Quase 90% dos profissionais de segurança usam ferramentas de IA não aprovadas no trabalho. As pessoas mais conscientes dos riscos são aquelas que os assumem. Não porque sejam imprudentes. Porque a pilha aprovada não consegue acompanhar. As consultas vão para modelos de terceiros, as respostas são coladas em documentos, e a infraestrutura da empresa nunca as vê. Sem registo. Sem histórico de acesso. Sem rasto. Quando a conformidade pergunta "o que os funcionários alimentaram nesses modelos", não há resposta. Não porque alguém escondeu. Mas porque ninguém construiu o sistema para capturá-lo. Uma política não vai resolver uma lacuna de infraestrutura. @sofia_numbers tem dito isso há algum tempo: a governança precisa de uma camada de proveniência. Um registo das ferramentas que estão em uso e do que estão a tocar, antes que a pergunta da auditoria chegue. Uma política melhor não vai resolver isso. Uma infraestrutura melhor sim.