Desde a popularização do ChatGPT e de outras ferramentas de IA generativa, um fenômeno curioso vem se intensificando. Inúmeros relatórios de diferentes fontes mostram percentuais impressionantes de uso em contextos empresariais, educacionais e públicos — por exemplo, a McKinsey apontou em 2024 que 65% das organizações já usam IA generativa regularmente, quase o dobro de 2023.
O que raramente se discute, com a profundidade necessária, é a natureza desse uso. Isso porque, em grande parte, esse uso é predominantemente pessoal, e não institucional. Tal argumento se reforça quando 75% dos knowledge workers já usam IA e, destes, 78% trazem suas próprias ferramentas (“BYOAI” Bring Your Own AI), fora do guarda-chuva corporativo, segundo levantamento realizado pela Microsoft. Antes disso, em 2023, a Salesforce já indicava que mais da metade dos usuários empregava IA sem aprovação formal do empregador — sinal claro de Shadow AI.
A analogia com Shadow IT é direta e é, também, inevitável. Antes as discussões permeavam macros, apps e planilhas paralelas; agora falamos de prompts, modelos e conectores que podem tocar dados sensíveis muitas vezes sem política, trilhas de auditoria ou controles que, em outras situações, seriam compreendidos como mínimos. Os riscos, claro, acabam sendo proporcionais: o Gartner, por exemplo, projeta que mais de 40% das violações de dados envolvendo IA até 2027 decorrerão de uso indevido de GenAI – agravado por requisitos regulatórios cruzando fronteiras.
Neste ponto há, também, o que pode ser compreendido como um hiato de maturidade. Apesar de muitas publicações defenderem que essa adoção da IA generativa está “espalhada” em termos de volume de uso, a própria McKinsey (2025) observou que apenas 1% dos executivos em mercados desenvolvidos descrevem seus rollouts de GenAI como “maduros”. Isso pode ser interpretado como muita experimentação na ponta e pouca institucionalização de ponta a ponta.
Essa “contabilidade” que considera os usos pessoais e organizacionais na mesma conta infla gráficos otimistas de “ganhos de eficiência”, mas mascara uma realidade importante: o uso se torna, de certa maneira, desarticulado e sem governança, o que leva ao ponto de reflexão aonde se quer chegar com esse texto: uso individual e uso corporativo são movimentos diferentes.
No indivíduo: velocidade, flexibilidade, baixo custo e aprendizado rápido. Esses ganhos são reais — e explicam por que tanta gente “pula” a fila dos processos institucionais para usar a IA de uma maneira “shadow”.
Na organização: políticas, arquitetura, dados, compliance, segurança, orçamento, gestão da mudança e mensuração de valor. Sem isso, líderes admitem não ter plano claro para sair do impacto individual e chegar ao impacto operacional/financeiro.
A confusão entre os modos de adoção da IA generativa produz certa ilusão de maturidade – pois não é a empresa que ficou mais inteligente; são seus colaboradores muitas vezes “improvisando” com ferramentas poderosas e que agora estão ao alcance de seus dedos. Aqui haveria espaço para muitos prós e contras da dita “shadow AI” e o ponto chave não é estabelecer uma crítica este tipo de uso – mas, sim, realmente diferenciar o uso “shadow” de um uso institucional.
Pensando em termos de institucionalização, é quando se revela a diferença entre experimentação e capacidade organizacional. Adotar IA não é o mesmo que integrá-la ao funcionamento da empresa. A institucionalização é o momento em que a curiosidade individual se converte em competência coletiva; momento em que o uso deixa de ser episódico e passa a fazer parte de um modelo operacional planejado e coerente.
As organizações que avançam nesse sentido percorrem caminhos distintos — mas que, no fundo, lidam com o mesmo desafio: transformar o uso fragmentado em estrutura. Algumas optam por desenvolver internamente suas soluções (build); outras adquirem tecnologias prontas no mercado (buy); há as que constroem parcerias estratégicas com consultorias e provedores (partner); e aquelas que internalizam competências por meio da aquisição de startups ou da criação de laboratórios (acqui–hire). Todas essas abordagens são válidas, mas nenhuma é suficiente isoladamente. O que as diferencia das tentativas superficiais é a presença de uma governança real, capaz de conectar estratégia, tecnologia, dados e pessoas em torno de um propósito claro.
A institucionalização da IA, portanto, não é apenas um movimento técnico. É uma decisão de arquitetura organizacional — que redefine papéis, fluxos de decisão e fronteiras de responsabilidade. Significa criar mecanismos que sustentem o uso contínuo da IA com segurança, mensuração de valor e alinhamento ético. É compreender que sem dados estruturados, políticas de uso, critérios de priorização e cultura digital madura, a IA continuará orbitando na periferia da operação, alimentada por iniciativas individuais e métricas ilusórias.
O ponto de virada está na passagem do entusiasmo para o método. Institucionalizar é desenhar o espaço em que a IA pode gerar impacto mensurável — e, ao mesmo tempo, reconhecer onde ela não deve entrar. É estabelecer critérios de produtividade, qualidade e experiência; definir guardrails de dados e segurança; criar processos de governança e compliance; investir na capacitação de líderes e usuários; e, por fim, conectar tudo isso a uma estratégia de operação e escala.
Quando isso acontece, o uso da IA deixa de ser um conjunto de experiências isoladas e passa a representar um ativo organizacional — com propósito, coerência e accountability. Até lá, as estatísticas de adoção continuarão infladas, mas as capacidades reais permanecerão subdesenvolvidas. Porque o desafio não é usar IA. O desafio é, sim, institucionalizá-la.
