Shadow AI na LATAM: 73% das organizações certificadas operam IA sem controle

O levantamento realizado em 140 organizações com certificação ISO 27001 ativa na Argentina, Brasil, Colômbia, México e Peru determinou que 73% delas possuem ao menos uma ferramenta de IA generativa em uso operativo sem aprovação formal da área de segurança. Os departamentos com maior adoção não autorizada são Marketing (89%), Recursos Humanos (71%) e Finanças (54%). As ferramentas mais frequentes são ChatGPT (uso direto sem API corporativa), Copilot sem licença gerenciada e automações com modelos de linguagem integrados em planilhas. 61% dos controles do Anexo A da ISO 27001:2022 relacionados a gestão de ativos e controle de acesso mostraram-se insuficientes para detectar essas ferramentas porque não contemplam ativos de IA como categoria. Foram identificados 4 vetores principais de vazamento de dados: prompts com dados confidenciais de clientes (42%), upload de documentos internos em plataformas de IA públicas (38%), uso de IA para gerar código com dados sensíveis embutidos (12%) e automações que enviam dados a APIs externas sem registro (8%). O modelo de remediação desenvolvido classifica o Shadow AI em três níveis de risco e propõe controles compatíveis com a ISO 27001 e a ISO 42001 sem restringir a produtividade.