AI Act e IA confiável: o que muda para o Brasil

Por SAFIE · 13 de junho de 2026 · 4 min de leitura

Uma reportagem da MIT Technology Review Brasil publicada recentemente trouxe um argumento que vai além do marketing tecnológico: a próxima era da experiência do cliente (CX) será definida não pela IA mais sofisticada, mas pela IA que executa de forma confiável. Sistemas que deixam de apenas responder e passam a agir de forma autônoma exigem governança robusta para gerar valor real.

Esse movimento tem uma dimensão regulatória direta. O AI Act europeu, em vigor desde agosto de 2024 e com aplicação escalonada até 2027, classifica sistemas de IA usados em atendimento ao cliente, scoring de crédito e tomada de decisão automatizada como de risco alto ou limitado, com obrigações específicas de transparência, auditabilidade e controle humano.

Para empresas brasileiras que exportam serviços, atendem clientes na Europa ou simplesmente se preparam para a regulação nacional, entender esse cenário deixou de ser opcional. O custo de ignorar é alto: multas, bloqueio de contratos e responsabilidade civil por danos causados por sistemas autônomos.

Contexto jurídico e regulatório

O AI Act europeu e o que ele exige na prática

O Regulamento (UE) 2024/1689, conhecido como AI Act, criou uma estrutura de quatro níveis de risco para sistemas de IA. Sistemas de risco inaceitável são proibidos. Sistemas de alto risco, como os usados em crédito, emprego, educação e serviços essenciais, precisam de documentação técnica, registro em base de dados da UE, avaliação de conformidade e mecanismos de supervisão humana.

Sistemas de risco limitado, categoria que inclui chatbots e assistentes virtuais de CX, precisam informar ao usuário que está interagindo com uma IA. Essa obrigação de transparência parece simples, mas tem impacto direto em contratos B2B e em políticas de privacidade. Empresas que não cumprem podem ser multadas em até 15 milhões de euros ou 3% do faturamento global anual, o que for maior (fonte: AI Act, Artigo 99).

A situação jurídica no Brasil hoje

O Brasil não tem lei geral de IA aprovada até a data de publicação deste artigo. O PL 2.338/2023, de autoria do Senado, passou pela Comissão de Juristas em 2023 e aguarda votação em plenário. O texto atual prevê categorias de risco semelhantes ao AI Act, com obrigações de transparência, explicabilidade e avaliação de impacto algorítmico.

Na ausência de lei específica, três marcos já criam obrigações concretas. A LGPD (Lei 13.709/2018) exige, no Artigo 20, que o titular de dados possa solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados. O CDC (Lei 8.078/1990) responsabiliza fornecedores por danos causados por defeitos em serviços, incluindo falhas de sistemas automatizados. E o Marco Civil da Internet (Lei 12.965/2014) impõe responsabilidade por danos decorrentes de conteúdo gerado com participação de plataformas.

Além disso, a Resolução BCB 96/2021 do Banco Central já exige que instituições financeiras mantenham modelos de IA documentados, com registro de premissas, limitações e controles de risco. Empresas de fintechs e crédito digital que usam IA em CX estão sujeitas a esse regramento hoje, não no futuro.

Impacto prático

Para founders e CTOs de startups de IA, o cenário descrito pela MIT Technology Review Brasil tem uma tradução operacional clara: sistemas agênticos, ou seja, aqueles que executam ações e não apenas respondem, criam rastros de responsabilidade que precisam ser gerenciados antes do deploy. Um agente que cancela contratos, processa reembolsos ou altera dados de clientes sem supervisão humana direta é um passivo jurídico em aberto.

A estrutura mínima recomendada inclui quatro elementos. Primeiro, documentação técnica do modelo, com registro de dados de treinamento, métricas de desempenho e limitações conhecidas. Segundo, logs de auditoria de todas as ações executadas pelo sistema. Terceiro, mecanismo de escalada para revisão humana em decisões de alto impacto. Quarto, cláusulas contratuais com clientes e parceiros que delimitem responsabilidade por falhas do sistema, especialmente em contratos SaaS B2B.

Do ponto de vista contábil, empresas que desenvolvem ou comercializam sistemas de IA precisam avaliar se têm provisões adequadas para contingências regulatórias. O CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes) exige o reconhecimento de provisão quando há obrigação presente, probabilidade de saída de recursos e estimativa confiável do valor. Com o AI Act em vigor na Europa e o PL 2.338/2023 em tramitação no Brasil, empresas com exposição regulatória relevante devem discutir esse ponto com seus auditores.

Considerações finais

A convergência entre autonomia de sistemas de IA e exigência de confiabilidade regulatória não é uma tendência futura. É o presente para qualquer empresa que opere em mercados com o AI Act em vigor e o cenário próximo para o mercado brasileiro. O intervalo entre a aprovação de uma lei e sua entrada em vigor é o momento mais valioso para ajustar arquitetura, contratos e controles internos sem pressão de prazo.

Startups e empresas de tecnologia que tratarem governança de IA como diferencial competitivo agora, e não como custo de compliance depois, estarão mais bem posicionadas para fechar contratos com grandes clientes, captar investimento e escalar com menor risco jurídico. A confiabilidade que a próxima era do CX exige não é só técnica. É também jurídica e contábil.

Perguntas frequentes

O AI Act europeu se aplica a empresas brasileiras?

Sim, se a empresa oferece produtos ou serviços a usuários localizados na União Europeia ou se o sistema de IA produz efeitos dentro do território europeu. O AI Act tem alcance extraterritorial explícito, semelhante ao GDPR. Empresas brasileiras com clientes europeus precisam avaliar em qual categoria de risco seus sistemas se enquadram e cumprir as obrigações correspondentes.

O Brasil já tem obrigações legais para sistemas de IA em atendimento ao cliente?

Sim. A LGPD exige revisão humana de decisões automatizadas que afetem titulares de dados (Artigo 20). O CDC responsabiliza fornecedores por defeitos em serviços automatizados. E para empresas financeiras, a Resolução BCB 96/2021 já exige documentação e controle de modelos de IA. O PL 2.338/2023 está em tramitação no Senado e pode ampliar essas obrigações.

Que documentação técnica uma startup de IA deve manter para se preparar para a regulação?

No mínimo: descrição dos dados de treinamento e suas fontes, métricas de desempenho e limitações conhecidas do modelo, logs de decisões automatizadas, registro de incidentes e mecanismos de controle humano. Essa documentação serve tanto para compliance regulatório quanto para due diligence em rodadas de investimento.

Como provisionar contabilmente riscos regulatórios relacionados a IA?

Pelo CPC 25, a empresa deve reconhecer provisão quando há obrigação presente decorrente de evento passado, saída provável de recursos e estimativa confiável do valor. Empresas com exposição ao AI Act europeu ou com produtos sujeitos ao futuro marco regulatório brasileiro devem discutir com auditores a necessidade de provisões para multas, adequações técnicas e eventuais indenizações a consumidores.

Qual a diferença prática entre sistemas de IA de risco alto e de risco limitado no AI Act?

Sistemas de alto risco (crédito, emprego, saúde, educação) exigem avaliação de conformidade antes do lançamento, registro na base de dados da UE, documentação técnica completa e supervisão humana obrigatória. Sistemas de risco limitado, como chatbots de CX, precisam apenas informar ao usuário que está interagindo com uma IA. As multas por descumprimento variam: até 30 milhões de euros para risco inaceitável e até 15 milhões para alto risco (AI Act, Artigo 99).