ShadowAI: a primeira falha de governance é não saber o que existe

Em agosto de 2024 entrou em vigor o Regulamento de IA da União Europeia. A Europa apressou-se a legislar sobre IA com uma ambição declarada: chegar primeiro, regular com detalhe e fazer da norma europeia o padrão internacional. A promessa era trazer certeza. O resultado, nesta fase, tem sido mais o de multiplicar perguntas.
Embora esteja formalmente em vigor desde 2024, o Regulamento de IA é de aplicação é faseada. Algumas obrigações, como as relativas à literacia em IA e às práticas proibidas, são já aplicáveis desde fevereiro de 2025, mas outras, incluindo grande parte do regime aplicável aos sistemas de IA de risco elevado, têm agosto de 2026 como data de “arranque”.
Sucede que, ainda o Regulamento não arrancou verdadeiramente, e já se discute como alterá-lo. Em novembro de 2025, a Comissão Europeia apresentou o chamado Digital Omnibus, um pacote de simplificação que propõe alterações ao Regulamento de IA, incluindo o ajustamento do calendário de aplicação das regras relativas a sistemas de risco elevado e a redução de algumas obrigações administrativas. Para que as alterações previstas produzam efeitos antes de agosto de 2026, será necessário aprovar e publicar o texto final num espaço de tempo muito apertado.
E enquanto o Regulamento encontra o seu caminho, a IA já está dentro das organizações. Está no recrutamento, no marketing, na análise de contratos, na deteção de fraude, no apoio ao cliente, na programação, na cibersegurança, na gestão documental, na análise financeira e na produtividade individual. Nem sempre entra pela porta principal. Às vezes chega sem que se dê por isso através de uma ferramenta SaaS, uma funcionalidade nova de um fornecedor, um assistente integrado numa plataforma já utilizada, um piloto informal ou um colaborador que encontrou uma forma mais rápida de fazer o seu trabalho.
É por isso que, mesmo antes de o Regulamento produzir todos os seus efeitos, muitas organizações já sentem a necessidade de implementar regras internas que controlem a IA que têm dentro de portas. Querem implementar Governo de IA não apenas por receio de uma coima futura – embora isso também conte – mas porque a utilização de IA levanta riscos reputacionais, financeiros e operacionais que não dependem de um calendário europeu.
Por incrível que pareça, muitas organizações ainda não sabem, com rigor, que sistemas de IA utilizam. E sabem ainda menos se existe shadow AI: i.e. se os seus colaboradores utilizam sistemas de IA que não foram validades e aprovados internamente.
É aqui que começa, na prática, o Governo de IA. Numa tarefa pouco visível, mas absolutamente estruturante: mapear os sistemas existentes, identificar casos de uso, perceber que ferramentas estão em causa, quem as utiliza e supervisiona, e qual o nível de risco para a organização. Parece simples, mas normalmente não é. Basta pesar que em muitas organizações a velocidade de adoção de sistemas de IA torna praticamente impossível uma análise manual, caso a caso, em tempo útil. A determinada altura, entram mais sistemas do que aqueles que as equipas de compliance conseguem analisar. E, quando isso acontece, não há grande volta a dar: é preciso automatizar o que puder ser automatizado e reservar a decisão humana para os pontos em que ela é necessária.
Um bom Governo de IA tem de ser, antes de mais, possível de aplicar. Deve entrar nos processos onde a organização já decide e não viver à margem deles. Deve assentar em políticas claras, proporcionais e, no atual contexto, adaptáveis. A melhor política não é a mais longa, nem a mais minuciosa. É a que dá orientação suficiente para decidir hoje e flexibilidade bastante para não ficar obsoleta amanhã.
No entanto, de pouco serve ter a IA mapeada, um inventário bem construído e políticas cuidadosamente desenhadas se a organização não estiver preparada para as aplicar. O Governo de IA não se esgota no documento. Pelo contrário: tem de chegar à forma como as pessoas usam as ferramentas, escolhem os fornecedores, aprovam os casos de uso, reveem outputs, sinalizam riscos e tomam decisões. E isso exige conhecimento. E, ao contrário do que se possa pensar, não basta uma formação genérica, na ótica do utilizador, o do estilo “o que é a inteligência artificial”.
As organizações precisam de formar quem usa ferramentas de IA, naturalmente. Mas também quem aprova, quem supervisiona e quem decide. Um administrador não precisa de saber programar um modelo. Precisa, contudo, de perceber que perguntas deve fazer antes de aprovar a sua utilização. Uma equipa de compras não precisa de conhecer a arquitetura de modelos, mas deve ser capaz de perceber quando um fornecedor está a incorporar IA num serviço. Uma equipa de negócio não precisa saber de cor o Regulamento de IA. Mas precisa de saber quando está perante uma utilização de risco e como deve pedir ajuda. Por outras palavras, a literacia em IA não é um curso. É uma condição de governo.
O calendário pode mudar. As orientações podem tardar. O Digital Omnibus até pode vir simplificar algumas obrigações. Mas nada disso muda o essencial: a IA já está dentro das organizações e, neste momento, governá-la já não é antecipar obrigações. É chegar a tempo.