Shadow AI: Implementar diretrizes na empresa
Ferramentas de IA são frequentemente testadas antes de liberações oficiais. Isso aumenta o problema de risco e governança. Shadow AI é a segunda forma mais comum de Shadow IT. O EU AI Act entra em vigor gradualmente, com regras já em vigor para práticas proibidas e diretrizes para IA de uso geral.
Introdução
Shadow AI descreve o uso de ferramentas de IA generativas sem conhecimento ou aprovação de TI. Isso ocorre, por exemplo, quando textos, código ou dados de clientes são inseridos em chats externos, sem prévia verificação contratual ou de proteção de dados. Shadow IT designa tecnologias introduzidas informalmente fora de processos oficiais; Shadow AI é a expressão específica para Inteligência Artificial. A governança estabelece o marco organizacional para o uso seguro e conforme a lei da IA, incluindo políticas, papéis e controles. Um exemplo disso é o NIST AI Risk Management Framework Com as funções Govern, Map, Measure, Manage. Model Risk Management (MRM) inclui inventário de modelos, validação, monitorização e documentação. Está estabelecido na supervisão financeira há anos (SR 11-7) e transferível para modelos de IA. Para um sistema de gestão a nível organizacional existe a ISO/IEC 42001:2023.
Situação atual
O atual 1Password-Report 2025 O atual mostra que Shadow AI, após o email, é a segunda categoria mais frequente de Shadow IT. 27% dos funcionários utilizavam apps de IA não aprovados. Além disso, 37% indicaram seguir políticas da empresa apenas a maior parte do tempo, o que sugere lacunas de políticas. Outra observação de mercado da Zluri, via Help Net Security , afirma que 80% das ferramentas de IA utilizadas pelos funcionários passam por TI e Segurança. Regulamentação na UE desde 02.02.2025 proíbe certas práticas de IA e obrigações de literacia em IA. Obrigações GPAI estão em vigor desde 02.08.2025, outras partes da lei seguem a partir de 02.08.2026, com prazos de transição estendidos para certos sistemas de alto risco até 2027. A Comissão da UE mantém o cronograma, apesar de pedidos da indústria para adiamento, como Reuters relatou.

Fonte: infoproteccion.com
O modelo do iceberg ilustra a natureza oculta da Shadow AI em comparação com sistemas de IA aprovados oficialmente.
Causas e contexto
Shadow AI resulta de várias razões. A comodidade e o desejo de ganho de produtividade são os principais impulsionadores. Muitas vezes as políticas são pouco claras ou comunicadas de forma inconsistente, como o 1Password-Report Mostra. Dinâmicas de plataforma reforçam isso: Baixas barreiras de entrada, plugins, extensões de navegador e integrações de apps facilitam a experimentação, muitas vezes sem SSO, DLP ou auditoria, como Help Net Security Relata. Ao mesmo tempo, medidas concretas de mitigação tornam-se alcançáveis. A OWASP descreve riscos típicos de LLM, como injeção de prompts, vazamentos de dados ou privilégios excessivos de agentes, que podem servir como pontos de controlo. Do lado do fornecedor, ofertas empresariais apontam para isolamento de inquilinos, registo e gestão do tempo de retenção de dados, por exemplo em ChatGPT Enterprise/Edu e Microsoft 365 Copilot.

Fonte: walkme.com
Os principais riscos do Shadow AI incluem desinformação, exposição de dados e riscos potenciais para clientes.
Fatos e mal-entendidos
É comprovado que o Shadow AI está amplamente difundido nas empresas. O 1Password-Report Demonstra que 27% dos funcionários utilizam apps de IA não autorizados e Shadow AI é a segunda categoria mais comum de Shadow IT. Além disso, 80% das ferramentas de IA utilizadas são não gerenciadas, o que leva a grandes pontos cegos, como Help Net Security Relata. As obrigações do EU AI Act Afirmam gradualmente desde 2025, com regras GPAI desde 02/08/2025 e aplicação mais ampla a partir de 02/08/2026. Não está claro quão rapidamente as empresas irão aplicar padrões MRM de forma abrangente na IA generativa. O MRM está estabelecido na supervisão bancária ( SR 11-7), ), mas os níveis de maturidade variam entre os setores. A afirmação Não precisamos fazer nada até 2026 é falsa ou enganosa. Já hoje vigoram proibições da UE e obrigações de literacia (desde 02/02/2025) bem como obrigações GPAI (desde 02/08/2025). A Comissão confirma o cronograma, como relatou. Reuters relatou.
Fonte: YouTube
Recomendações de atuação
Para implementar políticas de Shadow AI de forma pragmática e robusta, as empresas devem definir casos de uso permitidos, entradas proibidas (por exemplo, dados pessoais, dados de clientes confidenciais), ferramentas permitidas e vias de aprovação. O NIST-Rahmenwerk fornece uma estrutura adequada para isso. Um processo contínuo de descoberta e inventário é necessário para tornar visíveis novas ferramentas de IA, como Help Net Security destaca. Controles técnicos como DLP/etiquetas, Acesso Condicional, registo e trilhas de auditoria devem estar enraizados; exemplos são fornecidos pela Copilot-Architektur. A introdução de processos de MRM, incluindo inventário de modelos, documentação de premissas e origem dos dados, validação independente, monitorização de deriva e desempenho, bem como controles de mudança, é crucial. SR 11-7 fornece aqui um roteiro robusto. Quem quiser estabelecer governança organizacionalmente certificável, pode ISO/IEC 42001 como sistema de gestão e o NIST-Playbook usá-lo para medidas concretas.

Fonte: linkedin.com
Um quadro ético é essencial para o uso responsável da IA e a implementação de diretrizes.
Perspetivas
Questões em aberto dizem respeito à especificação dos requisitos GPAI e às expectativas da supervisão em auditorias. A Comissão continua a trabalhar em documentos de apoio e mantém o plano por etapas, como Reuters relatou. A normalização de testes para riscos de injeção de prompts e de agentes em fluxos de trabalho complexos é mais um desafio. OWASP fornece catálogos de risco atualizados continuamente. Também a questão de métricas de equidade, robustez e alucinações, que se tornarão o padrão de facto, está em aberto. NIST trabalha em perfis e métodos de avaliação para IA gerativa.
Shadow AI mostra que as pessoas desejam resultados rápidos. Boas políticas conectam essa motivação com proteção. Quem agora formular regras de uso claras, estabelecer discovery e monitorização, incorporar controles técnicos e estabelecer processos de MRMs, reduz riscos sem comprometer a produtividade. Isto prepara as empresas ao mesmo tempo para o EU AI Act à frente e utiliza frameworks como o NIST AI Risk Management Framework e ISO/IEC 42001.
Fonte: YouTube