Por Tiago Amor, CEO da Lecom
Dia típico de um colaborador: abrir o notebook, responder e-mails, consultar uma planilha e em algum momento recorrer ao ChatGPT (ou a outras IA públicas) para auxiliá-lo no trabalho. Até aí, nada “anormal”. O risco começa quando ele cola trechos de contratos, propostas, códigos, prints de sistemas, dados de clientes ou outras informações sensíveis em chatbots públicos, fora das políticas de governança e compliance.
Geralmente isso acontece sem aval formal da diretoria, da TI ou das áreas de segurança. Nem sempre por má-fé, mas muitas vezes por desconhecimento dos riscos.
A prática é mais comum do que parece. Uma pesquisa da Microsoft no Reino Unido indicou que três em cada quatro profissionais admitem usar ferramentas de IA no trabalho sem aprovação do empregador. Quando esse comportamento se normaliza, o “copiar e colar no Chat” vira um novo ponto de vazamento, e casos reais já mostraram o tamanho do problema.
Samsung: o vazamento de dados no ChatGPT que virou alerta global
Em 2023, a Samsung se tornou o caso mais emblemático desse tipo de vazamento. Veio a público que funcionários inseriram informações sensíveis no ChatGPT para acelerar tarefas do dia a dia, incluindo trechos de código e dados internos. A reação foi imediata, com restrições de uso e um debate sobre o risco de inserir informações sensíveis em IAs públicas.
Diante do caso, tudo o que é enviado a um chatbot público deve ser tratado como potencialmente exposto ao risco de vazamento, porque pode haver armazenamento, análise e tratamento dos dados conforme termos e configurações do serviço (não só do ChatGPT, como também Gemini, Copilot e outras IAs).
Isso é diferente em empresas que possuem políticas de governança para IA, e que oferecem controle de dados, auditoria, gestão de acesso e compromissos de não treinar modelos com informações sensíveis do cliente.
Shadow AI cresce nas empresas: o que é e como acontece
Esse cenário de vazamento de dados em chatbots públicos é parte de um fenômeno maior: Shadow AI, a prática de uso não autorizado de ferramentas de IA por funcionários sem aprovação e supervisão formal de TI, segurança e compliance.
Uma pesquisa do Gartner com 302 líderes de cibersegurança apontou que 69% das organizações suspeitam ou têm evidências de que colaboradores usam GenAI pública proibida, e projeta que até 2030 mais de 40% das empresas enfrentarão incidentes de segurança ou conformidade ligados a Shadow AI não autorizada.
Na prática, a exposição acontece em atividades simples do trabalho, como:
- colar e-mails de clientes e ajustar respostas;
- inserir cláusulas contratuais e resumir em linguagem simples;
- subir planilhas e interpretar variações;
- enviar logs ou trechos de código e depurar falhas;
- colar partes de playbooks e rotinas operacionais e estruturar processos.
Somadas ao longo do tempo, essas ações podem revelar estratégia comercial, margens e políticas de preço, cláusulas sensíveis, base de clientes, histórico de atendimento, arquitetura de sistemas e rotinas críticas de operação. É uma exposição silenciosa, diária e cumulativa, justamente a mais difícil de detectar e a mais perigosa para o negócio.
Como identificar e reduzir o risco de Shadow AI
Alguns sinais típicos de uso não governado de IA (Shadow AI) aparecem em: respostas excessivamente padronizadas em e-mails e documentos, sem trilha de revisão; análises sofisticadas surgindo sem histórico (ou sem dados internos explicando o raciocínio); mudanças bruscas de estilo e vocabulário em entregas; e aumento repentino de produtividade sem evidência de decisão, validação ou revisão.
Esses sinais não são prova, mas são bons indicadores de onde investigar. Curiosamente, algumas empresas descobrem mais por meio de diagnóstico interno do que apenas por ferramenta de segurança, com questionários anônimos bem estruturados que costumam revelar quais IAs são usadas, para quais tarefas, que tipo de dado é inserido e em qual ambiente. Esse mapeamento costuma ser o primeiro passo para transformar uso “clandestino” em governança real.
Do ponto de vista de prevenção, o caminho mais efetivo normalmente combina quatro frentes:
- Política clara e executável: definir e divulgar o que pode e o que não pode ser feito com ajuda da IA;
- Capacitação e orientação prática: treinar times sobre risco, LGPD e propriedade intelectual, e fornecer guias de uso seguro, com exemplos de prompts permitidos, técnicas e boas práticas (ex.: nunca colar dados identificáveis de clientes, contratos, credenciais, prints de sistemas, etc.).
- IA privada, não pública: disponibilizar um ambiente aprovado para produtividade com IA (contas corporativas, controles de acesso, retenção, auditoria, e garantias contratuais de proteção de dados), para que o colaborador não precise recorrer à conta pessoal.
- Controles técnicos proporcionais: criar bloqueios seletivos, monitoramento por risco, trilhas de auditoria e regras específicas para upload/cópia de conteúdo sensível.
Em resumo, proibir tende a empurrar o uso para a informalidade, o que costuma aumentar a Shadow AI em vez de reduzi-la. O caminho mais efetivo é investir em governança e segurança, oferecendo orientação e controles em plataformas robustas.
Assim, a produtividade não precisa ser inimiga da proteção: ela opera dentro de limites claros, com menos exposição e mais previsibilidade.
Imagem: https://br.freepik.com/fotos-gratis/bate-papo-ai-aberto-no-laptop_38259334.htm
