Shadow AI: a IA que já está na sua empresa sem pedir autorização.

Ela já entrou

Muitas organizações ainda estão a discutir se vão adotar inteligência artificial. Mas, na prática, ela já entrou: pelo browser, pelo telemóvel, pelas extensões, pelas ferramentas que as equipas usam para ganhar tempo.

Um colaborador resume uma reunião. Outro carrega um contrato para "dar uma olhadela". Outro pede ajuda para rever código. Outro cola dados de clientes para gerar uma resposta mais depressa. Tudo com boa intenção — e sem regras, sem controlo e, muitas vezes, sem consciência do risco. A isto chama-se Shadow AI.

O problema para quem gere não é apenas "bloquear ferramentas". É responder a perguntas básicas: que dados estão a ser usados? Em que plataformas? Por quem? Com que finalidade? Com que impacto para a organização?

A próxima vaga: agentes que fazem coisas

E o tema está a subir de nível. A próxima vaga de IA nas empresas não será feita apenas de chatbots — será feita de agentes: sistemas autónomos que recebem pedidos, interpretam contexto, consultam sistemas, executam tarefas e acionam fluxos. Plataformas de agentes autónomos já permitem ligar a IA diretamente ao ERP, ao email, aos ficheiros da empresa.

Isto já não é "usar IA". É integrar novos atores dentro da organização. E levanta a pergunta crítica: esses agentes estão governados — ou apenas ligados aos sistemas?

O que começa a acontecer na prática: agentes com acesso a dados sensíveis, integrações diretas com sistemas internos, automações que executam ações sem validação humana, ausência de registos claros sobre o que foi feito, dificuldade em explicar decisões tomadas pela IA. Se não se consegue explicar o que o sistema fez, que dados utilizou, quem o configurou e que impacto teve — existe um problema de governação. IA sem controlo não é inovação: é risco amplificado. Porque, ao contrário de um utilizador humano, atua em escala e velocidade.

Governar em vez de proibir

A resposta não é proibir — quem proíbe sem alternativa só empurra o uso para mais fundo na sombra. A resposta é governar:

• Visibilidade primeiro: levantar que ferramentas de IA já estão em uso e com que dados;
• Regras claras: uma política de uso de IA — o que pode, o que não pode, o que nunca se cola numa ferramenta externa;
• Alternativas aprovadas: dar à equipa ferramentas seguras para as mesmas tarefas;
• Controlo dos agentes: permissões, validação humana onde importa, registos de tudo;
• Um sistema de gestão: é aqui que entra a ISO/IEC 42001 — a norma que ajuda a criar políticas, objetivos, processos e melhoria contínua para a utilização responsável da IA.

Porque a IA não pode ser tratada apenas como inovação. Tem de ser tratada como governação, como risco, como segurança, como responsabilidade — exatamente as áreas que regimes como a NIS2 já exigem que a gestão domine.

Na VCGL vivemos os dois lados deste tema: construímos agentes de IA (com regras, permissões e rastreabilidade) e ajudamos empresas a governar a IA que já usam. A pergunta com que vale a pena sair deste artigo: a sua empresa sabe como a IA está a ser usada — hoje?