou?

A resposta honesta é: provavelmente sim.

Sua empresa tem esse controle hoje?

Faça o checklist em 5 minutos — gratuito.

Baixar checklist gratuito

A diferença entre Shadow IT e Shadow AI

Shadow IT, você já conhece. É quando o time usa Dropbox sem aprovação. Trello sem licença. WhatsApp para conversa de trabalho.

Shadow IT é problema antigo. Tem controle. Existe MDM, DLP, política de BYOD, monitoramento de tráfego. As empresas aprenderam a lidar.

Shadow AI é diferente em três dimensões críticas.

Dimensão 1: invisibilidade técnica

ChatGPT, Claude, Copilot — todos rodam dentro do navegador. Não baixam software. Não disparam alerta de instalação. Não geram log de uso em sistemas internos. Não passam pelo seu firewall com assinatura distinta.

A não ser que você esteja monitorando especificamente DNS para domínios de IA (e quase ninguém está), você não tem como saber quem está usando.

Dimensão 2: vazamento contínuo

Shadow IT vaza um arquivo. Shadow AI vaza tudo o que é colado. Cada prompt que tem dado interno é um pequeno vazamento. Sem alarme. Sem rastro detectável pelos seus sistemas. E, em alguns casos, sem possibilidade técnica de recuperação.

Dimensão 3: risco de decisão

Shadow IT é risco de dado. Shadow AI é risco de dado mais risco de decisão.

Quando o colaborador usa ChatGPT para gerar uma análise e usa essa análise para decidir algo — contratação, demissão, precificação, negociação — você tem uma decisão tomada por IA sem que você saiba. E essa decisão afeta a empresa. Você é responsável pela decisão. Mesmo sem saber dela.

Onde a IA está, especificamente

Baseado nas dezenas de empresas que entrevistei nos últimos dois anos:

Marketing

Uso mais intenso e mais visível: geração de copy, reescrita de e-mail, criação de roteiro para vídeo, brainstorming, tradução de conteúdo. Risco principal: dado de cliente entrando quando o copy é personalizado por segmento.

Comercial

Uso crescente, normalmente sub-reportado: pesquisa sobre prospect, personalização de proposta, roteiro de call, análise pós-call (colando transcrição). Risco principal: transcrições de calls com clientes sendo enviadas para IA pública — você prometeu confidencialidade.

Jurídico

Crescimento explosivo nos últimos 12 meses: resumo de contrato, comparação de cláusulas, pesquisa de jurisprudência, redação de minuta. Risco principal: contratos completos com dados de partes — inclui cláusula de confidencialidade que você está violando ao mesmo tempo.

Financeiro

Uso menor, mas com risco maior por transação: análise de planilha, geração de relatório, forecasting. Risco principal: dado financeiro real sendo colado — em alguns casos, dado consolidado ainda não divulgado.

TI / Engenharia

Uso intenso, normalmente justificado como produtividade: geração de código, debug, code review (colando código interno), documentação. Risco principal: código proprietário vazando — lógica de negócio, senhas hard-coded, APIs internas.

RH

Uso silencioso mas crescente: triagem de currículo, geração de feedback, análise de pesquisa de clima. Risco principal: dados pessoais de candidatos e colaboradores + risco de decisão automatizada (LGPD aplica).

O padrão que ninguém te contou

Você lê a lista acima e pode pensar: "tudo bem, é só treinar o pessoal a não colar dados sensíveis."

Não é.

A natureza da IA generativa convida o usuário a colar dado. Não é negligência. Não é ignorância. É design de produto.

Treinar o usuário a não colar dado é treinar o usuário a não usar a ferramenta. Você precisa de uma resposta diferente.

A resposta correta não é "não use". É "use de maneira controlada". E para usar de maneira controlada, você precisa primeiro saber onde a IA já está sendo usada.

Sem mapa, não tem controle. Sem controle, não tem governança. Sem governança, não tem evidência. Sem evidência, você não tem como responder quando alguém perguntar.

O que precisa ficar deste artigo

Sua empresa já usa IA. Você só não sabe onde.

Shadow AI é diferente de Shadow IT. Não é um problema só de dado. É um problema de decisão sendo tomada por IA sem que você saiba.

Sem mapa, não tem controle. E sem controle, não tem como responder quando alguém perguntar.