Shadow AI no Brasil: o risco invisível de R$7 milhões
Duas em cada três empresas brasileiras admitem que seus funcionários já usam ferramentas de inteligência artificial sem qualquer autorização da TI. O número vem de uma pesquisa recente da SAP, e o que ele revela vai além de um problema técnico: é o reflexo de uma cultura corporativa que abraçou a IA generativa antes de construir qualquer estrutura para controlá-la.
O relatório IBM 2025 Cost of a Data Breach, conduzido pelo Ponemon Institute em 600 organizações, descobriu que uma em cada cinco empresas já sofreu violação de dados por causa de shadow AI (o uso não autorizado de ferramentas de IA). O custo médio dessas violações chegou a US$4,44 milhões globalmente. No Brasil, o cenário é ainda mais alarmante: o custo médio por vazamento de dados atingiu R$7,19 milhões em 2025, segundo o mesmo relatório. Em 97% dos casos, as empresas não tinham nenhum controle de acesso às ferramentas de IA que causaram o problema.
O jeitinho tecnológico que custa milhões
O que torna o shadow AI tão perigoso no Brasil é justamente o que faz a tecnologia avançar rápido por aqui: a disposição de resolver problemas sem esperar aprovação. Um gerente de marketing sobe um briefing estratégico no ChatGPT para ganhar tempo. Um desenvolvedor cola código proprietário em um assistente de IA. Um analista financeiro alimenta uma planilha com dados trimestrais em um LLM gratuito para gerar relatórios.
Segundo o relatório Cyberhaven 2026, 39,7% de todas as interações com IA envolvem dados sensíveis. O problema se agrava porque 71,6% do acesso a ferramentas de IA generativa acontece por contas pessoais, completamente invisíveis para as equipes de segurança corporativa. Uma pesquisa da Gartner com 302 líderes de cibersegurança confirmou: 69% das organizações suspeitam que seus funcionários usam ferramentas de IA proibidas, mas apenas 37% têm alguma política de governança.
No Brasil, o dado é ainda pior: 87% das organizações não possuem nenhuma política de governança de IA, segundo levantamento da Convergência Digital.
A lacuna entre a política e a prática
Entre as organizações que sofreram violações relacionadas a IA no estudo da IBM, 97% não tinham controles adequados de acesso. Das que possuíam alguma política no papel, apenas 34% realizavam auditorias regulares para detectar uso não autorizado. O resto tinha um documento esquecido em alguma pasta compartilhada.
Esse padrão é o mesmo que torna os atalhos de cibersegurança do dia a dia tão caros: a distância entre o que está escrito e o que de fato acontece é exatamente onde as violações se instalam.
O custo silencioso além do vazamento
O adicional de US$670 mil em violações de shadow AI captura apenas os custos diretos do incidente. O estrago real se acumula sem fazer barulho:
- Vazamento de propriedade intelectual: cada base de dados, trecho de código ou documento estratégico colado em uma ferramenta de IA se torna dado de treinamento que você nunca vai recuperar
- Exposição regulatória: a LGPD responsabiliza empresas por dados compartilhados com processadores não autorizados, independentemente da intenção do funcionário. A ANPD pode aplicar multas de até 2% do faturamento por infração
- Demora na detecção: violações por shadow AI levam em média 241 dias para serem identificadas e contidas, dando meses de acesso a informações sensíveis
- Erosão competitiva: quando ferramentas de IA podem ser sequestradas sem que ninguém perceba, os dados que seus funcionários compartilham voluntariamente amplificam a exposição
Enquanto isso, ataques potencializados por IA já superam as equipes de segurança, o que significa que a janela entre a exposição do dado e sua exploração encolhe a cada dia.
O que fazem as empresas que evitam violações por shadow AI
O relatório da IBM revelou que organizações que utilizam IA e automação em suas operações de segurança reduziram os custos de violação em US$2,2 milhões e detectaram incidentes 108 dias mais rápido. As empresas que controlam o risco de shadow AI compartilham três características:
Tornam as ferramentas aprovadas mais fáceis que as não autorizadas. Quando o funcionário busca o ChatGPT, é porque a alternativa corporativa é lenta ou simplesmente não existe. A solução não é proibir IA: é disponibilizar ferramentas empresariais que superem o que o funcionário encontra por conta própria.
Monitoram fluxos de dados de IA, não apenas tráfego de rede. Ferramentas tradicionais de prevenção de perda de dados não foram construídas para a era da IA. As empresas precisam de visibilidade sobre quais serviços de IA os funcionários acessam e se contas pessoais manipulam dados corporativos.
Tratam governança de IA como operação, não como compliance. Auditorias regulares, detecção automatizada de ferramentas não autorizadas e treinamento trimestral são o mínimo. Considerando que a maioria das empresas ainda não tem defesas básicas contra IA, isso exige uma mudança fundamental na cultura de segurança.
A conta que ninguém quer fazer
Sua equipe de TI não consegue proteger o que não consegue enxergar. Quase 40% de cada interação com IA envolve dados sensíveis. Sete em cada dez acontecem em contas pessoais. Se a sua empresa não tem uma política de governança de IA, está rodando um experimento de R$7 milhões sem nenhum controle.
O shadow AI já existe na sua organização. A única pergunta é se você vai construir a infraestrutura para gerenciá-lo antes de virar a próxima estatística no relatório da IBM.
Leitura relacionada:
Fontes e Referências
- IBM / Ponemon Institute — 1 in 5 orgs breached by shadow AI, 70K extra cost. 97% lacked AI access controls.
- IBM Newsroom — 63% lack AI governance. Only 34% audit. PII exposed in 65% of shadow AI breaches.
- Cyberhaven — 39.7% of AI interactions involve sensitive data. 71.6% via personal accounts.
- Gartner — 69% suspect employees using prohibited GenAI. Only 37% have AI governance.
Conheça nossos padrões editoriais →
