Governança de IA: os 80% invisíveis

O restante está rodando agora mesmo, enquanto você lê isso.

Em extensões de navegador que ninguém aprovou. Em contas pessoais de ChatGPT, Claude e Gemini. Em automações montadas por algum colaborador criativo que resolveu o problema sozinho, sem passar pelo TI e sem avisar ninguém.

Ninguém mapeou. Ninguém auditou. E a empresa acredita que tem uma estratégia de governança de IA.

O framework oficial cobre as ferramentas que o TI aprovou em reunião - mas a atividade real do time não passa por ali. Ela passa pelo browser pessoal do colaborador, pelo Zapier da conta dele, pelo workflow de prompts que ele construiu na conta free que a empresa nem sabe que existe.

Não é resistência cultural. É adaptação. O time está usando IA porque precisa, com ou sem permissão, e esse é exatamente o nó do problema.

Enquanto a empresa debate política de uso aceitável, a Shadow AI já está em produção. Dados sensíveis sendo processados em contas pessoais. Decisões de negócio baseadas em outputs que ninguém validou. Processos críticos dependendo de automações que somem quando o colaborador pede demissão.

O risco de governança não mora no que a empresa aprovou. Mora no que ela não sabe que está rodando.

Me conta nos comentários: o que o TI aprovou como ferramenta de IA na sua empresa e o que o time realmente usa no dia a dia? Quero ver o tamanho real desse gap.