A inteligência artificial já está se tornando uma aliada estratégica no meio corporativo, otimizando processos e gerando valor para as empresas. No entanto, à medida que cresce o acesso a ferramentas de IA de uso livre, surge também um fenômeno silencioso e desafiador: a chamada “Shadow IA”.
O termo designa todas as aplicações de inteligência artificial utilizadas fora do radar corporativo, sem regulamentação, homologação ou integração oficial pelos times de tecnologia e segurança. Assim como a prática da Shadow IT — o uso de softwares e dispositivos não autorizados — a shadow IA representa um risco crescente para a governança digital, podendo expor dados sensíveis, comprometer a conformidade com legislações como a LGPD e o GDPR, abrir brechas de segurança e comprometer a imagem da organização. Em outras palavras: não se trata apenas uma questão tecnológica — mas também um problema jurídico, de segurança, de governança e de imagem corporativa.
Para abordar o assunto, do ponto de vista da segurança da informação e sob a ótica da legislação nacional, o Portal Intelligence.Garden conversou com dois especialistas no assunto.
Diego Affonso, sênior de Cyber Security na Grant Thornton, pós-graduado em Cibersegurança Defensiva (Blue Team) pela FIAP e concludente da pós-graduação em Inteligência Artificial e Automação pela Rocketseat, aponta que os principais fatores que levam colaboradores a utilizarem soluções de Shadow IA estão diretamente relacionados à busca por produtividade.
Segundo ele, muitas vezes a ferramenta de inteligência artificial disponibilizada oficialmente pela empresa não atende plenamente às necessidades do usuário. Nessas situações, o empregado procura alternativas na internet, que prometem funcionalidades mais adequadas ao seu trabalho. O problema, relata Affonso, é que a velocidade com que novas ferramentas surgem — em média, dezenas de novas aplicações por dia — dificulta o trabalho das equipes de governança e segurança, que não conseguem bloquear todas as opções disponíveis.
Um exemplo prático citado pelo especialista é o uso de serviços em nuvem (Cloud): alguns colaboradores percebem que conseguem programar ou automatizar tarefas de forma mais eficiente em plataformas externas do que naquelas homologadas pela própria companhia. Por isso, acabam optando por soluções não autorizadas, mesmo que isso represente riscos para a organização.
Por sua vez, o uso não autorizado de ferramentas de Shadow IA pode expor as empresas a vulnerabilidades técnicas de alto risco. Um dos mais críticos, segundo o especialista, é o Prompt Injection — tipo de ataque direcionado pela qual o invasor, já autenticado nos sistemas da companhia, consegue extrair informações sem a devida autorização.
Esse tipo de ataque é especialmente perigoso porque, ao interagir com uma IA maliciosa, o usuário pode ser induzido a executar comandos que resultem em um RCE (Remote Code Execution) dentro do próprio equipamento corporativo, abrindo brechas graves de segurança.
Nesse sentido, a IA pode ser induzida a revelar informações confidenciais, executar comandos perigosos no dispositivo do usuário ou da rede. Além disso, há riscos adicionais, como a divulgação inadvertida de informações sigilosas e a conexão com servidores externos totalmente fora do ecossistema controlado da organização, sem qualquer mitigação ou aderência às práticas de governança. Para o especialista, trata-se de um cenário crítico, capaz de comprometer tanto a infraestrutura tecnológica quanto a proteção de dados da empresa.
Para mitigar os riscos associados ao uso de shadow AI, o especialista recomenda que as empresas invistam em governança estratégica. Isso inclui a adoção dos frameworks mais recentes voltados à inteligência artificial e à segurança da informação, como o NIST AI RMF (AI Risk Management Framework) e a ISO/IEC 42001, norma específica para sistemas de gestão de IA.
Outro ponto fundamental é manter um catálogo de ferramentas autorizadas, de modo que os colaboradores saibam exatamente quais soluções podem ser utilizadas. O investimento em treinamento e conscientização também é essencial para reduzir o apelo de ferramentas não homologadas.
Além disso, o especialista destaca a importância de adotar soluções de UBA (User Behavior Analytics). Essa tecnologia permite analisar padrões de comportamento dos usuários e identificar desvios em relação ao uso esperado, funcionando como uma camada adicional de proteção contra atividades suspeitas.
Governança eficaz
Embora não atue diretamente como CISO, Diego Affonso destaca pontos que considera essenciais para uma governança eficaz no contexto do uso da Shadow AI. O primeiro deles é a criação de um ambiente controlado, no qual as ferramentas de inteligência artificial disponibilizadas aos colaboradores sejam previamente homologadas e validadas.
“Um recurso importante nesse processo é o chamado sandbox corporativo(ambiente experimental e controlado onde empresas), que permite testar novas soluções em um espaço isolado e seguro antes de serem liberadas para uso mais amplo. Além disso, a existência de um catálogo de ferramentas aprovadas facilita a padronização e dá clareza ao usuário sobre o que pode ou não ser utilizado”.
Diego Affonso afirma que será fundamental implementar políticas internas bem definidas e constantemente comunicadas no ambiente corporativo. Os colaboradores precisam compreender não apenas as regras, mas também a importância de proteger informações sigilosas, evitando que caiam em mãos de agentes mal-intencionados. “Também acredito que vão começar a surgirem tensões e pressões regulatórias no sentido de fazer com que esse assunto esteja mais visível e chegado do ponto de vista de segurança”, conclui.
Tendências futuras
Quem não conseguir se alinhar ao uso da inteligência artificial no ambiente de trabalho — seja em tarefas corporativas, seja até mesmo em pesquisas acadêmicas ou em outras áreas — inevitavelmente ficará em desvantagem em relação aos seus pares.
Também é possível observar o avanço de tensões e pressões regulatórias, com o objetivo de tornar o uso da IA cada vez mais visível, auditável e seguro. Esse movimento tende a se intensificar nos próximos anos, exigindo das empresas maior transparência e conformidade.
Na visão do especialista o futuro reserva ainda muita inovação, especialmente no campo corporativo. “Mas essa inovação precisa vir sempre acompanhada de mecanismos robustos de segurança, de modo a equilibrar ganhos de produtividade com a proteção de dados e a resiliência cibernética das organizações”, afirma.
Implicações jurídicas
Do ponto de vista jurídico, há também implicações relevantes, sobretudo no âmbito da Lei Geral de Proteção de Dados (LGPD), da responsabilidade civil e até mesmo do direito penal e trabalhista. Segundo a advogada Claudia Bonard de Carvalho, especializada em cybercrime corporativo e compliance digital criminal, com formação em risco cibernético pela FGV-SP e autora do livro “Temas de Criminal Compliance Digital Corporativo” quando um colaborador utiliza uma ferramenta não autorizada para processar dados, pode estar infringindo diretamente princípios da LGPD, como os previstos no artigo 6º, incisos I, III eVII (finalidade, adequação e segurança), além do artigo 7º, que trata das bases legais para o tratamento de informações pessoais.
No campo da responsabilidade civil, tanto a empresa quanto o colaborador podem ser chamados a responder por danos. Isso significa que a vítima não precisa apresentar provas para demonstrar o abalo moral, pois ele já é considerado existente pela própria situação. Em decisão recente, o Superior Tribunal de Justiça (STJ) (REsp 2.121.904, fevereiro de 2025), consolidou o entendimento de que o vazamento de dados pessoais gera dano moral presumido.
“Isso significa que o empregado também pode ser responsabilizado individualmente, no cível, caso a empresa já tenha sido processada e restar comprovado nos autos que a culpa foi exclusiva dele, através de ação indenizatória de regresso da empresa contra o seu colaborador”, explica a advogada.
O empregado que usa shadow AI também pode responder por crime de divulgação de segredo profissional, (art 154 CP), caso compartilhe informações sigilosas que possam ser vazadas e revele códigos fontes de serviços, processos internos e outros dados confidenciais de projetos. “Essa situação aconteceu em caso envolvendo a empresa Samsung, que teve dados de softwares vazados por engenheiros que usaram dados sigilosos em prompts no ChatGPT”, relata a advogada.
Na época, em 2023, a empresa coreana chegou a proibir os funcionários a utilizarem ferramentas de IA, ao descobrir que uma equipe havia inserido um código confidencial na plataforma, o que causou um revés dessa tecnologia no ambiente de trabalho.
Ataque de ransonware
No caso de um incidente grave, como um ataque de ransonware que se origina a partir de uma vulnerabilidade criada por uma shadow IA, o colaborador que instalou a ferramenta pode ser responsabilizado por dolo eventual, ou seja, não desejava cometer um crime, mas assume riscos já conhecidos no uso da shadow AI, caso um vazamento de dados se concretize (18 do CP).
No campo contratual e trabalhista, especialistas reforçam a importância de cláusulas específicas nos contratos de trabalho e nas políticas internas de segurança da informação, contemplando obrigações de confidencialidade e proibições expressas quanto ao uso de IA não homologada. A advogada recomenda sempre revisar o contrato de trabalho, incluindo cláusulas de compromisso de confidencialidade de dados que devam abordar esse tema além de políticas de segurança da informação da empresa que abordem o assunto e que sejam claramente divulgadas. “Dessa forma, qualquer omissão por parte da empresa poderá ser afastada em caso de processos relacionados ao uso de shadow AI”.
Propriedade intelectual
Outro ponto relevante diz respeito à violação de propriedade intelectual caso ocorra a divulgação não autorizada de informações confidenciais de produtos, serviços ou projetos da empresa em prompts de shadow AI. “A proteção jurídica contra essa violação se daria no âmbito repressivo posterior, caso um concorrente usasse dados vazados em prompts para suas atividades”, alerta.
Regulamentação no Brasil
Pensando em um futuro próximo, a expectativa é que a regulamentação da IA no Brasil, atualmente discutida no PL 2338/23, traga regras mais específicas sobre o tema. Ainda assim, a tendência é que, até lá, a responsabilidade continue sendo enquadrada de forma genérica nas legislações já existentes, em especial a LGPD, o Código Penal e normas de compliance digital.
“O projeto de lei em tramitação no Congresso (PL 2338/23) sobre uso de AI disciplina de certa forma o tema, tratando de assuntos como responsabilização e proteção de dados pessoais, o que se aplica ao caso da shadow AI. No momento, a legislação que já existe pode ser utilizada em questões envolvendo o uso de shadow AI”, aponta Claudia Carvalho.
Por fim, em termos de resposta a incidentes e investigação, o uso de shadow AI prejudica a investigação forense porque não é usada em equipamentos de trabalho e sim pessoais, os quais não podem ser apreendidos e nem periciados por especialistas contratados pela empresa, salvo por ordem judicial contra colaborador suspeito.
Isso reforça a necessidade de políticas que limitem o uso de equipamentos próprios no trabalho e consolidem uma governança digital robusta.
“No caso de resposta a incidentes, por vazamento de dados, a restauração da proteção deles será feita nos sistemas da própria empresa e não depende dos equipamentos onde foi usada a shadow AI. A causa raiz de vazamento de dados será de difícil detecção quando a empresa permite uso de dispositivos pessoais nas atividades, o que já vem sendo proibido em muitas empresas”, finaliza.
