Shadow AI: o risco de compliance que ninguém está monitorando

ComplianceControles internosShadow AI

Shadow AI: o risco de compliance que ninguém está monitorando

Funcionários já estão usando ferramentas de inteligência artificial no trabalho, o problema é que, na maioria dos casos, a área de TI não sabe quais são essas ferramentas.

 

Introdução

Provavelmente tem alguém no jurídico colando contratos no ChatGPT. Alguém no RH resumindo documentos com alguma IA gratuita. Alguém no financeiro usando um plugin de planilha com IA embutida que foi instalado sem passar pelo seu time.

Uma pesquisa da WalkMe, empresa do grupo SAP, mostrou que 78% dos funcionários usam ferramentas de IA que não foram fornecidas pela empresa e o nome técnico para isso é Shadow AI, ou seja, o uso de IA fora do radar do TI.

 

O problema

O risco aqui vai além de um funcionário usando uma ferramenta não homologada. O ponto é o que acontece com os dados que entram nessas ferramentas.

Informações de clientes, dados financeiros, documentos internos e contratos podem estar sendo processados por plataformas externas sem qualquer controle sobre armazenamento, uso ou compartilhamento desses dados.

Com o PL 2338/2023, o Marco Regulatório de IA aprovado pelo Senado e atualmente em tramitação na Câmara, as obrigações sobre rastreabilidade e uso responsável de IA estão se tornando concretas para empresas brasileiras. O que hoje é uma lacuna operacional pode virar, em breve, uma exposição jurídica.

 

O que falta na maioria das empresas

O problema ficou invisível por tempo demais.

As ferramentas de Shadow AI não aparecem nos logs tradicionais. Elas não passam pelo processo de aquisição de software. Chegam pelo navegador, por extensões, por aplicativos gratuitos que qualquer pessoa instala sozinha.

Sem um inventário ativo de IA em uso, o gestor de TI está gerenciando um risco que não consegue ver.

 

Por onde começar

O primeiro passo é mapear o que já existe — isso inclui levantar quais ferramentas de IA estão sendo usadas por área, quais têm acesso a dados sensíveis e quais nunca passaram por qualquer avaliação de segurança. Depois disso, é possível criar critérios mínimos para aprovação, bloqueio ou monitoramento contínuo dessas ferramentas.

Não é um processo que resolve em um dia, mas começa com visibilidade.

 

Conclusão

Empresas que já trabalham com governança estruturada saem na frente nesse cenário. Com a Gopliance, é possível mapear os sistemas de IA em uso, registrar evidências de monitoramento e manter o controle operacional que uma auditoria ou uma fiscalização do Marco Regulatório vai exigir.

Quem não tiver esse histórico documentado vai ter dificuldade em provar que agiu com responsabilidade.

Se a sua área de TI ainda não mapeou o uso de IA na empresa, a hora de começar é agora.

Este campo é para fins de validação e não deve ser alterado.

Conteúdos relacionados