Desenvolvimento de software

Bring Your Own AI no desenvolvimento de software: o dilema do token para os decisores de TI

Um programador optimiza o código da empresa à noite com a sua conta privada ChatGPT Plus, paga os tokens do seu próprio bolso e fica satisfeito com o aumento de produtividade. Parece-te uma situação vantajosa para a empresa? Para os gestores de TI, CTOs e CISOs, este cenário apresenta obstáculos legais e de segurança.

Lê este artigo para saberes como as empresas podem implementar de forma segura a estratégia "Bring Your Own AI" (BYOAI) ou "Bring Your Own Tokens" (BYOT) em 2026.

O fenómeno: a IA à tua custa

Há muito que a utilização da inteligência artificial é um padrão no desenvolvimento de software. Ferramentas como o GitHub Copilot, o Claude ou o ChatGPT aceleram drasticamente a refacção, a resolução de problemas e a escrita de código padrão. O problema é que muitas empresas ainda hesitam em introduzi-las oficialmente ou evitam os custos das licenças.

O resultado é uma nova forma de TI sombra: os programadores utilizam simplesmente as ferramentas à sua discrição e por sua própria conta. Como pagam os tokens de forma privada, a administração é muitas vezes levada a uma sensação de segurança - afinal, a empresa não incorre em custos e o software é concluído mais rapidamente. No entanto, os riscos legais e técnicos são imensos.

Os 3 maiores riscos para os decisores de TI

1 A crescente fuga de IP (propriedade intelectual)

Quem paga dita as regras. Com subscrições padrão privadas ou acesso gratuito, fornecedores como a OpenAI ou a Anthropic reservam normalmente o direito de utilizar as instruções e os dados introduzidos para a formação de futuras gerações de modelos nos seus termos e condições.

Assim que o teu programador carrega o código proprietário da empresa, as chaves API ou os algoritmos para uma ferramenta de IA privada, esta propriedade intelectual deixa a tua empresa. O teu código passa a fazer parte do conjunto global de conhecimentos de IA e, na pior das hipóteses, pode aparecer como uma sugestão de código para os concorrentes.

2 A licença e o risco de plágio (efeito copyleft)

Os modelos de IA foram treinados com milhares de milhões de linhas de código-fonte aberto - muitas vezes em violação de licenças restritivas (por exemplo, GPL). Se a IA privada gerar um fragmento de código que o programador incorpora sem controlo no seu produto comercial, arrisca-se a cometer graves violações dos direitos de autor.

Se o chamado efeito copyleft se aplicar aqui, em casos extremos, isto pode levar a que tenhas de revelar o código fonte de todo o teu próprio produto. Como a conta é privada, o departamento de TI não tem registos de auditoria para verificar a origem do código posteriormente.

3 Conformidade e violações do RGPD

Os dados reais também são utilizados no desenvolvimento - seja em ficheiros de registo, despejos de bases de dados para fins de teste ou mensagens de erro do cliente. Se um programador copiar estes dados para uma IA privada, isso constitui uma violação do RGPD. Não existe um acordo de processamento de dados (DPA) entre a tua empresa e o fornecedor de IA para esta conta privada.

A realidade do direito do trabalho

A utilização voluntária é claramente regulada pelo direito do trabalho: Uma vez que a entidade patronal não ordena a utilização da IA e o programador pode fazer o seu trabalho sem IA, não tem direito ao reembolso dos tokens.

No entanto, este facto não isenta a entidade patronal de responsabilidade na relação externa. Se o código gerado pela IA causar graves vulnerabilidades de segurança ou falhas no sistema do cliente, a empresa é responsável. A responsabilidade interna do programador é severamente limitada pelos princípios da atividade empresarial (responsabilidade limitada do trabalhador), o que torna necessário reforçar as orientações de segurança para as equipas de desenvolvimento.

Roteiro para os decisores de TI: ignorar, proibir ou tributar?

Os gestores de TI já não podem limitar-se a olhar para o outro lado. Têm de agir. Há duas formas estratégicas de o fazer:

Caminho A: A proibição estrita da BYOAI

Proíbe completamente a utilização de contas privadas de IA para fins profissionais através de uma diretiva da empresa ou de uma política de TI.

  • Vantagem: Máximo controlo e segurança jurídica.
  • Desvantagem: Corre o risco de frustração na equipa e de abrandar a velocidade da inovação. Corre também o risco de que a utilização se torne cada vez mais clandestina.

Caminho B: O modelo de autorização controlada (recomendação)

Aceita a realidade da situação, mas estabelece regras claras do jogo através de uma diretriz de IA vinculativa. Esta deve conter os seguintes pontos-chave:

  1. Proibição estrita de carregamento: nenhum código proprietário, nenhum dado real do cliente, nenhuma chave API em sistemas privados.
  2. Utilização apenas para lógica genérica: a IA só pode ser utilizada como parceiro de treino digital para questões gerais de programação (por exemplo, "Como é que implemento um algoritmo QuickSort em Python?").
  3. Obrigação de verificação e responsabilidade: Cada código de IA deve ser verificado manualmente para detetar erros, falhas de segurança e conformidade com a licença antes de ser adicionado ao repositório.

Quem faz o check-in é responsável.

As empresas bem sucedidas asseguram que cada alteração de código é rigorosamente identificada com uma data e uma abreviatura de autor. Porque a suposta escrita anónima de código na esperança de que ninguém verifique o histórico no GitHub para encontrar o culpado é um verdadeiro veneno para a qualidade do código em 2026.

Os programadores que pagam tokens do seu próprio bolso fazem-no normalmente com grande motivação e com um desejo de eficiência. Utiliza esta energia, mas canaliza-a para canais seguros.

A solução mais sustentável para os decisores de TI é substituir a BYOAI por soluções empresariais. Fornece às tuas equipas ferramentas oficiais e licenciadas pela empresa (como o GitHub Copilot for Business ou o ChatGPT Enterprise). Com estes modelos, a formação de dados é desactivada por defeito, a conformidade com o RGPD é garantida e o código-fonte fica onde pertence: na tua empresa.

Lista de verificação

  • Observa o formato de ligação: O formato exato do comentário do código é definido para todas as linguagens de programação (por exemplo, // AI-gen: [abreviatura] [DD.MM.AAAA]).
  • Cumpre os requisitos de divulgação: O código gerado pela IA não deve ser deliberadamente ocultado; tal é considerado uma violação da obrigação de documentação e pode dar origem a uma advertência.
  • Assume a responsabilidade final: A responsabilidade pela segurança e qualidade do código continua a ser inteiramente do programador humano, apesar da rotulagem.

Apoio Langmeier

Cópia de segurança para Windows

  Compra agora   Experimenta gratuitamente

Software de cópia de segurança para Windows

Sobre o autor
Fundador e Diretor Executivo da Langmeier Software
Não quero complicar nada. Não quero desenvolver o melhor software empresarial. Não quero ser incluído numa lista de tecnologia de ponta. Porque não é disso que se tratam as aplicações de negócios. Trata-se de garantir que os teus dados estão perfeitamente protegidos. E trata-se de garantir que tudo funciona sem problemas enquanto mantém o controlo total e se pode concentrar no crescimento do seu negócio. A simplicidade e a fiabilidade são os meus princípios orientadores e inspiram-me todos os dias.
 
Procura mais:
Desenvolvimento de software, Segurança do disco rígido, IP, Conformidade
Artigos relevantes

Publica um comentário aqui...