“Shadow AI” refere-se ao uso de ferramentas ou funcionalidades de inteligência artificial dentro de uma empresa sem aprovação formal ou supervisão adequada. Esse fenômeno representa um risco porque essas iniciativas não autorizadas criam pontos cegos, já que não é possível gerenciar ou proteger aquilo que não se conhece. Segundo levantamento da Protiviti, cerca de dois terços das empresas relataram que colaboradores já utilizaram IA sem a devida supervisão, o que resulta em lacunas nos controles internos. Esse uso oculto de IA pode driblar medidas padrão de segurança e requisitos de conformidade, deixando as lideranças com uma percepção incompleta sobre o real nível de exposição a riscos. 

A falta de visibilidade decorre do fato de que a adoção de IA frequentemente supera o ritmo de implementação da governança. Novas ferramentas de IA são implantadas em diferentes áreas mais rapidamente do que podem ser monitoradas de forma centralizada. A pesquisa mostra que a adoção federada (quando áreas de negócio adotam IA de forma independente) e ambientes de TI descentralizados contribuem para esse ponto cego. Em organizações complexas (com múltiplas divisões, fusões e aquisições etc.), sistemas isolados dificultam o monitoramento integral do uso de IA. Quase metade das grandes empresas pesquisadas admitiu não ter plena compreensão sobre quais ferramentas de IA estão sendo utilizadas por seus colaboradores. 

A IA está intensificando as ameaças cibernéticas ao tornar os ataques mais frequentes e sofisticados. Agentes maliciosos utilizam IA para automatizar campanhas de phishing, criar deepfakes altamente realistas e identificar vulnerabilidades em velocidade e escala superiores à capacidade humana. A pesquisa da Protiviti destaca que grupos patrocinados por Estados-nação e cibercriminosos vêm empregando IA de forma agressiva para explorar fragilidades em sistemas corporativos e cadeias de suprimentos. Um exemplo: golpes com base em deepfake tiveram aumento estimado de 3000% em um único ano na América do Norte. Em síntese, a IA permite que atacantes elevem tanto a velocidade quanto o realismo das ameaças, desafiando as organizações a fortalecer suas defesas de forma contínua. 

O aprimoramento da visibilidade depende do estabelecimento de uma governança e rastreamento centralizados para IA. Na prática, isso significa criar um framework formal de governança, inventariar todas as aplicações de IA, definir processos de aprovação e implementar monitoramento técnico de atividades relacionadas à IA. A pesquisa da Protiviti aponta o framework formal de governança como a solução mais eficaz para este desafio de visibilidade. Apenas cerca de 4 em cada 10 empresas contam com tal estrutura atualmente, mas aquelas que o implementam relatam maior clareza sobre onde e como a IA está sendo utilizada, além de maior confiança nos controles adotados. Em resumo, para não “navegar às cegas” com IA, é necessário rastreá-la como qualquer outro ativo crítico — com políticas claras, definição de responsáveis e supervisão técnica abrangente em toda a organização. 

A IA embarcada em softwares de fornecedores pode se tornar um ponto cego relevante, pois muitas vezes opera fora do alcance direto da empresa contratante. Quando plataformas de terceiros integram funcionalidades de IA (para análise de dados, automação etc.), a organização cliente pode não ter plena visibilidade ou controle sobre como esses recursos funcionam. A pesquisa indica que muitas empresas enfrentam esse desafio: fornecedores estão adicionando IA mais rapidamente do que os clientes conseguem acompanhar. Para mitigar esse risco, 32% das organizações afirmam que sua principal prioridade é reforçar padrões de segurança para fornecedores envolvendo IA, enquanto outros 31% estão focando em treinamentos específicos para suas equipes sobre o impacto da IA embarcada. Essas medidas refletem a consciência de que a IA não monitorada em ferramentas de terceiros pode comprometer tanto a segurança quanto a conformidade se não for devidamente gerida. 

Frameworks formais de governança de IA são fundamentais porque fornecem a estrutura e a responsabilização necessárias para gerenciar riscos de forma consistente. Um framework formal define como a IA é aprovada, monitorada e controlada, garantindo que todos os projetos sigam políticas claras e que riscos de segurança, privacidade e conformidade sejam endereçados de maneira proativa. Isso é relevante porque empresas que adotam esse tipo de framework relatam visibilidade significativamente maior sobre o uso de IA e mais confiança na eficácia de seus controles. Em contraste, a ausência de uma estrutura favorece iniciativas descoordenadas e a emergência de vulnerabilidades ocultas. Com apenas 41% das empresas contando com um framework formal hoje, sua adoção é cada vez mais vista como essencial para manter o uso da IA transparente e seguro. 

Mesmo as melhores ferramentas de IA não são autossuficientes em termos de segurança — é preciso preparar pessoas. Treinar colaboradores e lideranças sobre riscos associados à IA e boas práticas de uso é fundamental para que possam identificar ameaças (como phishing via deepfake ou uso indevido de dados) e seguir as políticas de governança. O levantamento mostra que cerca de um terço das empresas está priorizando a capacitação específica em IA para equipes e executivos como pilar da gestão de riscos. Organizações que combinam ferramentas avançadas de segurança com programas robustos de treinamento conquistam maior visibilidade sobre o uso de IA e maior confiança em suas defesas. Em síntese, pessoas bem treinadas são uma linha de defesa indispensável, garantindo que a adoção da IA ocorra de forma responsável e consciente.