Tenho assistido a isso acontecer em organizações reais e, honestamente, está meio confuso neste momento.

A sua equipa de marketing está a colocar dados de clientes no ChatGPT gratuito. Os seus engenheiros estão a colar código proprietário em debuggers de IA aleatórios. E ninguém informa o departamento de TI. Os estudos mostram que 71% dos funcionários fazem isso, e 57% estão ativamente a esconder isso das equipas de segurança.

Aqui é o que me mantém acordado: não é malícia. Essas pessoas estão apenas a tentar trabalhar mais rápido. O problema é que as ferramentas de IA gratuitas operam num modelo completamente diferente do software empresarial. Quando colas dados na versão gratuita, não estás apenas a obter ajuda—estás a alimentar a linha de treino. Esse código, essa lista de clientes, esse documento de estratégia? Agora faz parte dos pesos do modelo. Não podes apagá-lo. Não podes esquecer o que aprendeste.

Lembras-te da Samsung em 2023? Engenheiros colaram código fonte sensível no ChatGPT para otimizá-lo. Esse código foi absorvido nos dados de treino. Acabou.

Mas aqui é onde piora. Se a tua equipa processar dados de clientes europeus através de uma ferramenta de IA baseada nos EUA sem os acordos adequados, provavelmente estás a violar o GDPR agora mesmo. E quando os funcionários usam IA não verificada para gerar relatórios ou entregas a clientes e o modelo simplesmente... inventa coisas? De repente, estás a lidar com informações falsas apresentadas como factos aos clientes. Isso não é apenas um problema técnico—é um desastre de reputação à espera de acontecer. A IA não distingue entre precisão e ficção, e nem as pessoas que a usam.

A verdadeira questão é o que eu chamo de lacuna de governação. Proibir essas ferramentas não funciona. Apenas empurra o uso para o underground. É preciso uma abordagem diferente.

Tecnicamente, é possível detectar parte disso. Monitorização de DNS captura tráfego para OpenAI, Anthropic, Midjourney. Regras de DLP podem sinalizar quando código ou PII é colado em interfaces de chat. Mas o melhor detector? As suas pessoas. Elas vão dizer o que estão a usar, se não tiverem medo de punições.

Aqui está um quadro que realmente funciona:

Primeiro, publique uma lista clara de permissões/blocos. Seja honesto se ainda não tiver ferramentas aprovadas. Implemente regras de DLP para domínios de alto risco. Envie um memorando da liderança dizendo que a IA é útil, mas ferramentas gratuitas são perigosas.

Segundo, crie uma política formal com três níveis: Permitir (ferramentas empresariais aprovadas), Monitorizar (ferramentas de baixo risco para dados não sensíveis), Negar (ferramentas que treinam com os seus dados ou que não têm padrões de segurança). Treine as equipas sobre o que importa para o seu papel.

Terceiro, implemente controlos no navegador para restringir domínios de IA não autorizados. Considere gateways de IA que possam redigir PII em tempo real antes de os dados chegarem ao fornecedor do modelo.

Quarto, crie uma equipa de governação de IA que se reúna regularmente para rever novas ferramentas e riscos. Facilite aos funcionários a solicitação de novas ferramentas para que a governação não seja um gargalo.

Mas aqui está o ponto: nada disto funciona se não deres às pessoas algo melhor. Elas usam ferramentas gratuitas porque funcionam. Porque são convenientes.

O modelo BYOK é interessante aqui. Bring Your Own Key significa que a tua organização compra acesso direto à API de fornecedores como OpenAI ou Anthropic, e depois conecta numa plataforma que dá aos funcionários uma interface única para aceder a múltiplos modelos. Controlas a chave API, assim os dados fluem sob os teus termos. Sem treino com os teus dados. Visibilidade total. Conformidade total.

É assim que realmente se combate a IA sombra. Não proibindo—fazendo do caminho seguro o caminho mais fácil.

Os funcionários que colam dados no ChatGPT não estão a tentar vazar propriedade intelectual. Estão a tentar fazer o seu trabalho. O problema não é desobediência—é que o mercado está a mover-se mais rápido do que a aquisição empresarial. Corrige isso, e corriges o risco.