Logotipo Nexoria
Fale conosco
nx-botton
IA corporativa

IA corporativa sem controle: o risco que 68% das empresas ainda ignoram

  • 6 min

Alguém na sua empresa acabou de colar um contrato no ChatGPT.

Não é hipótese. É estatística.

Enquanto você lê este artigo, colaboradores em empresas de todos os tamanhos estão usando ferramentas de inteligência artificial para escrever e-mails, resumir documentos, analisar planilhas e redigir contratos. A produtividade aumenta. O problema é o que vai junto: dados de clientes, cláusulas sigilosas, informações financeiras, estratégias internas. Tudo isso digitado em caixas de texto de serviços que a empresa jamais homologou.

A pesquisa AI Pulse da Protiviti revela um número que deveria estar em toda reunião de diretoria: 68% das empresas de médio porte e 47% das grandes organizações não têm visibilidade completa sobre quais ferramentas de IA seus colaboradores estão usando. Não é descuido de TI. É a velocidade da adoção ultrapassando a capacidade de governança.

O mais inquietante não é o que já aconteceu. É o que vai continuar acontecendo: Outra pesquisa conduzida pela Software AG cita que 46% dos colaboradores afirmam que continuariam usando IA mesmo que a empresa proibisse. Bloqueio não é estratégia. É ilusão de controle.

O que é shadow AI — e por que ele cresce nas empresas mais organizadas

Shadow AI é o uso de ferramentas de inteligência artificial fora do radar corporativo. Sem aprovação, sem política, sem monitoramento. O termo é uma evolução do “shadow IT” — aquela época em que as equipes adotavam Dropbox e WhatsApp antes que o departamento de TI percebesse.

A diferença é que agora o risco é de outra magnitude. Quando um colaborador usa um aplicativo não homologado para armazenar um arquivo, o dado fica lá, estático. Quando ele usa uma ferramenta de IA generativa, ele está ativamente enviando o dado para um modelo externo, processado em infraestrutura de terceiros, com políticas de retenção que a empresa não controla.

Os números confirmam a gravidade: aproximadamente 25% do conteúdo enviado a ferramentas de IA em ambiente corporativo é classificado como sensível ou confidencial. Um em cada quatro prompts carrega algo que não deveria sair da empresa. E na maioria dos casos, ninguém viu. Ninguém registrou. Ninguém respondeu.

Atenção: 1 em cada 4 interações corporativas com IA generativa contém informações confidenciais — e na maior parte das empresas, esse dado sai sem rastro, sem registro e sem resposta. Vale salvar esse número para sua próxima apresentação de risco.

Mas se o problema já existe e a proibição não funciona, o que as empresas devem fazer? A resposta está nos frameworks que o mercado já consolidou — e nas três etapas que eles prescrevem.

Por que a urgência é agora

Governança de IA deixou de ser tema de comitê técnico. Virou obrigação regulatória e critério de auditoria.

O NIST AI RMF — framework desenvolvido pelo Instituto Nacional de Padrões e Tecnologia dos EUA — é um guia de boas práticas para gestão de risco em sistemas de IA. Ele é voluntário, mas funciona como referência global para organizações que precisam demonstrar maturidade no uso responsável de IA. Seu modelo organiza o trabalho em quatro funções: Govern, Map, Measure e Manage. Em linguagem direta: definir quem responde pelo quê, mapear onde a IA está sendo usada, medir os riscos e gerenciá-los continuamente.

A ISO/IEC 42001 vai além. É o primeiro padrão internacional para sistemas de gestão de IA — implementável, auditável e certificável, assim como a ISO 27001 é para segurança da informação. Empresas que operam em mercados regulados ou que prestam serviços para grandes corporações já estão sendo questionadas sobre conformidade com esse padrão. Não ter resposta para essa pergunta começará a custar contratos.

Além da pressão regulatória, há a pressão reputacional. Um incidente envolvendo dados de clientes expostos via ferramenta de IA não autorizada não é apenas um problema jurídico — é um problema de confiança. E confiança, uma vez perdida, não se recupera com uma nota de esclarecimento.

Como agir: as três etapas que transformam intenção em controle

1. Mapeie o que realmente está sendo usado

Você não pode governar o que não enxerga. O primeiro passo é construir um inventário real das ferramentas de IA em uso na organização — não o que o TI aprovou, mas o que os colaboradores efetivamente utilizam.

Isso inclui rever faturas em busca de assinaturas individuais de serviços de IA, entrevistar líderes de área sobre os fluxos de trabalho que já incorporam IA, e usar ferramentas de monitoramento de tráfego de rede para identificar acessos recorrentes a plataformas externas. Ferramentas do tipo CASB — Cloud Access Security Broker, soluções que monitoram e controlam o uso de serviços em nuvem — são particularmente eficazes nessa etapa, permitindo classificar cada serviço por nível de risco e identificar quem usa o quê.

O objetivo dessa fase não é punir. É entender. O mapa de uso é o insumo que vai orientar todas as decisões seguintes.

2. Defina política antes de definir tecnologia

Governança começa com decisão humana, não com software. Antes de implantar qualquer solução de controle, a organização precisa responder: quais ferramentas são permitidas? Para quais casos de uso? Com quais restrições sobre o tipo de dado que pode ser enviado?

Isso significa construir uma lista de ferramentas homologadas — o que em segurança chamamos de whitelist —, criar um processo ágil para que equipes solicitem a aprovação de novas ferramentas (burocracia excessiva é o que empurra as pessoas para o shadow AI) e designar um responsável pela governança de IA, seja um AI Owner dedicado ou um comitê com representação técnica e jurídica.

A política precisa ser comunicada, treinada e revisada. Uma política que existe apenas em PDF na intranet não existe na prática.

3. Treine para adoção, não para conformidade

A diferença entre um colaborador que entende o risco e um que apenas assinou o termo de uso é enorme. Programas de conscientização que explicam por que determinados dados não devem ser enviados a ferramentas externas são muito mais eficazes do que políticas proibitivas que ninguém leu.

Treinamentos pontuais e contextuais — aqueles que aparecem no momento em que o colaborador está prestes a cometer um erro — têm impacto mensurável na redução de incidentes. O objetivo é criar uma cultura em que a pergunta “posso enviar isso para a IA?” seja feita antes do envio, não depois do incidente.

4. Implante monitoramento contínuo com capacidade de resposta

As três etapas anteriores podem ser executadas, em parte, sem tecnologia avançada. Esta não. Monitorar o uso de IA em tempo real, classificar o conteúdo enviado e responder a riscos identificados exige uma solução que opere de forma contínua e integrada.

DLP — Data Loss Prevention, ou prevenção de perda de dados — é a categoria de tecnologia que identifica e bloqueia o envio de informações sensíveis para destinos não autorizados. Quando aplicado ao contexto de IA, ele precisa ser capaz de analisar prompts em tempo real, reconhecer padrões de dado sensível (CPF, cláusulas contratuais, dados financeiros) e agir antes que a informação saia da empresa.

A pergunta que fica é: como tudo isso se conecta em uma solução integrada? É o que veremos a seguir.

O papel da tecnologia: do inventário ao controle em tempo real

Mapear e governar são etapas que podem começar com questionários, reuniões e políticas escritas. Lento, trabalhoso, mas possível. O controle, porém, não tem como escalar sem tecnologia.

Soluções como o Check Point Workforce AI Security ou Sentinel One Prompt Security foram projetadas exatamente para esse problema. Um agente instalado nos dispositivos e uma extensão de navegador permitem que a organização enxergue, em um console centralizado, todas as ferramentas de IA em uso e todas as interações realizadas. O inventário — que levaria semanas por outros meios — passa a ser contínuo e automático.

O mesmo console permite aplicar regras dinâmicas: avisar o colaborador antes de enviar um dado sensível, bloquear categorias específicas de informação, registrar eventos para auditoria. A governança, que antes dependia de política estática, passa a ser executada em tempo real.

O exemplo mais claro é o do escritório de advocacia: um advogado cola trechos de um contrato sigiloso em um modelo público. Sem monitoramento, o dado sai sem rastro. Com a solução ativa, o prompt é interceptado, o conteúdo sensível é identificado e o evento é registrado. O gestor visualiza o padrão, percebe que o comportamento é recorrente em uma prática específica do escritório e aplica uma regra mais restritiva — fechando o ciclo que os frameworks prescrevem. Da visibilidade à resposta, sem depender de um incidente para agir.

Governança de IA não é projeto de TI — é decisão de negócio

O shadow AI não vai desaparecer. A adoção de IA pelos colaboradores só vai crescer, e qualquer empresa que aposte em proibição como estratégia está apostando contra a realidade. A pergunta não é mais se as pessoas vão usar IA. É o que elas estão enviando e para onde.

Organizações que tratarem governança de IA como prioridade agora terão duas vantagens concretas: menos risco de incidente e mais capacidade de usar IA de forma produtiva, porque saberão exatamente onde ela já está operando. As que esperarem aprenderão da forma mais cara possível.

Foto de Rodrigo Castro

Rodrigo Castro

Rodrigo Castro é Diretor Geral da Nexoria. Ele tem mais de 20 anos de experiência em consultoria e está constantemente em busca de soluções digitais transformadoras que ajudem empresas a enfrentarem seus riscos digitais com resiliência.

Publicações recentes

Veja todos

OneTrust reconhecida como Visionária no Gartner® Magic Quadrant™ 2026 para plataformas de Governança de IA

  • 2 min
Saiba mais
Huge-linkedin-01 Huge-instagram
Selo GPTW
Selo Pró Ética

©2026 Nexoria. Todos os direitos reservados. Os direitos de propriedade intelectual nas páginas desse site o conteúdo disponível através das mesmas pertencem à Nexoria, bem como todos os outros direitos de propriedade intelectual, direitos autorais, sobre patentes e bancos de dados, direitos sobre marcas, projetos, know-how e informações confidenciais registradas ou não registradas.

Logotipo Nexoria