O tempo passa, as tecnologias mudam – e as preocupações também. Com o avanço da Inteligência Artificial (IA), equipes de cibersegurança corporativa acreditam que uma ameaça tem evoluído: de shadow IT passamos para shadow AI.Parte da rotina dos trabalhadores de tecnologia e segurança há muito tempo, a IA tem integrado cada vez mais a vida de outras profissões. Seja para executar tarefas mais fáceis, economizar tempo ou conseguir análises diferentes, o ChatGPT, Claude e DeepSeek, por exemplo, têm sido muito utilizados em computadores e celulares corporativos e pessoais. Essa popularidade tem levantado a suspeita de muitos especialistas em segurança.O que é shadow AI?Imagine o seguinte cenário – não é muito difícil, talvez você esteja vivendo ele: todos os seus amigos, portais de notícias e influenciadores começam a falar sobre uma ferramenta que os tem ajudado a economizar horas de trabalho, que dá ideias super legais e conversa com eles sobre diversos tópicos. Você, naturalmente, experimenta a ferramenta e começa a pensar como ela pode te ajudar na rotina do trabalho.Até seu chefe ouviu sobre essa ferramenta e pensa num plano para implementá-la na empresa. No entanto, os times de TI e segurança precisam fazer uma série de adaptações e criação de camadas de proteção para que os dados da empresa não sejam prejudicados com a adesão. Só que você já sabe como ele funciona e te ajuda, então começa a usar numa aba anônima, ou no seu celular e notebook pessoal.Com isso, se cria um vácuo no quesito segurança corporativa. Se você usa a IA para analisar dados de relatórios da empresa, esses dados estão desprotegidos – e os especialistas em segurança corporativa nem sabem disso.A dimensão do problemaE não pense que você é a única pessoa fazendo isso. Segundo dados da Microsoft, 78% dos usuários de IA trazem suas próprias ferramentas para o trabalho. Ao mesmo tempo, 60% dos líderes de TI estão preocupados porque executivos seniores não têm um plano estruturado para implementar essas tecnologias oficialmente. É o cenário perfeito para o caos silencioso.O problema vai além dos chatbots que você baixa no celular. A IA sombra pode se infiltrar na empresa de formas mais sutis: através de extensões de navegador que você instala sem pensar duas vezes, ou até mesmo recursos embutidos em softwares legítimos que você simplesmente ativa sem avisar ninguém da TI.E tem mais: estamos entrando na era da IA agêntica, onde agentes autônomos podem executar tarefas sozinhos. Sem as proteções adequadas, esses agentes podem acessar dados sensíveis e realizar ações não autorizadas. Quando alguém perceber, o estrago já estará feito.Os riscos reais (e caros)Cada vez que você cola informações em um chatbot público, está potencialmente compartilhando dados sensíveis da empresa. Aquelas notas da reunião com o cliente? O código que você está desenvolvendo? Informações pessoais de funcionários? Tudo isso pode ser usado para treinar o modelo da IA – e, eventualmente, ser "cuspido" para outro usuário no futuro.Esses dados ficam armazenados em servidores de terceiros, muitas vezes em países com padrões de segurança bem diferentes dos nossos. Os reguladores de proteção de dados, como a LGPD no Brasil ou a GDPR na Europa, não vão gostar nada disso. Sem falar que funcionários das empresas que desenvolvem esses chatbots podem ter acesso às suas informações.Mas o perigo não para por aí. Usar IA para gerar código sem uma revisão adequada pode introduzir bugs graves em produtos que chegam ao cliente. Ferramentas de análise alimentadas por IA podem tomar decisões falhas se foram treinadas com dados enviesados ou de baixa qualidade. E aqueles agentes de IA autônomos? Podem criar conteúdo falso, gerar código com problemas ou realizar ações sem que você sequer saiba.Segundo a IBM, 20% das organizações sofreram algum tipo de violação de segurança relacionada à shadow AI apenas no ano passado. Para empresas com altos níveis de uso não autorizado de IA, o custo pode chegar a US$ 670 mil a mais do que o prejuízo médio de uma violação de dados. Estamos falando de danos financeiros, multas de conformidade e manchas na reputação que podem levar anos para serem reparadas.Como lidar com issoSimplesmente bloquear cada ferramenta de IA que aparecer não vai resolver o problema. A realidade é que as pessoas vão continuar usando essas tecnologias – com ou sem autorização. A solução precisa ser mais inteligente.Primeiro, reconheça que essas ferramentas estão sendo usadas. Mapeie o que seus funcionários estão fazendo, entenda para quê e por quê. A partir daí, crie uma política de uso aceitável que seja, acima de tudo, realista. Não adianta proibir tudo e achar que o problema sumiu.Teste as ferramentas internamente, faça uma análise criteriosa dos fornecedores de IA. Cada empresa tem seu próprio apetite de risco – construa suas políticas em cima disso. Se você vai proibir algumas ferramentas, ofereça alternativas aprovadas que realmente funcionem. E facilite o processo para que funcionários possam pedir acesso a novas ferramentas de forma transparente.Eduque sua equipe. Explique os riscos reais de usar shadow AI. Mostre que violações de dados não são só "problema da TI" – elas podem levar a paralisações no trabalho, transformações digitais que não saem do papel e, sim, até demissões. Implemente ferramentas de monitoramento de rede para ter visibilidade sobre o que está acontecendo e evitar vazamentos.Para mais dicas como essa, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.