A inteligência artificial transformou a forma como trabalhamos, mas também trouxe novos desafios. Um problema crescente nas empresas é a "shadow AI", onde funcionários utilizam ferramentas como o ChatGPT para tarefas do dia a dia, muitas vezes inserindo dados confidenciais. Essa prática, embora impulsione a produtividade individual, expõe as organizações a riscos de segurança e privacidade.
Aqui no Brasil Vibe Coding, estamos sempre atentos às novidades e tendências do mundo da tecnologia, e a segurança da informação no contexto da IA generativa é um tema de extrema importância. Entender esse fenômeno é crucial para proteger os ativos digitais das empresas.
A Explosão da Shadow AI e Seus Números Preocupantes
O volume de incidentes de segurança relacionados à inteligência artificial generativa é alarmante. O mais recente Cloud and Threat Report da Netskope, divulgado em janeiro deste ano, revelou que a empresa média registra impressionantes 223 incidentes de violação de políticas de dados por mês.
Mais chocante ainda é a velocidade desse crescimento: esses incidentes mais que dobraram em relação ao ano anterior. No Brasil, a adoção de IA em empresas disparou de 20% para 51% em apenas doze meses, indicando que o fenômeno da shadow AI é uma realidade robusta e em plena expansão por aqui.
O mecanismo por trás da shadow AI é simples e, para muitos funcionários, irrecusável. Diante de sistemas internos lentos e burocráticos, a tentação de usar uma ferramenta externa como o ChatGPT, que oferece respostas rápidas e eficientes, é grande. O resultado? Dados corporativos sensíveis saem do perímetro de segurança da empresa.
Dados Confidenciais em Risco: O Que os Funcionários Estão Compartilhando
Uma pesquisa da Harmonic Security, publicada em janeiro, jogou luz sobre o tipo de informação que está sendo inserida em prompts de ferramentas de IA. Os resultados são bastante preocupantes e mostram a amplitude dos dados comprometidos.
As categorias mais frequentes incluem dados jurídicos e financeiros, representando 30,8% dos casos, e informações de clientes, com 27,8%. Além disso, dados pessoais de titulares (14,9%), registros de funcionários (14,3%) e até mesmo código-fonte sensível (10,1%) estão sendo compartilhados indiscriminadamente.
É crucial notar que 79% desses dados fluem diretamente para o ChatGPT. Desses, 21% vão para a versão gratuita, onde os prompts podem ser retidos para treinamento do modelo, aumentando ainda mais o risco de exposição e uso indevido das informações.
“O funcionário tem uma tarefa: redigir um relatório, revisar um contrato, depurar um código, resumir as notas de uma reunião, e encontra nos sistemas internos uma experiência lenta, truncada, sem inteligência. No mesmo navegador, o ChatGPT está a dois cliques de distância, responde em segundos e entrega resultados que impressionam. Ele não hesita. Cola o texto, sobe o documento, digita o prompt. O dado saiu do perímetro corporativo, mas a tarefa foi feita. Para a empresa, é um incidente de segurança que provavelmente nunca será registrado.”
A Pressão por Produtividade e a Adoção Descentralizada de IA
A proliferação da shadow AI não é apenas uma questão de má-fé, mas muitas vezes um reflexo da busca por eficiência em ambientes de trabalho cada vez mais exigentes. O Microsoft/LinkedIn Work Trend Index, que ouviu mais de 31 mil profissionais em 31 países, incluindo o Brasil, revelou dados importantes sobre essa dinâmica.
A pesquisa mostra que 75% dos trabalhadores do conhecimento já utilizam IA generativa em suas atividades profissionais. Desse grupo, impressionantes 78% trazem suas próprias ferramentas de IA, muitas vezes sem a aprovação ou mesmo o conhecimento do departamento de TI.
Essa alta taxa de adoção informal pode ser explicada, em parte, pela sobrecarga de trabalho. O mesmo estudo calculou que 68% dos profissionais se sentem sobrecarregados pelo volume de suas tarefas, buscando na IA uma forma de aliviar essa pressão e aumentar a produtividade. A facilidade de acesso a essas ferramentas, combinada com a busca por soluções rápidas, cria o ambiente perfeito para a shadow AI florescer.
LGPD e as Implicações Regulatórias para as Empresas Brasileiras
A utilização de ferramentas de IA generativa com dados sigilosos acarreta sérias implicações legais, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD). A responsabilidade por falhas na proteção de dados é da empresa, mesmo que a iniciativa parta de um funcionário individualmente.
Quando um funcionário insere dados pessoais de clientes em uma ferramenta de IA pública, há uma transmissão a terceiro e uma potencial transferência internacional de dados, desrespeitando o princípio de segurança previsto no Art. 46 da LGPD. Essa situação configura um claro descumprimento legal, com a responsabilidade recaindo sobre o controlador, ou seja, a própria empresa, conforme o Art. 42 da lei.
A ANPD (Autoridade Nacional de Proteção de Dados), que em 2025 foi elevada a autarquia especial com poderes ampliados de fiscalização, já demonstrou proatividade nesse cenário. A agência bloqueou preventivamente o uso de dados pessoais para treinamento de IA por grandes plataformas sociais e está investigando outras empresas globalmente por vazamento de dados de usuários de ferramentas de IA. As sanções administrativas podem ser severas, chegando a 2% do faturamento anual, limitado a R$ 50 milhões por infração por incidente.
Ainda mais preocupante é o custo financeiro direto de tais incidentes. O IBM Cost of Data Breach Report 2025, que analisou 600 organizações globais, evidenciou que violações originadas em shadow AI são significativamente mais caras. Elas custam, em média, US$ 670 mil a mais do que outros tipos de incidentes, totalizando aproximadamente US$ 4,63 milhões por ocorrência, em comparação com US$ 3,96 milhões para outros vazamentos. Os dados também revelam que 97% das organizações que sofreram violações em modelos ou aplicações de IA relataram a ausência de controles de acesso adequados, sublinhando a falta de preparo para lidar com essa ameaça. Aqui no Brasil Vibe Coding, ressaltamos a necessidade urgente de as empresas revisarem suas políticas de segurança.
Por Que a Proibição Simples Não é a Solução
Diante desse cenário de riscos e violações, a primeira reação de muitos gestores de TI e segurança é a proibição. Bloqueio de domínios, políticas de uso mais restritivas e até punições disciplinares são medidas comuns. No entanto, os dados mostram que essa abordagem nem sempre é eficaz e, em alguns casos, pode até agravar a situação.
O Cisco 2024 Data Privacy Benchmark Study, que entrevistou 2.600 profissionais de segurança e privacidade em 12 países, oferece uma perspectiva clara. O estudo revelou que 27% das organizações baniram completamente as ferramentas de IA generativa. Mesmo assim, impressionantes 48% dos funcionários dessas mesmas organizações continuam utilizando-as, ignorando as proibições.
Essa realidade demonstra que a proibição pura e simples leva os funcionários a buscar maneiras alternativas de usar essas ferramentas, tornando o uso ainda mais "sombrio" e, consequentemente, mais difícil de ser detectado e controlado. Em vez de resolver o problema, essa abordagem pode empurrar a prática para uma esfera ainda menos visível, aumentando os riscos de segurança sem a vigilância adequada.
Como acompanhamos no Brasil Vibe Coding, a chave não é proibir, mas sim educar e fornecer alternativas seguras. As empresas precisam desenvolver diretrizes claras para o uso de IA, investir em treinamento extensivo para os funcionários e, crucialmente, implementar soluções de IA internas ou parceiras que ofereçam a mesma eficiência das ferramentas públicas, mas com a segurança jurídica e a proteção de dados necessárias. A programação e o desenvolvimento de automação internas são ferramentas cada vez mais importantes nesse cenário.
O Caminho a Seguir: Governança, Educação e Ferramentas Seguras
Para empresas que buscam mitigar os riscos da shadow AI, a solução não reside na proibição, mas em uma estratégia multifacetada que envolve governança robusta, educação contínua e a disponibilização de ferramentas seguras. É imperativo que as organizações reconheçam a IA como uma força de trabalho assistiva que veio para ficar e, portanto, precisam integrá-la de forma responsável.
Primeiramente, estabelecer políticas claras de uso de IA generativa é fundamental. Isso inclui definir quais tipos de dados podem ou não ser inseridos em plataformas de IA, além de especificar quais ferramentas são aprovadas para uso corporativo. A transparência e a clareza dessas diretrizes são essenciais para que os funcionários entendam suas responsabilidades.
Em segundo lugar, a educação e o treinamento dos colaboradores são insubstituíveis. Muitos funcionários podem não estar cientes dos riscos de segurança e privacidade associados ao uso indevido de IA. Programas de treinamento regulares devem abordar as implicações da LGPD, os perigos do compartilhamento de dados sensíveis e as melhores práticas para a interação com ferramentas de IA, sejam elas internas ou externas.
Por fim, as empresas devem investir e disponibilizar ferramentas de IA generativa aprovadas e seguras. Isso pode incluir a implementação de soluções de IA hospedadas internamente, que oferecem maior controle sobre os dados, ou a adoção de plataformas de parceiros que garantam a conformidade com as políticas de segurança e privacidade da empresa. A oferta de alternativas eficientes e seguras reduzirá a necessidade de recorrer a ferramentas não autorizadas, diminuindo a incidência de shadow AI.
O monitoramento contínuo do uso de IA e a adaptação das políticas conforme a evolução da tecnologia também são cruciais. A colaboração entre os departamentos de TI, segurança e jurídico é indispensável para criar um ambiente onde a inovação e a segurança possam coexistir. É um desafio complexo, mas com a abordagem correta, as empresas podem aproveitar os benefícios da IA sem comprometer a integridade de seus dados. Continue acompanhando o Brasil Vibe Coding para mais insights sobre tecnologia e segurança da informação.