Shadow AI: 63% das empresas sem política viram alvo do PL 2338

A escala do problema no Brasil

O cenário brasileiro ilustra bem a distância entre adoção e controle. Uma pesquisa do Gartner com 302 líderes de cibersegurança, divulgada em 10 de novembro de 2025, revelou que 69% têm evidências ou suspeitas de que funcionários usam IA generativa pública no trabalho sem autorização. O mesmo estudo projeta que mais de 40% das organizações globais sofrerão incidentes de segurança e conformidade decorrentes de ferramentas de IA não autorizadas até 2030.

Os números internos confirmam o que o comportamento externo já sinalizava. Segundo o IBM Cost of a Data Breach Report 2025, 63% das organizações não possuem políticas de governança para gerenciar ou evitar a proliferação de Shadow AI. Entre as que já registraram incidentes relacionados à IA, 97% não tinham controles de acesso adequados no momento da violação. É uma combinação que merece atenção: adoção acelerada de um lado, estrutura de controle praticamente inexistente do outro.

O custo quando o risco se materializa

A ausência de controle tem preço. Violações de dados no Brasil custaram, em média, R$ 7,19 milhões em 2025, alta de 6,5% sobre o ano anterior, segundo o IBM CoDB 2025. Nos setores com maior densidade de dados sensíveis, o impacto é maior: saúde registrou média de R$ 11,43 milhões por incidente, patamar que transforma qualquer lacuna de governança em ameaça direta à continuidade operacional.

O agravante do Shadow AI nesse cálculo é direto. Organizações que não utilizam IA e automação extensivamente em segurança registraram custo médio de R$ 8,78 milhões por violação, contra R$ 6,48 milhões nas que adotam essas tecnologias de forma ampla, segundo o mesmo relatório da IBM. A diferença de R$ 2,3 milhões por incidente mostra que o que não é monitorado não só não pode ser gerenciado: já está sendo cobrado.

O que o PL 2338/23 muda para o CIO?

O PL 2338/2023, aprovado por unanimidade pelo Senado Federal em 10 de dezembro de 2024 e em tramitação na Câmara dos Deputados, muda o cálculo de forma estrutural para a TI corporativa.

O texto adota modelo de classificação por risco, inspirado no AI Act europeu. Sistemas de IA de alto risco, que incluem ferramentas usadas em recrutamento, análise de crédito, saúde e serviços públicos essenciais, terão obrigações severas: Avaliação de Impacto Algorítmico (AIA) prévia, governança documentada com logs e auditorias, supervisão humana efetiva sobre decisões e transparência sobre o funcionamento do sistema. Para sistemas generativos e de propósito geral, a avaliação preliminar de risco será obrigatória antes da disponibilização no mercado.

O ponto crítico é que o PL atribui responsabilidade formal aos agentes que desenvolvem, fornecem ou aplicam sistemas de IA. Shadow AI, uso fora dos controles da TI, não elimina a responsabilidade da organização. Elimina apenas a capacidade de demonstrar conformidade. A diferença, no contexto do novo marco legal, é precisamente o que separa uma auditoria de uma sanção.

Governança, fiscalização e sanções

O projeto cria o SIA, Sistema Nacional de Regulação e Governança de Inteligência Artificial, estrutura de fiscalização coordenada pela ANPD (Autoridade Nacional de Proteção de Dados), com participação de reguladores setoriais como Banco Central, ANVISA e ANATEL. Não é um órgão novo criado do zero: é a ANPD assumindo papel ampliado, com competência normativa, regulatória e sancionatória sobre o uso de IA em atividades econômicas sem regulador setorial específico.

As sanções previstas não são simbólicas. Infrações às normas do PL podem resultar em multa simples de até 2% do faturamento bruto do grupo, com teto de R$ 50 milhões por infração, e reincidência dobra o valor. O espectro vai de advertência à suspensão parcial ou total do sistema, temporária ou permanente. O framework é severo o suficiente para transformar Shadow AI de risco de TI em risco de negócio com impacto direto no balanço.

"Há uma lacuna preocupante entre a rápida adoção de IA e a falta de governança e segurança adequadas, e os agentes maliciosos estão explorando esse vácuo", disse Fernando Carbone, Security Services Partner da IBM Consulting na América Latina, no relatório CoDB 2025.

Como se preparar para o novo cenário?

O PL 2338/2023 segue em análise na Câmara dos Deputados, com expectativa de sanção em 2026 e vacatio legis de até 24 meses prevista no texto atual para adequação à maioria dos dispositivos, prazo sujeito a alteração. A janela existe. Quem a usa bem chega ao novo marco com estrutura. Quem espera chega com urgência.

A resposta ao Shadow AI raramente começa por proibição. O primeiro passo é visibilidade: mapear quais ferramentas de IA estão em uso, por quais áreas e com qual tipo de dado. Sem esse diagnóstico, qualquer política de uso aceitável opera no escuro. O segundo é classificação de risco por ferramenta e caso de uso, identificando onde a exposição é maior antes de construir controles. O terceiro é formalizar política de uso aceitável com critérios claros, ferramentas homologadas e alternativas oficiais que reduzam a demanda por soluções externas.

Os números confirmam o que a lógica já indicava. Organizações brasileiras com uso extensivo de IA e automação em segurança registraram custo médio de violação de R$ 6,48 milhões, contra R$ 8,78 milhões nas que ainda operam sem esse controle, segundo o IBM CoDB 2025. A diferença de R$ 2,3 milhões por incidente não é argumento de conformidade. É argumento de negócio. O PL 2338/23 vai tornar a governança de IA obrigatória, mas quem esperar a lei para começar já chegará atrasado.