A narrativa de que os funcionários mais jovens é que usam Shadow AI nas empresas caiu por terra: um white paper da TrustedTech com a Censuswide revela que 65% dos tomadores de decisão seniores usam ferramentas de IA não aprovadas pela organização. É mais que o dobro dos 31% registrados entre colaboradores sem cargo de decisão. No topo da hierarquia, o número chega a 72,8% entre executivos C-level. Diretores registram 68,5%. Gestão sênior, 65,7%. Donos de negócios, 65,5%. Gestão intermediária, 57,6%. A curva desce à medida que cai o cargo, chegando a 36,1% no nível de entrada e 28% no intermediário.
O mesmo padrão aparece no relatório “AI Agents at Work 2026”, produzido pela Okta em parceria com a Apprize360 a partir de entrevistas com 292 executivos e 492 trabalhadores do conhecimento em sete países. Mais da metade (52%) dos funcionários admitem usar ferramentas de IA sem aprovação, sendo que quase um quarto (24%) o faz regularmente. Nos Estados Unidos, esse número sobe para dois terços (67%) da força de trabalho.
A inversão é relevante porque muda o diagnóstico e, consequentemente, a prescrição. Quando os maiores usuários de Shadow AI são as lideranças, a abordagem de comando e controle não apenas falha, ela se torna literalmente incoerente. No white paper “Shadow AI in the Workplace”, além do volume, o que chama atenção é a autoconsciência sobre os riscos. A pesquisa – que ouviu 2.001 funcionários de empresas dos Estados Unidos e do Reino Unido – aponta que 77% dos respondentes reconhecem que o uso de ferramentas de IA não aprovadas apresenta riscos reais de segurança ou privacidade. E usam assim mesmo.
O descompasso de “conhecer o risco e escolher ignorá-lo” é mais pronunciado entre os profissionais responsáveis por tomar decisões: 56% dos tomadores de decisão seniores estão preocupados com Shadow AI, contra 31% dos funcionários nos níveis abaixo. São as mesmas pessoas que mais usam as ferramentas não autorizadas e que mais se preocupam com as consequências disso. A racionalização existe: entre os tomadores de decisão que usam Shadow AI,
- 29% o fazem por limitações de acesso às ferramentas aprovadas pela empresa
- 28% porque as ferramentas não autorizadas são simplesmente mais eficientes
- 24% porque temem que a organização veja com que frequência usam IA (o que poderia afetar a carreira)
- 23% têm medo de levantar dúvidas sobre suas próprias capacidades
- 23% temem ser monitorados pelo gestor imediato
Essa última razão diz muito sobre a visão de uso de IA no trabalho. Parte da utilização de Shadow AI ultrapassa a discussão da eficiência: é uma questão de percepção e de ansiedade em torno da competência. Há um custo social associado ao uso visível de IA que leva as pessoas a preferirem ferramentas pessoais, fora do radar corporativo. E que tem muito a ver com a ideia de que usar muito a IA pode mostrar que a pessoa não tem ideias próprias, é uma fraude e não teria o mesmo nível de entregas sem IA.
O relatório da Okta quantifica o que está sendo compartilhado por quem usa essas ferramentas sem aprovação:
- 54% compartilham mensagens e e-mails internos
- 45% compartilham informações de RH
- 39% compartilham documentos confidenciais da empresa
- Mais de 20% compartilham credenciais de acesso e senhas
- 28% compartilham informações bancárias e de pagamento
Quando a ferramenta não autorizada é alimentada com esse volume de dados sensíveis, o risco é que os dados da organização estejam fluindo para infraestruturas externas fora de qualquer controle. E que, por isso, tornam-se mais vulneráveis a ataques.
A ilusão de controle do alto escalão
Enquanto os funcionários usam Shadow AI em escala, os executivos responsáveis pela governança digital acreditam que têm a situação sob controle. A grande maioria (90%) dos executivos entrevistados pela Okta diz estar confiante na visibilidade que sua organização tem sobre as ferramentas de IA em uso. Outros 95% afirmam estar confiantes de que os funcionários estão usando IA de forma responsável. Essa confiança é, nos termos do próprio relatório, completamente equivocada. O mesmo estudo mostra que mais da metade dos funcionários usam ferramentas não autorizadas, inclusive, como visto, os próprios executivos. A lacuna entre a percepção das lideranças e a realidade operacional é um dos achados mais consistentes da pesquisa.
O fenômeno repete-se por país. No Reino Unido, 96% dos executivos expressam confiança na visibilidade sobre uso de IA, enquanto 55% dos funcionários admitem usar ferramentas não aprovadas. Na Austrália, líderes de 94% das organizações se dizem confiantes, enquanto quase 60% dos trabalhadores usam Shadow AI. Os Estados Unidos lideram em uso (67%), enquanto Canadá e Japão mostram os menores índices de confiança executiva (82% e 85%, respectivamente), com taxas de Shadow AI de cerca de 50% e 48%. França e Alemanha têm os menores índices de uso não autorizado, 31% e 32%, respectivamente.
Outro dado do levantamento pode ajudar a esclarecer a raiz do problema: 65% dos executivos acreditam que as políticas de uso de IA de sua organização são “muito claras”. Apenas 43% dos trabalhadores do conhecimento concordam. Mais da metade dos funcionários (57%) discordam: eles consideram as políticas pouco claras, difíceis de encontrar ou simplesmente inexistentes. Não é que as pessoas estejam deliberadamente infringindo regras que conhecem. Em muitos casos, simplesmente não sabem o que é permitido.
Agentes de IA: a nova fronteira de risco não gerenciada
Por trás de ferramentas individuais não autorizadas, há uma camada de risco ainda mais preocupante que os relatórios de 2026 descrevem em detalhes: a proliferação de agentes de IA autônomos implantados pelas próprias organizações – frequentemente sem os mesmos controles de segurança aplicados a usuários humanos.
O relatório da Okta mostra que 92% dos executivos afirmam que agentes de IA autônomos já estão em uso generalizado (58%) ou moderado (35%) em suas organizações. Na prática, 68% dos trabalhadores usam agentes de IA e 62% usam LLMs ou chatbots.
O problema está na segurança que acompanha essa adoção (ou na falta dela). Apenas 34% das organizações aplicam sistematicamente os mesmos controles de segurança para agentes de IA que aplicam para funcionários humanos. Ao mesmo tempo, 96% dos executivos dizem estar confiantes na capacidade de sua organização de gerenciar identidades não humanas com segurança, e 95% afirmam estar confiantes na capacidade de detectar quando um agente está agindo fora de seu escopo pretendido. O intervalo entre essa confiança e os números de incidentes é revelador: 58% dos executivos reportaram que sua organização sofreu um incidente de segurança relacionado a IA ou “quase-incidente” nos últimos 12 meses. Em outras palavras, mais da metade das organizações já enfrentou consequências concretas do risco que seus líderes dizem ter sob controle.
Os agentes de IA trazem um risco específico que a pesquisa da Okta descreve com precisão: ao interagir com e-mails, documentos e páginas web durante o trabalho normal, esses sistemas podem ser manipulados por instruções plantadas em conteúdo externo, uma técnica conhecida como indirect prompt injection (injeção indireta de prompt), classificada como o principal risco no OWASP Top 10 para Aplicações LLM. O agente interpreta a instrução maliciosa como legítima e a executa. Quando não há controles para detectar e interromper esse comportamento antes de uma ação ser concluída, o dano já está feito.
Produtividade real, governança inexistente
O que torna o problema de Shadow AI diferente de outras violações de política de TI é a dimensão de ganho real que os usuários estão protegendo. A pesquisa da TrustedTech mostra que 70% dos respondentes dizem que ferramentas de IA têm impacto positivo no desempenho de sua equipe, um número que sobe para 82% entre os tomadores de decisão seniores. Mais da metade (54%) dos usuários de IA economizam três horas ou mais por semana usando essas ferramentas. E 27% economizam cinco horas ou mais, o equivalente, numa projeção anual, a aproximadamente seis semanas de trabalho por pessoa. Pelo menos 44% das organizações pesquisadas dizem estar obtendo ROI importante de suas ferramentas de IA, e 42% têm KPIs claros para medir esse retorno. Apenas 25% acreditam que estão pagando muito e vendo pouco retorno.
Esses números ajudam a explicar por que as proibições falham: a IA já entrou no fluxo de trabalho de uma parcela significativa da força de trabalho como um amplificador de capacidade, e as pessoas que experimentaram esse ganho não estão dispostas a abrir mão dele por uma política corporativa. Por conta disso, a Shadow AI deixa de ser vista como um comportamento delinquente e muito mais como a manifestação de uma lacuna entre o que a organização oferece e o que a força de trabalho precisa para ser eficiente.
A mesma pesquisa aponta que 55% dos colaboradores confiam mais no Microsoft Copilot do que em outras ferramentas de IA, número que sobe para 65% entre decisores. E 74% dizem que sua organização já fornece acesso ao Copilot ou a funcionalidades de IA integradas ao M365. O mercado está convergindo para ferramentas corporativas gerenciáveis, mas a velocidade da política de governança ainda não acompanhou a velocidade da adoção.
O que os dados dizem sobre o que funciona
Os dois relatórios não oferecem receitas simples, mas apontam na direção do que diferencia organizações que conseguem equilibrar adoção e governança. O levantamento da Okta identifica que 53% dos executivos já têm uma estratégia estabelecida para guiar o desenvolvimento de IA, um grande avanço em relação a apenas 10% no ano anterior. Mas estratégia não é o mesmo que governança operacional: a maioria ainda não aplica controles equivalentes entre identidades humanas e não humanas (NHIs), e o gap entre política declarada e prática real permanece amplo.
A pesquisa da TrustedTech mostra que apenas 38% dos respondentes dizem que o uso de IA é celebrado em seu local de trabalho. Mesmo dentro desse grupo, 51% dos tomadores de decisão veem com bons olhos e apenas 25% entre funcionários de nível júnior. Uma cultura que celebra a IA no topo e a pune na base cria exatamente o tipo de comportamento que os dados mostram: uso intenso, escondido e não gerenciado.
Quase metade (48%) dos funcionários acredita que sua empresar é responsável pelo treinamento em IA. A expectativa já existe; a oferta, ainda não. Fechar essa lacuna com treinamento acessível a todos os níveis hierárquicos, não apenas às lideranças, é uma das poucas alavancas que os dados sustentam como capaz de reduzir a presença de Shadow AI sem comprometer a produtividade.
A Okta aponta três razões predominantes pelas quais funcionários contornam as ferramentas aprovadas: facilidade de uso, norma de grupo e lentidão dos processos de aprovação. Nenhuma dessas razões desaparece com uma política mais rígida. Desaparecem quando a ferramenta aprovada é boa o suficiente, quando o processo de aprovação é ágil o suficiente, e quando a cultura valoriza o uso transparente da IA em vez de puni-lo indiretamente.
Uma crise de governança que a IA acelerou, mas não criou
Shadow AI não é um problema novo. Antes da IA Generativa, havia Shadow IT: software instalado sem aprovação, serviços de nuvem pessoais usados para dados corporativos, WhatsApp substituindo ferramentas de comunicação homologadas. A diferença em 2026 é a escala, a velocidade e a sensibilidade dos dados envolvidos. Quando um funcionário usava um aplicativo de notas pessoal em 2018, o risco era limitado. Quando um executivo alimenta um modelo de linguagem não gerenciado com e-mails internos, propostas comerciais, dados de RH e credenciais de acesso – como os dados da Okta mostram que está acontecendo –, a exposição é de outra ordem de magnitude.
O que 2026 expõe é que as organizações chegaram à era dos agentes de IA autônomos sem ter resolvido o problema mais básico de governança da IA: quem usa o quê, com quais dados, com qual autorização, e com qual responsabilização. E as pesquisas mostram que os primeiros a contornar essa governança (quando ela existe), são exatamente as pessoas encarregadas de definir as regras.
Resolver isso exige mais do que uma política. Exige que executivos reconheçam que sua própria conduta define a cultura de governança da organização, que o processo de aprovação de ferramentas seja rápido o suficiente para competir com a conveniência das alternativas pessoais, que o treinamento alcance todos os níveis hierárquicos, e que a medida de sucesso não seja a ausência de Shadow AI, mas a presença de uma alternativa que as pessoas escolham usar voluntariamente.
AIA já está dentro das organizações, usada por todos os níveis, incluindo os mais altos. A pergunta agora é se vai entrar de forma visível e gerenciada, ou escondida e fora de controle.