O uso não autorizado de ferramentas de inteligência artificial generativa, prática conhecida como Shadow AI, esteve presente em um a cada cinco vazamentos de dados corporativos registrados em 2025, segundo o IBM Cost of a Data Breach Report 2025. Cada ocorrência associada à IA acrescentou, em média, US$ 670 mil ao prejuízo total dos incidentes.
Falta de controle interno agrava exposição
De acordo com o levantamento da IBM, 97% das organizações afetadas não possuíam controles de acesso adequados, e 63% operavam sem política formal de governança de IA. Outro estudo, o LayerX Enterprise AI and SaaS Data Security Report 2025, mostra que 18% dos funcionários colam rotineiramente conteúdo em plataformas de IA generativa; mais da metade desses casos envolve informações corporativas. A Harmonic Security identificou que cerca de 17% das exposições de dados sensíveis ocorrem por meio de contas pessoais gratuitas, fora do alcance das equipes de TI.
Infraestrutura externa amplia superfície de risco
Modelos genéricos hospedados no exterior processam e, muitas vezes, utilizam para treinamento os prompts e arquivos enviados pelos usuários. Integrações lançadas em 2025 entre ChatGPT, Google Drive, OneDrive e serviços de transcrição de reuniões expandiram o perímetro de risco além do prompt isolado. Em junho de 2025, a vulnerabilidade ShadowLeak, relatada pela Radware, demonstrou que agentes autônomos poderiam ser explorados para extrair dados sem interação visível do usuário. A OpenAI corrigiu a falha em setembro, mas especialistas alertam que novas variações devem surgir.
Choque regulatório e dependência externa
No campo jurídico, a Lei Geral de Proteção de Dados (LGPD) submete informações pessoais à jurisdição brasileira, mas o processamento em servidores estrangeiros pode colocá-las também sob leis de acesso de outros países. O CLOUD Act, dos Estados Unidos, permite ao governo norte-americano exigir dados de provedores sediados no país, mesmo que armazenados fora dele. Organizações de setores regulados — como bancos, hospitais e escritórios de advocacia — que utilizam LLMs públicos ou nuvens estrangeiras acabam arcando, muitas vezes sem perceber, com obrigações legais que não escolheram.
Movimento global por soberania de IA
A preocupação levou governos e empresas a investir em infraestrutura própria. A França certifica há anos provedores nacionais com o selo SecNumCloud; em janeiro de 2026, a Mistral AI captou € 830 milhões em dívida liderada por BNP Paribas, Crédit Agricole, HSBC e MUFG para erguer um data center europeu equipado com cerca de 13.800 GPUs NVIDIA. O Reino Unido criou, em 2025, a Sovereign AI Unit, com aporte inicial de £ 500 milhões. A NVIDIA batizou o segmento de “soberania de IA”, definido como a capacidade de produzir e operar modelos com infraestrutura, dados e mão de obra locais.
Brasil avança devagar no marco legal
No país, o Projeto de Lei 2.338/2023, que institui o marco legal da IA, foi aprovado pelo Senado em dezembro de 2024, mas permanece na Câmara dos Deputados. Enquanto o debate se arrasta, empresas seguem utilizando modelos públicos para processar documentos confidenciais, executar fluxos financeiros e transcrever prontuários, muitas vezes sem mapeamento do destino final dos dados.
Quem controla o botão?
Especialistas ressaltam que a gestão de risco exige domínio das quatro camadas de qualquer sistema de IA em produção: infraestrutura, modelo, framework de orquestração e aplicação. Quem não controla essas camadas depende integralmente do fornecedor — uma fragilidade financeira, jurídica e reputacional em setores altamente regulados.
À medida que a inteligência artificial se consolida nas operações, a pergunta essencial para conselhos de administração e equipes de segurança é: “A IA que a empresa utiliza está sob nosso controle?”
Com informações de Olhar Digital
