IA e seu contexto no Brasil
O uso amplo e abrangente de ferramentas e assistentes de Inteligência Artificial (IA) Generativa, em especial na forma de chats, pode ser considerado uma das maiores revoluções tecnológicas da história. Existe grande potencial para mudanças nas atividades diárias dos usuários e nas relações com o trabalho.
Enquanto discussões sobre regulamentação de IA avançam no Brasil e no mundo, o uso massivo de ferramentas baseadas em IA já é realidade nas empresas. Acreditar que os riscos só surgirão quando houver uma lei em vigor é um erro perigoso. Os impactos — como vazamentos, decisões enviesadas ou violações de privacidade — estão acontecendo agora.
A adoção de IA deixou de ser uma escolha para as empresas, se tornando uma mudança de paradigma em diversos mercados e indústrias, já que permite a automatização de processos manuais, traz aprimoramento para resultados de análises e aumenta a capacidade de performance das equipes.
Implementação Invisível com Riscos Estrondosos
A implementação destas ferramentas poderosas não se dá sem riscos associados. Um importante aspecto da adoção de IA é a figura do Shadow AI. Como seu análogo já mais conhecido Shadow IT, consiste na implementação de aplicações e ferramentas tecnológicas (no caso específico, que utilizem IA) sem o conhecimento ou aprovação das áreas responsáveis pela governança de tecnologia.
Os usuários de cada ambiente empresarial, percebendo as vantagens que pode obter rapidamente ao utilizar um assistente de IA, buscam naturalmente os caminhos mais fáceis para poder usufruir destas aplicações. Com a mesma rapidez e facilidade, poderão instalar ou acessar tais ferramentas em seus ambientes corporativos, sem passar por nenhum processo de homologação ou verificação.
Devido a esta falta de visibilidade dos times de segurança, riscos já conhecidos do uso de GenIA são agravados. Os impactos referentes à exposição de dados sensíveis da companhia, à geração de conteúdo prejudicial e à exfiltração de informações críticas, são amplificados por não contarem com o monitoramento necessário, planos de resposta específicos para os incidentes ou proteção dos dados compartilhados.
Neste contexto, entendendo a vantagem competitiva obtida na adoção de IA, apesar de todos os riscos inerentes a sua implementação, a utilização de ferramentais próprios desenvolvidos para segurança de IA, combinado com estratégia e processos de governança com foco específico para este tipo de aplicação, se tornam imprescindíveis para o desenvolvimento seguro e sustentável das empresas.
Desta forma, quando existir a tentativa de adotar a Shadow AI, burlando a política de segurança estabelecida, o monitoramento ativo irá detectar esta atividade, acionando os times responsáveis de segurança, permitindo a adoção da resposta adequada ao ocorrido, evitando ou mitigando os possíveis impactos.
Estratégia, Prevenção e Respostas – a Governança de IA
Por isso, a atuação preventiva, baseada em governança, políticas claras e monitoramento contínuo, deve começar imediatamente, independentemente da existência ou não de regulação formal. Tendo em vista os movimentos recentes de legislação acerca de tecnologia, tal como a LGPD, fica clara a necessidade de buscar adequação aos novos riscos inerentes a utilização das ferramentas já no princípio de sua adoção. Os custos diretos e indiretos de aguardar a legislação podem inviabilizar o cumprimento da mesma
Empresas de setores como saúde, finanças, seguros, energia e varejo digital — classificadas como organizações de Alta Prioridade: Risco Elevado, Ação Imediata — estão especialmente expostas aos riscos do Shadow AI. Nesses ambientes, o uso não autorizado de ferramentas de IA pode não apenas comprometer a integridade de dados críticos, mas também violar regulações já existentes específicas como LGPD, ANS, Bacen, Susep ou mesmo normas internacionais de compliance e ética em tecnologia.
O impacto do Shadow AI nessas organizações vai além de falhas operacionais: ele atinge diretamente pilares como confiança institucional, reputação de marca e continuidade dos negócios. Por isso, para essas empresas, a governança de IA além de ser uma ação obrigatória, obtém a necessidade de se tornar um componente prioritário da estratégia de risco corporativo.
Além do monitoramento ativo, é fundamental estruturar um modelo robusto de Governança de IA que contemple:
- Mapeamento de casos de uso de IA, formais e informais;
- Identificação de pontos de entrada para Shadow AI, com políticas claras e controles preventivos;
- Treinamento de usuários e líderes, promovendo o uso responsável e seguro da IA;
- Estruturação de um comitê de IA envolvendo as áreas de segurança, tecnologia, jurídico, riscos e negócio;
- Adoção de scorecards e métricas específicas para avaliação contínua de riscos e desempenho dos modelos de IA.
- Verificação de causa Raíz buscando entender por que ocorreu e atuar na solução dos incidentes diagnosticados através do monitoramento contínuo.
Para todas as organizações, a pergunta-chave não é se a IA será usada — mas quem está usando, como, e com quais controles. Ignorar essa resposta é abrir espaço para riscos invisíveis, porém devastadores.
Por Lucas Peixoto, Cientista de Dados, especialista e líder na prática de Governança de Inteligência Artificial na área de Tech Governance da Protiviti e Erick Santos, Gerente Sênior de Tech Governance da Protiviti, especialista em Segurança da Informação e Governança de Identidade, Acessos e Inteligência Artificial.
