Você tem uma política que diz: "uso de IA não autorizado é proibido."
Ela não funcionou.
Seus analistas usam ChatGPT para redigir contratos.
Seu time jurídico usa Claude para resumir processos.
Seu RH usa ferramentas de IA para triagem de currículos — sem que o CIO saiba.
Isso é Shadow AI.
E a proibição não só não resolveu — ela piorou o problema.
O que é Shadow AI — não é só ChatGPT
Shadow AI é todo sistema de IA em uso na empresa que não foi aprovado, documentado ou monitorado pela organização.
Não é só o funcionário que abre o ChatGPT no navegador.
É o plugin de IA instalado no Excel que processa planilhas de folha de pagamento.
É a extensão do Chrome que resume e-mails — incluindo e-mails com dados de clientes.
É a ferramenta de automação que o time de marketing contratou sem passar por TI.
É o assistente de código que o desenvolvedor usa — e que envia snippets para servidores externos.
Em uma empresa de 200 funcionários, o número médio de ferramentas de IA em uso não documentado é entre 15 e 40.
Esse número vem de auditorias reais, não de estimativa conservadora.
O problema não é o ChatGPT.
O problema é que você não sabe o que está sendo usado, por quem, com quais dados.
Por que a proibição não resolve
Proibir IA é como proibir o uso de pen drives em 2010.
Todos continuaram usando. Só pararam de contar para o gestor.
O funcionário que usa IA para trabalhar melhor não vai parar porque há uma política.
Ele vai parar de reportar.
E é exatamente isso que torna o Shadow AI perigoso.
Com política permissiva e controle: você sabe o que está acontecendo, pode auditar, pode corrigir.
Com proibição sem controle: você não sabe nada — mas assume o risco de tudo.
Se um funcionário usa uma ferramenta proibida e vaza dados de clientes, a empresa responde pela LGPD.
Não importa que a ferramenta estava proibida. Importa que os dados estavam sob sua custódia.
A proibição não transfere responsabilidade. Só cria hipocrisia operacional.
Sua empresa tem esse controle hoje?
Faça o checklist em 5 minutos — gratuito.
Baixar checklist gratuitoComo Shadow AI entra hoje — além do chatbot óbvio
Os vetores de entrada mudaram. Focar só em chatbots é olhar para o passado.
Ferramentas SaaS com IA embutida
Notion AI, HubSpot, Salesforce Einstein, Microsoft Copilot, Google Workspace.
Se sua empresa usa qualquer um desses sem política específica para os módulos de IA, você já tem Shadow AI.
A IA veio embutida. Ninguém pediu aprovação porque "já era uma ferramenta aprovada."
Extensões de browser
Grammarly, Wordtune, Monica, Merlin — todas processam texto em contexto de trabalho.
Um advogado que usa Grammarly para revisar uma minuta de contrato está enviando conteúdo confidencial para processamento externo.
Automações low-code
Zapier, Make, n8n com nós de IA.
O time de operações que montou uma automação com GPT-4 para classificar tickets de suporte fez isso em um fim de semana — sem TI, sem legal, sem segurança.
Ferramentas de desenvolvimento
GitHub Copilot, Cursor, Codeium.
Cada sugestão de código gerada envia contexto do repositório para um servidor externo.
Se o repositório tem chaves de API, dados de clientes ou lógica de negócio proprietária, isso está sendo compartilhado.
O risco real: sem política, sem responsável, sem trilha
O problema do Shadow AI não é filosófico. É jurídico e operacional.
Sem política documentada:
Quando o incidente acontecer, você não tem como demonstrar que houve diligência.
A ANPD não aceita "não sabíamos que estava sendo usado" como defesa.
Aceita como agravante.
Sem responsável definido:
Quando um sistema de IA produz uma decisão com impacto negativo sobre um titular de dados — um candidato rejeitado, um cliente negativado, um benefício negado — quem responde?
Se não há responsável documentado, a empresa responde de forma difusa. Que na prática significa: ninguém corrige nada.
Sem trilha de auditoria:
Se não há registro do que o sistema decidiu, você não pode contestar a decisão, você não pode corrigir o viés, você não pode demonstrar conformidade em caso de questionamento.
Sem trilha, não há defesa. Só há exposição.
O que fazer: controlar sem proibir
A resposta para Shadow AI não é mais proibição. É estrutura.
Passo 1 — Inventário real
Mande uma pesquisa anônima para sua equipe perguntando quais ferramentas de IA usam no trabalho.
Os resultados vão surpreender.
Sem julgamento nessa fase. Só mapeamento.
Passo 2 — Classificação por risco
Nem toda Shadow AI é perigosa da mesma forma.
Uma ferramenta que ajuda a formatar texto é diferente de uma que processa dados de clientes.
Classifique por tipo de dado que acessa e por criticidade da decisão que influencia.
Passo 3 — Política de uso permitido
Em vez de proibir, defina o que pode.
Quais ferramentas são aprovadas. Para quais contextos. Com quais restrições.
Uma lista de ferramentas aprovadas com condições de uso é mil vezes mais eficaz do que uma lista de ferramentas proibidas.
Passo 4 — Canal de aprovação rápido
Se o processo de aprovação de nova ferramenta de IA demora 60 dias, ninguém vai esperar.
Crie um canal de aprovação em 5 dias úteis para ferramentas de baixo risco.
A burocracia que cria o Shadow AI é a mesma que precisa ser corrigida.
O objetivo não é eliminar o uso de IA.
É saber o que está sendo usado e ter controle sobre o que importa.
Mapeie sua exposição de Shadow AI antes que o auditor faça isso por você.
O checklist de prontidão é o primeiro passo — leva 15 minutos e mostra onde estão as lacunas: risco.ia.br/checklist.
Se quiser ir além: o score de risco mede sua exposição em 8 dimensões e entrega um número alc.ia.br/score-risco. Com o número em mãos, o diagnóstico transforma isso em plano de ação: alc.ia.br/diagnostico.