Releases

O número não deixa margem para dúvida: a empresa média registra 223 incidentes de violação de políticas de dados relacionados à inteligência artificial generativa por mês. É o que revela o mais recente Cloud and Threat Report da Netskope, publicado em janeiro deste ano com base em telemetria de milhões de usuários corporativos ao redor do mundo. O dado mais perturbador, porém, não é o volume, mas sim é a velocidade: esses incidentes mais que dobraram em relação ao ano anterior. No Brasil, onde a adoção de IA em empresas saltou de 20% para 51% em apenas doze meses, o fenômeno já tem nome e dimensão própria: shadow AI.

O mecanismo é simples e quase universal. O funcionário tem uma tarefa: redigir um relatório, revisar um contrato, depurar um código, resumir as notas de uma reunião, e encontra nos sistemas internos uma experiência lenta, truncada, sem inteligência. No mesmo navegador, o ChatGPT está a dois cliques de distância, responde em segundos e entrega resultados que impressionam. Ele não hesita. Cola o texto, sobe o documento, digita o prompt. O dado saiu do perímetro corporativo, mas a tarefa foi feita. Para a empresa, é um incidente de segurança que provavelmente nunca será registrado.

Uma pesquisa realizada pela Harmonic Security, e divulgada em janeiro passado, detalhou o que exatamente vai para esses prompts: dados jurídicos e financeiros (30,8% dos casos), informações de clientes (27,8%), dados pessoais de titulares (14,9%), registros de funcionários (14,3%) e código-fonte sensível (10,1%). Desses dados, 79% fluem para o ChatGPT, sendo 21% para a versão gratuita, na qual os prompts podem ser retidos para treinamento do modelo.

O Microsoft/LinkedIn Work Trend Index, que ouviu mais de 31 mil profissionais em 31 países incluindo o Brasil, mostrou que 75% dos trabalhadores do conhecimento já usam IA generativa no trabalho, e 78% deles trazem suas próprias ferramentas, sem aprovação da TI. A mesma pesquisa calculou que 68% dos profissionais se sentem sobrecarregados pelo volume de trabalho.

Para o executivo brasileiro, o peso regulatório dessa dinâmica não pode ser subestimado. Quando um funcionário insere dados pessoais de clientes em uma ferramenta de IA pública, configuram-se simultaneamente a transmissão a terceiro, a potencial transferência internacional de dados e o descumprimento do princípio de segurança previsto no Art. 46 da LGPD. A responsabilidade, nos termos do Art. 42, recai sobre o controlador, no caso a empresa. Não importa que tenha sido iniciativa individual de um empregado. A ANPD, que em 2025 foi elevada ao status de autarquia especial com poderes ampliados de fiscalização, já demonstrou disposição para agir: bloqueou preventivamente o uso de dados pessoais para treinamento de IA por uma das maiores plataformas sociais do mundo e investiga, no Brasil, a responsabilidade de outra empresa global por vazamento de dados de usuários de ferramenta de IA. As sanções administrativas podem chegar a 2% do faturamento anual, limitadas a R$ 50 milhões por infração por incidente.

O quadro se agrava quando se observa o que o IBM Cost of Data Breach Report 2025 apurou em 600 organizações globais: violações originadas em shadow AI custam, em média, US$ 670 mil a mais que os demais incidentes – US$ 4,63 milhões versus US$ 3,96 milhões. E 97% das organizações que sofreram violações em modelos ou aplicações de IA relataram ausência de controles de acesso adequados.

Proibir não resolve o problema

Em muitos casos, a resposta instintiva de gestores de TI e segurança é a proibição. Bloqueio de domínios, políticas de uso aceitável mais restritivas, punições disciplinares. O problema é que os dados mostram que essa abordagem não funciona, e às vezes piora a situação.

O Cisco 2024 Data Privacy Benchmark Study, conduzido com 2.600 profissionais de segurança e privacidade em 12 países, revelou que 27% das organizações baniram totalmente ferramentas de IA generativa. Ainda assim, 48% dos funcionários dessas mesmas empresas admitiram ter inserido informações não públicas nessas ferramentas. O Gartner projeta que, até 2027, 75% dos funcionários adquirirão, modificarão ou criarão tecnologia fora do campo de visão da TI corporativa.

A saída começa por um diagnóstico transparente: se os funcionários usam ferramentas não autorizadas, é porque as ferramentas autorizadas não entregam o mesmo resultado. A resposta, portanto, não é tirar o acesso, mas sim oferecer algo melhor. E "melhor", neste contexto, significa uma IA que conhece os dados da empresa, responde com a profundidade do conhecimento interno e opera sem que nenhuma informação sensível saia do perímetro corporativo.

A arquitetura que torna isso viável em escala é o RAG (Retrieval-Augmented Generation). Em vez de confiar apenas no conhecimento geral do modelo de linguagem, o RAG conecta o modelo à base documental da própria empresa: contratos, manuais, bases de conhecimento, histórico de projetos, políticas internas.

Quando o usuário faz uma pergunta, o sistema recupera os trechos mais relevantes desse acervo e os passa como contexto ao modelo, que gera uma resposta fundamentada nos dados reais da organização. O dado nunca é enviado a servidores externos, e o processamento ocorre dentro do ambiente controlado, seja em nuvem privada, seja em infraestrutura on-premise. O mercado de RAG corporativo, que já superava US$ 1,9 bilhão em 2025, deve se aproximar de US$ 10 bilhões até o final da década.

Esse modelo técnico precisa ser complementado por uma camada de DLP (Data Loss Prevention), integrada diretamente ao fluxo de uso de IA. As soluções mais avançadas hoje inspecionam prompts em tempo real, antes que o dado chegue a qualquer modelo externo, alertando o usuário ou bloqueando a transmissão quando detectam padrões de risco: CPFs, dados financeiros, propriedade intelectual, credenciais de acesso.

Plataformas de segurança de rede já rastreiam mais de 1.500 aplicações de IA generativa e oferecem coaching em tempo real que redireciona o funcionário para ferramentas aprovadas. A taxa de detecção dessas soluções de nova geração supera 90%, contra 5% a 25% dos sistemas DLP legados baseados em expressões regulares.

A adoção controlada de IA, com ferramentas aprovadas, arquitetura segura e DLP integrado, reduz o uso não autorizado em até 89%, segundo estudos setoriais recentes. O número não é surpresa para quem entende a lógica do comportamento humano: as pessoas buscam o caminho mais fácil para realizar uma tarefa. Quando a empresa oferece uma IA interna que é mais precisa, mais contextualizada e mais segura do que a alternativa pública, o funcionário não tem motivo para sair do ambiente controlado.

O risco de shadow AI não é, no fundo, um problema de tecnologia. É um problema de governança que se manifesta como risco tecnológico, regulatório e financeiro ao mesmo tempo. Para o C-level brasileiro, a pergunta que precisa ser respondida agora não é se os funcionários estão usando IA generativa fora dos canais autorizados – a resposta para isso já existe e é praticamente universal. A pergunta que importa é outra: a empresa está oferecendo uma alternativa à altura? Enquanto essa resposta for não, os 223 incidentes mensais continuarão sendo, na maioria das organizações, completamente invisíveis.

Sobre a Selbetti Tecnologia

A Selbetti Tecnologia é a maior One-Stop-Tech do Brasil, proporcionando um ecossistema completo de soluções para acelerar a transformação digital das empresas. Com quase 50 anos de história e um time de mais de 2,2 mil profissionais, a empresa atua como um hub de tecnologia que conecta automação, infraestrutura, inteligência artificial e experiência digital e física para impulsionar a eficiência e o crescimento dos negócios.

A Selbetti oferece soluções tecnológicas integradas que transformam operações e aumentam a competitividade das empresas, a partir de um ecossistema estruturado em oito unidades de negócios, cobrindo de forma estratégica as necessidades do mercado de tecnologia. Conheça:

Selbetti Print Solutions: entrega gestão inteligente de impressão, com soluções de outsourcing e monitoramento de parques de impressão, garantindo mais eficiência e controle para as empresas;

Selbetti IT Devices: atua no gerenciamento completo do ciclo de vida de dispositivos de TI, oferecendo locação de notebooks, desktops, smartphones e demais ativos. Além disso, disponibiliza portaria virtual, central de monitoramento e venda de equipamentos seminovos, unindo tecnologia, sustentabilidade e segurança para ambientes corporativos;

Selbetti Label Solutions: unidade de negócios que se destaca em captura automática de dados e identificação (AIDC), combinando fabricação de etiquetas, fornecimento de hardware e suprimentos para rastreabilidade e logística, garantindo mais eficiência operacional;

Selbetti Process Solutions: transforma a gestão documental e a automação de processos, com um portfólio modular que inclui RPA, assinatura digital e eletrônica, sistema de cobrança bancária e inteligência na digitalização de documentos, tornando os fluxos empresariais mais ágeis e inteligentes;

Selbetti IT Solutions: fortalece a infraestrutura tecnológica das empresas, garantindo segurança, confiabilidade e escalabilidade com soluções de cibersegurança, fieldservice, servidores, cloud, data science e inteligência artificial;

Selbetti Customer Experience: revoluciona o atendimento ao cliente (CX) com uma plataforma omnichannel completa, que integra chat e voicebots, URA, discador automático, monitoria de qualidade e inteligência artificial, proporcionando uma comunicação fluida e automatizada;

Selbetti Retail Experience: transforma a experiência no varejo, oferecendo soluções de cartazeamento, gestão de ofertas, rádio indoor e retail media networks, além de etiquetas impressas e eletrônicas que personalizam e otimizam a jornada do consumidor no ponto de venda;

Selbetti Business Consulting: oferece consultoria estratégica de TI, auxiliando empresas na gestão de projetos e processos, segurança da informação e transformação digital. Além disso, atua na alocação de profissionais especializados, como gestores de projeto (GP) e desenvolvedores (DEV), garantindo excelência na execução de iniciativas tecnológicas;

Selbetti Data & AI Solutions: apoia empresas na transformação de dados em ativos estratégicos de negócio, com foco em governança, qualidade da informação, analytics avançado e uso responsável da inteligência artificial. A área atua desde a organização e padronização dos dados até a aplicação de modelos analíticos e soluções de IA alinhadas às necessidades do negócio e às exigências regulatórias;

Selbetti Cybersecurity Solutions: atua de forma integrada em segurança da informação, privacidade de dados e operações de cibersegurança, apoiando empresas na identificação de riscos, proteção de ambientes digitais, detecção de ameaças e resposta a incidentes, com foco em governança, continuidade operacional e resiliência digital.

Fundada em 1977, a Selbetti carrega a inovação no DNA. A missão da empresa vai além da tecnologia, e conecta pessoas, dados e inovação para transformar desafios em oportunidades e acelerar o futuro das empresas. Com um olhar voltado para o amanhã, a Selbetti segue expandindo sua atuação, e consolidando sua posição como um dos principais vetores de inovação no Brasil.

Conheça mais sobre a Selbetti Tecnologia