Shadow AI não é problema de TI. É problema de programa. E a diferença entre risco e vantagem é uma decisão de governança que a maioria das empresas ainda não tomou.

Esta é a Parte 3 da série Segunda Onda da IA. Na Parte 2: o que muda no organograma quando 100 agentes entram em produção, mostramos como a operação se reorganiza em torno dos agentes.

Existe uma pergunta que nenhum comitê de IA está fazendo, e que deveria estar no topo da pauta. Não é "quando vamos adotar IA?". É "o que já está rodando agora que ninguém aprovou?"

Esse é o território da shadow AI: a IA que a empresa não autorizou, mas que já opera dentro dos seus processos. Entre 40% e 65% dos colaboradores de grandes empresas reportam usar ferramentas de IA não aprovadas pelo departamento de TI. Mais da metade admite inserir dados sensíveis da empresa (informações de clientes, projeções financeiras, processos proprietários) nessas ferramentas não autorizadas. E menos de 20% acredita estar fazendo algo errado. (Trullion, 2025)

A causa não é má-fé, e sim eficiência percebida. A pesquisa Work Reborn 2026, da Lenovo, com 6.000 colaboradores em empresas de grande porte, documentou uma força de trabalho dividida em dois grupos: os que operam com ferramentas gerenciadas pela TI e os que operam por conta própria com ferramentas de consumo. Sete em cada dez colaboradores usam IA pelo menos algumas vezes por semana. 80% esperam aumentar esse uso no próximo ano.

A adoção está acontecendo mais rápido do que as empresas conseguem estruturar. O ponto agora não é constatar que isso ocorre. É decidir o que fazer com o que já está em curso.

O que shadow AI é — e o que não é

Shadow AI é o uso de ferramentas de IA sem aprovação, monitoramento ou envolvimento das equipes de TI, segurança ou jurídico. Em 2026, isso inclui colaboradores usando ChatGPT pessoal para redigir documentos jurídicos, colando dados financeiros de clientes em assistentes de código, processando informações proprietárias em ferramentas de análise de imagem, e construindo agentes de IA não autorizados que automatizam processos de negócio sem nenhum controle de governança. Trullion

O que diferencia shadow AI de shadow IT não é só o tipo de ferramenta. É a escala do risco. Shadow IT era um colaborador usando Dropbox pessoal para compartilhar arquivos. Shadow AI pode ser um agente que acessa CRM, envia comunicações e toma decisões operacionais — sem que ninguém na empresa saiba que ele existe.

O Gartner projeta que até 2030, mais de 40% das empresas vão experienciar incidentes de segurança ou compliance ligados a shadow AI não autorizado. Já em 2025, 69% das organizações suspeitavam ou tinham evidência de que colaboradores usavam ferramentas de IA pública proibidas. E o gasto com governança de IA deve chegar a US$ 492 milhões em 2026 — mais que o dobro em 2030. Allganize

Esses números descrevem o custo de não ter estrutura. Não descrevem o custo inevitável de ter IA na empresa.

Por que proibir não funciona

A reação mais comum quando a liderança descobre shadow AI é criar política de restrição. Proibir o uso de ferramentas não aprovadas, bloquear domínios, exigir aprovação de TI para qualquer nova ferramenta.

A evidência de quem já tentou essa abordagem é consistente: quando empresas forneceram alternativas de IA aprovadas, o uso não autorizado caiu 89%. Quando apenas proibiram, sem oferecer alternativa, os colaboradores continuaram usando — só que de formas menos visíveis. Allganize

A Samsung proibiu ChatGPT depois de um vazamento interno. Meses depois, reverteu a decisão e lançou sua própria ferramenta interna. A lição do shadow IT se aplica diretamente: ferramentas sempre vão superar a política. O foco real precisa ser visibilidade, estrutura e accountability — não bloqueio. Legal.io

O motivo pelo qual proibir não funciona é o mesmo motivo pelo qual shadow AI existe. O prazo médio de procurement de ferramentas de IA em empresas grandes é de 4 a 9 meses — avaliação de fornecedor, revisão de segurança, revisão jurídica, aprovação de deploy. As capacidades das ferramentas evoluem tão rápido que, quando a empresa conclui o processo, a ferramenta aprovada pode já estar desatualizada. Colaboradores veem esse gap e preenchem com o que podem acessar imediatamente. Trullion

Esse gap não é falha dos colaboradores. É estrutura de governança que não foi desenhada para a velocidade da segunda onda.

O caso QuintoAndar: de shadow AI a autonomia estruturada

O QuintoAndar chegou à Tera com um diagnóstico que muitas empresas reconhecem: IA já estava sendo usada de formas dispersas pelo time, com ferramentas variadas, sem padrão, sem visibilidade centralizada. A liderança precisava entender a extensão real do que estava acontecendo antes de decidir como estruturar.

O ponto de partida foi o AI Assessment — mapeamento de maturidade em IA com 1.018 colaboradores. O resultado não foi uma lista de proibições. Foi um report estratégico que consolidou a visão de maturidade por área, identificou onde havia fluência técnica real, onde havia lacunas, e onde estavam as maiores oportunidades de ganho de produtividade.

Com esse mapa em mãos, o QuintoAndar fez o movimento que separa as empresas que governam IA das que apenas reagem a ela: formou lideranças como builders.

O programa AI Builders rodou em 4 a 6 semanas com foco em projetos reais. Os participantes não aprenderam IA em abstrato — construíram soluções para problemas concretos da operação. Os projetos que saíram do programa são a prova de que governança e velocidade não são opostos:

Contestação de PIX via WhatsApp: protótipo com potencial de redução do tempo de análise de 96 horas para 24 horas. O processo existia antes — sem estrutura, cada analista resolvia do jeito que sabia. Com o agente, o workflow ficou auditável, replicável, mensurável.

Avalia AI: solução que automatiza análise de segurança com redução de até 90% no tempo de avaliação — de semanas para horas. Esse é exatamente o tipo de processo que, sem programa estruturado, vira shadow AI: alguém descobre que consegue fazer em horas o que levava semanas, começa a usar uma ferramenta pessoal, e o resultado nunca passa por revisão de compliance.

Automação de e-mails de CRM: redução do ciclo de produção de 5 a 7 dias para 3 a 4 minutos por disparo. Processo que era manual, dependente de pessoas específicas, impossível de auditar — virou workflow documentado dentro da stack aprovada.

O resultado do programa não foi só ROI em projetos. Foi autonomia estruturada: a empresa passou a ter visibilidade do que estava sendo construído, por quem, com quais ferramentas, com quais dados. A IA que antes circulava de forma dispersa passou a operar dentro de uma arquitetura que a liderança conhece e consegue expandir.

A estrutura de governança que funciona

Shadowl AI não se resolve com bloqueio nem com política de 50 páginas que ninguém lê. Apenas 37% das organizações têm políticas de governança de IA — o que significa que 63% operam sem nenhuma guardrail. Allganize

O que a evidência aponta como eficaz tem três camadas.

Diagnóstico antes da política. Antes de decidir o que proibir ou aprovar, a empresa precisa saber o que está rodando. Isso não é auditoria punitiva — é mapeamento estratégico. Quais ferramentas o time está usando? Em quais processos? Com quais dados? Esse mapa é o que permite tomar decisões informadas sobre onde colocar guardrails e onde abrir espaço para inovação. Foi o que o QuintoAndar fez primeiro.

Classificação de ferramentas em três tiers. O framework recomendado pela Cloud Security Alliance organiza ferramentas em: totalmente aprovadas (sem restrições além do tratamento padrão de dados), uso limitado (aprovadas com regras específicas de tratamento), e proibidas (alto risco ou não-compliance). Essa classificação substitui a política de "tudo proibido até aprovação" por uma estrutura que dá ao colaborador um caminho claro. Allganize

Alternativa antes da restrição. Quando empresas fornecem alternativas aprovadas de IA, o uso não autorizado cai 89%. Isso não é dado de tendência — é o mecanismo central da governança que funciona. A empresa que estrutura a alternativa controla o dado. A que só proíbe perde visibilidade. Allganize

A leitura para quem está decidindo agora

Shadow AI não é o problema. É o sintoma.

O problema é a distância entre o que os colaboradores conseguem fazer com IA e o que a empresa está estruturada para governar. Quanto maior essa distância, maior o risco — de vazamento de dado proprietário, de output sem audit trail, de decisão operacional tomada por agente que ninguém aprovou.

A segunda onda da IA não chegou pedindo licença. Ela já está dentro da empresa — nos processos de RH que alguém automatizou com Zapier, no agente de CRM que o time de vendas montou no fim de semana, na análise de contrato que o jurídico está fazendo com conta pessoal de ChatGPT.

Segundo o relatório CX Trends 2026 da Zendesk, o uso de shadow AI em algumas indústrias cresceu 250% ano a ano. E 93% dos líderes que adotaram ferramentas de IA sancionadas concordam que isso ajuda os colaboradores a ficarem confortáveis com IA e seus casos de uso avançados — em vez de direcioná-los para alternativas não autorizadas e arriscadas. Expertsystem

A janela de governança está aberta. Quem mapeia agora decide como a IA opera na empresa. Quem espera descobre mais tarde o que já estava rodando — e precisa reagir em vez de estruturar.

Conheça o Tera Empresas e acelere a sua adoção de IA com mais eficiência.