Por Edgar Zattar (*)
A automação já tornou os ataques cibernéticos mais rápidos e escaláveis. Segundo o Relatório do Cenário Global de Ameaças 2025 do Fortinet, organizações ao redor do mundo enfrentam cerca de 36 mil varreduras por segundo, conduzidas por ferramentas que mapeiam continuamente sistemas expostos e potenciais vulnerabilidades. Esse avanço ocorre em paralelo à popularização do uso da inteligência artificial no ambiente corporativo, adicionando uma nova camada de risco à segurança da informação.
Da análise de dados à revisão de documentos e à elaboração de apresentações, ferramentas de IA de uso público, como o ChatGPT, passaram a integrar a rotina de diversas áreas, porpocionando eficiência, escala e maior rapidez na execução de tarefas.
A utilização, no entanto, nem sempre ocorre de forma estruturada. É nesse contexto que surge o Shadow AI: o uso de soluções de inteligência artificial sem validação formal das áreas de tecnologia e segurança. Em vez de partir de decisões centralizadas, o fenômeno cresce de forma orgânica, impulsionado por necessidades imediatas.
De acordo com pesquisa da LayerX Security, destacada no “Enterprise GenAI Security Report 2025”, 75% dos funcionários que utilizam ferramentas de IA não aprovadas já inseriram informações sensíveis nessas plataformas. Isso significa que dados internos, códigos proprietários e documentos estratégicos passam a ser compartilhados em ambientes externos, muitas vezes sem clareza sobre o armazenamento, processamento ou reaproveitamento dessas informações.
Nesse cenário, os modelos tradicionais de segurança passam a ter dificuldade para acompanhar essa dinâmica. Isso porque esses foram desenhados para outro contexto, em que o risco estava mais associado a transferências explícitas ou acessos indevidos. Um prompt, nesse caso, pode não ser identificado como um evento crítico, mesmo quando envolve dados sensíveis.
Na prática, o Shadow AI já se consolida como um novo vetor de risco corporativo, mas ainda subestimado por muitas organizações.
Com os benefícios claros das ferramentas de IA, a discussão sobre usá-las ou não se torna obsoleta e evolui para o campo da governança. Melhor do que restringir, é orientar o uso: definir quais ferramentas são autorizadas, estabelecer diretrizes claras sobre o compartilhamento de informações e implementar mecanismos de monitoramento e visibilidade compatíveis com esse novo contexto.
À medida que essas soluções se integram ao dia a dia, o entendimento sobre riscos precisa evoluir na mesma velocidade. Ignorar o movimento de Shadow AI é ampliar a exposição, pois esperar até que ele se traduza em incidentes concretos é reagir, não agir. No mundo corporativo, não há espaço para reatividade quando as consequências podem ser imensuráveis.
(*) é CTO de Inovação e Novos Negócios da Conversys IT Solutions.
