EU AI Act, LGPD e regulação de IA no Brasil: o que CFOs precisam saber

Até 2 de agosto de 2026, toda empresa que use IA para credit scoring, aprovacao de credito ou decisões que afetem o acesso a serviços financeiros na Uniao Europeia terá de cumprir as regras do EU AI Act para sistemas de alto risco -- ou enfrentar multas de até EUR 35 milhoes ou 7% do faturamento global. No Brasil, o PL 2338/2023, aprovado pelo Senado em dezembro de 2024, tramita na Camara e deve ser votado ainda em 2026, criando o primeiro marco regulatorio brasileiro especifico para inteligencia artificial.

Para CFOs, isso não e um tema de TI. E um tema de governanca financeira. Vamos mapear o que esta em jogo.

O EU AI Act: o que muda para finanças corporativas

O EU AI Act, que entrou em vigor progressivamente desde fevereiro de 2025, e a primeira legislacao abrangente do mundo sobre inteligencia artificial. Sua logica e simples: quanto maior o risco que um sistema de IA representa para direitos fundamentais, mais rigorosas são as exigencias.

Tres niveis de impacto para CFOs:

• Praticas proibidas (desde fev/2025): Sistemas de social scoring e manipulacao subliminar estão banidos. Multa: até EUR 35 milhoes ou 7% do faturamento global.
• Sistemas de alto risco (a partir de ago/2026): IA para credit scoring, avaliação de risco de credito, precificacao de seguros e decisões que afetem acesso a serviços financeiros. Exigencias incluem gestão de riscos, supervisao humana, transparencia, rastreabilidade e avaliação de vieses.
• Obrigacoes de transparencia (desde ago/2025): Modelos de IA de proposito geral (como GPT-4 e Claude) já devem cumprir requisitos de transparencia e documentação.

O que e "alto risco" na pratica financeira?

O Anexo III do EU AI Act lista explicitamente:

• Sistemas de IA para avaliar a credibilidade de pessoas fisicas ou estabelecer credit scores
• IA usada em detecção de fraudes (esta e uma excecao -- não e classificada como alto risco)
• Sistemas que avaliam elegibilidade para beneficios ou serviços financeiros
• IA para precificacao de seguros de saude e vida

Se sua empresa opera na Europa ou atende clientes europeus, e provavel que pelo menos parte dos seus sistemas de IA se enquadre como alto risco.

As exigencias concretas para sistemas de alto risco

Até agosto de 2026, sistemas de alto risco precisarao atender a uma lista rigorosa de requisitos. Não basta "ter boas intencoes" -- e preciso documentar, testar e monitorar continuamente.

1. Sistema de gestão de riscos

Um processo continuo e documentado que identifique, analise e mitigue riscos do sistema de IA ao longo de todo o seu ciclo de vida. Não e um documento estatico -- e um processo vivo.

2. Governanca de dados

Os dados usados para treinar, validar e testar modelos devem ser relevantes, representativos e, na medida do possivel, livres de erros. Isso inclui avaliar se os dados refletem adequadamente a populacao que será afetada pelas decisões da IA.

3. Documentação tecnica

Antes de colocar um sistema no mercado, e necessario preparar documentação tecnica detalhada que demonstre conformidade com os requisitos. Isso inclui arquitetura do modelo, metricas de desempenho e limitacoes conhecidas.

4. Supervisao humana

Sistemas de alto risco devem ser projetados para permitir supervisao efetiva por pessoas. Isso não significa ter um humano "aprovando cada decisao" -- mas garantir que humanos possam entender, monitorar e intervir no funcionamento do sistema.

5. Transparencia e informação ao usuario

Operadores e usuarios devem receber informacoes claras sobre as capacidades, limitacoes e riscos do sistema. Em decisões financeiras, clientes afetados tem direito a uma explicacao sobre como a IA contribuiu para a decisao.

6. Registro e rastreabilidade

O sistema deve gerar logs que permitam rastrear seu funcionamento e auditar decisões. Para CFOs, isso significa garantir que cada decisao automatizada tenha uma trilha auditavel.

LGPD e o cenario regulatorio brasileiro

A LGPD já produz efeitos concretos sobre sistemas de IA, especialmente quando envolvem dados pessoais. O Artigo 20 garante ao titular o direito de solicitar revisao de decisões tomadas unicamente com base em tratamento automatizado -- incluindo decisões de credito, perfil de consumo e aspectos da personalidade.

Mas a LGPD, por si só, não cobre todos os riscos da IA. E ai que entra o PL 2338/2023.

O que o PL 2338 acrescenta:

• Classificação por niveis de risco, semelhante ao EU AI Act, com exigencias proporcionais
• Avaliação de impacto algoritmico para sistemas de alto risco
• Direito a explicacao sobre decisões automatizadas -- mais detalhado do que o previsto na LGPD
• Proibicao de vieses discriminatorios em decisões automatizadas
• Supervisao humana significativa, não apenas formal
• Responsabilizacao de desenvolvedores e operadores de sistemas de IA

O texto, aprovado pelo Senado e agora na Camara, estabelece uma regulação baseada em direitos e em gestão de riscos. Para CFOs, o impacto mais direto esta nas decisões automatizadas de credito, cobranca e avaliação de risco de clientes.

A convergencia regulatoria: por que isso importa globalmente

O que estamos vendo não e um fenomeno europeu ou brasileiro isolado. E uma tendencia global:

• EU AI Act: referencia mundial, com impacto extraterritorial (atinge qualquer empresa que ofereca IA na UE)
• PL 2338/2023 (Brasil): fortemente inspirado no modelo europeu
• Executive Order on AI (EUA): estabeleceu diretrizes em 2023, embora com abordagem menos prescritiva
• China: regulação setorial já em vigor para algoritmos de recomendacao, deep synthesis e IA generativa

Para empresas multinacionais ou com operações em multiplos mercados, a estrategia mais segura e adotar o padrao mais rigoroso (tipicamente o EU AI Act) como baseline e adaptar localmente.

Gestão de fornecedores: o risco que muitos ignoram

Um ponto critico que muitos CFOs subestimam: a responsabilidade não desaparece quando voce terceiriza a IA. Tanto o EU AI Act quanto o PL 2338 estabelecem obrigacoes para operadores (quem usa o sistema), não apenas para desenvolvedores.

Isso significa que se voce contrata uma plataforma de credit scoring com IA, voce também e responsavel por:

• Verificar se o sistema atende aos requisitos regulatorios
• Garantir que o fornecedor forneca documentação tecnica adequada
• Monitorar o desempenho e os vieses do sistema em produção
• Manter registros de uso e decisões tomadas

A due diligence de fornecedores de IA precisa ser tao rigorosa quanto a de qualquer outro fornecedor critico.

Vieses algoritmicos: o risco financeiro e reputacional

Vieses em modelos de IA não são apenas um problema etico -- são um risco financeiro e regulatorio concreto. Um modelo de credit scoring que sistematicamente desfavorece determinados grupos demograficos pode resultar em:

• Multas regulatorias sob o EU AI Act e a LGPD
• Acoes judiciais coletivas ou individuais
• Dano reputacional com impacto em receita e valor de mercado
• Perda de clientes em segmentos sub-representados

A European Banking Authority (EBA) publicou em novembro de 2025 orientacoes especificas sobre as implicacoes do AI Act para o setor bancario, destacando que instituicoes financeiras devem implementar processos de detecção e mitigacao de vieses como parte de seus frameworks de gestão de risco.

Como se preparar: o roteiro para CFOs

A boa noticia e que a maioria das exigencias regulatorias não demanda tecnologia nova -- demanda governanca e processos. Um roteiro pratico:

Fase 1 -- Inventario (agora):

• Mapeie todos os sistemas de IA usados na area financeira (incluindo ferramentas de fornecedores)
• Classifique cada um por nivel de risco (proibido, alto, limitado, minimo)
• Identifique quais envolvem dados pessoais e decisões automatizadas

Fase 2 -- Gap analysis (próximo trimestre):

• Compare o estado atual de cada sistema com as exigencias regulatorias aplicaveis
• Priorize os gaps mais criticos (especialmente para sistemas de alto risco)
• Avalie a documentação tecnica disponivel de fornecedores

Fase 3 -- Implementação (ate ago/2026):

• Implemente frameworks de gestão de risco para sistemas de alto risco
• Estabeleca processos de supervisao humana com responsabilidades claras
• Crie mecanismos de explicabilidade para decisões automatizadas
• Documente tudo -- a documentação e tao importante quanto a implementação

Acoes praticas para esta semana

1. Faca um inventario de IA financeira. Liste todas as ferramentas e sistemas que usam IA nas operações financeiras da sua empresa -- incluindo modulos de IA embutidos em ERPs e plataformas de fornecedores. Sem esse mapa, voce não sabe onde esta o risco.
2. Verifique a exposicao ao EU AI Act. Se sua empresa opera na UE, atende clientes europeus ou usa sistemas de IA de fornecedores europeus, voce esta no escopo. O prazo de agosto de 2026 para sistemas de alto risco e inegociavel.
3. Revise contratos com fornecedores de IA. Seus contratos atuais incluem clausulas sobre conformidade regulatoria, documentação tecnica, auditabilidade e responsabilidade por vieses? Se não, e hora de renegociar.
4. Acompanhe o PL 2338 na Camara. O projeto pode ser votado em 2026. Comece a preparar sua empresa para as exigencias de avaliação de impacto algoritmico e explicabilidade -- mesmo antes da aprovacao, elas representam boas praticas de governanca.
5. Estabeleca um responsavel por governanca de IA. Isso não precisa ser um cargo novo -- pode ser uma atribuicao do compliance officer ou do CTO. O importante e que alguem tenha a visao integrada de todos os sistemas de IA e suas implicacoes regulatorias.