Artigos

EU AI Act, LGPD e regulação de IA no Brasil: o que CFOs precisam saber

Panorama regulatório global e local para uso de IA em finanças — classificação de riscos, transparência, supervisão humana e prevenção de vieses.

Claudinho Kobs

Claudinho Kobs

5 min read

Até 2 de agosto de 2026, toda empresa que use IA para credit scoring, aprovação de crédito ou decisões que afetem o acesso a serviços financeiros na União Europeia terá de cumprir as regras do EU AI Act para sistemas de alto risco -- ou enfrentar multas de até EUR 35 milhões ou 7% do faturamento global. No Brasil, o PL 2338/2023, aprovado pelo Senado em dezembro de 2024, tramita na Câmara e deve ser votado ainda em 2026, criando o primeiro marco regulatório brasileiro específico para inteligência artificial.

Para CFOs, isso não é um tema de TI. É um tema de governança financeira. Vamos mapear o que está em jogo.

O EU AI Act: o que muda para finanças corporativas

O EU AI Act, que entrou em vigor progressivamente desde fevereiro de 2025, é a primeira legislação abrangente do mundo sobre inteligência artificial. Sua lógica é simples: quanto maior o risco que um sistema de IA representa para direitos fundamentais, mais rigorosas são as exigências.

Três níveis de impacto para CFOs:

  • Práticas proibidas (desde fev/2025): Sistemas de social scoring e manipulação subliminar estão banidos. Multa: até EUR 35 milhões ou 7% do faturamento global.
  • Sistemas de alto risco (a partir de ago/2026): IA para credit scoring, avaliação de risco de crédito, precificação de seguros e decisões que afetem acesso a serviços financeiros. Exigencias incluem gestão de riscos, supervisão humana, transparência, rastreabilidade e avaliação de vieses.
  • Obrigações de transparência (desde ago/2025): Modelos de IA de propósito geral (como GPT-4 e Claude) já devem cumprir requisitos de transparência e documentação.

O que é "alto risco" na prática financeira?

O Anexo III do EU AI Act lista explicitamente:

  • Sistemas de IA para avaliar a credibilidade de pessoas físicas ou estabelecer credit scores
  • IA usada em detecção de fraudes (esta é uma exceção -- não é classificada como alto risco)
  • Sistemas que avaliam elegibilidade para benefícios ou serviços financeiros
  • IA para precificação de seguros de saúde e vida

Se sua empresa opera na Europa ou atende clientes europeus, é provável que pelo menos parte dos seus sistemas de IA se enquadre como alto risco.

As exigências concretas para sistemas de alto risco

Até agosto de 2026, sistemas de alto risco precisarão atender a uma lista rigorosa de requisitos. Não basta "ter boas intenções" -- é preciso documentar, testar e monitorar continuamente.

1. Sistema de gestão de riscos

Um processo contínuo e documentado que identifique, analise e mitigue riscos do sistema de IA ao longo de todo o seu ciclo de vida. Não é um documento estático -- é um processo vivo.

2. Governança de dados

Os dados usados para treinar, validar e testar modelos devem ser relevantes, representativos e, na medida do possível, livres de erros. Isso inclui avaliar se os dados refletem adequadamente a população que será afetada pelas decisões da IA.

3. Documentação técnica

Antes de colocar um sistema no mercado, é necessário preparar documentação técnica detalhada que demonstre conformidade com os requisitos. Isso inclui arquitetura do modelo, métricas de desempenho e limitações conhecidas.

4. Supervisão humana

Sistemas de alto risco devem ser projetados para permitir supervisão efetiva por pessoas. Isso não significa ter um humano "aprovando cada decisão" -- mas garantir que humanos possam entender, monitorar e intervir no funcionamento do sistema.

5. Transparência e informação ao usuário

Operadores e usuários devem receber informações claras sobre as capacidades, limitações e riscos do sistema. Em decisões financeiras, clientes afetados têm direito a uma explicação sobre como a IA contribuiu para a decisão.

6. Registro e rastreabilidade

O sistema deve gerar logs que permitam rastrear seu funcionamento e auditar decisões. Para CFOs, isso significa garantir que cada decisão automatizada tenha uma trilha auditável.

LGPD é o cenário regulatório brasileiro

A LGPD já produz efeitos concretos sobre sistemas de IA, especialmente quando envolvem dados pessoais. O Artigo 20 garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado -- incluindo decisões de crédito, perfil de consumo e aspectos da personalidade.

Mas a LGPD, por si só, não cobre todos os riscos da IA. E ai que entra o PL 2338/2023.

O que o PL 2338 acrescenta:

  • Classificação por níveis de risco, semelhante ao EU AI Act, com exigências proporcionais
  • Avaliação de impacto algorítmico para sistemas de alto risco
  • Direito a explicação sobre decisões automatizadas -- mais detalhado do que o previsto na LGPD
  • Proibição de vieses discriminatórios em decisões automatizadas
  • Supervisão humana significativa, não apenas formal
  • Responsabilização de desenvolvedores e operadores de sistemas de IA

O texto, aprovado pelo Senado e agora na Câmara, estabelece uma regulação baseada em direitos e em gestão de riscos. Para CFOs, o impacto mais direto está nas decisões automatizadas de crédito, cobrança e avaliação de risco de clientes.

A convergência regulatória: por que isso importa globalmente

O que estamos vendo não é um fenômeno europeu ou brasileiro isolado. É uma tendência global:

  • EU AI Act: referência mundial, com impacto extraterritorial (atinge qualquer empresa que ofereça IA na UE)
  • PL 2338/2023 (Brasil): fortemente inspirado no modelo europeu
  • Executive Order on AI (EUA): estabeleceu diretrizes em 2023, embora com abordagem menos prescritiva
  • China: regulação setorial já em vigor para algoritmos de recomendação, deep synthesis e IA generativa

Para empresas multinacionais ou com operações em múltiplos mercados, a estratégia mais segura e adotar o padrão mais rigoroso (tipicamente o EU AI Act) como baseline e adaptar localmente.

Gestão de fornecedores: o risco que muitos ignoram

Um ponto crítico que muitos CFOs subestimam: a responsabilidade não desaparece quando você terceiriza a IA. Tanto o EU AI Act quanto o PL 2338 estabelecem obrigações para operadores (quem usa o sistema), não apenas para desenvolvedores.

Isso significa que se você contrata uma plataforma de credit scoring com IA, você também e responsável por:

  • Verificar se o sistema atende aos requisitos regulatórios
  • Garantir que o fornecedor forneça documentação técnica adequada
  • Monitorar o desempenho e os vieses do sistema em produção
  • Manter registros de uso e decisões tomadas

A due diligence de fornecedores de IA precisa ser tão rigorosa quanto a de qualquer outro fornecedor crítico.

Vieses algorítmicos: o risco financeiro e reputacional

Vieses em modelos de IA não são apenas um problema ético -- são um risco financeiro e regulatório concreto. Um modelo de credit scoring que sistematicamente desfavorece determinados grupos demográficos pode resultar em:

  • Multas regulatórias sob o EU AI Act e a LGPD
  • Ações judiciais coletivas ou individuais
  • Dano reputacional com impacto em receita e valor de mercado
  • Perda de clientes em segmentos sub-representados

A European Banking Authority (EBA) publicou em novembro de 2025 orientações específicas sobre as implicações do AI Act para o setor bancário, destacando que instituições financeiras devem implementar processos de detecção e mitigação de vieses como parte de seus frameworks de gestão de risco.

Como se preparar: o roteiro para CFOs

A boa notícia é que a maioria das exigências regulatórias não demanda tecnologia nova -- demanda governança e processos. Um roteiro prático:

Fase 1 -- Inventario (agora):

  • Mapeie todos os sistemas de IA usados na área financeira (incluindo ferramentas de fornecedores)
  • Classifique cada um por nível de risco (proibido, alto, limitado, mínimo)
  • Identifique quais envolvem dados pessoais e decisões automatizadas

Fase 2 -- Gap analysis (próximo trimestre):

  • Compare o estado atual de cada sistema com as exigências regulatórias aplicáveis
  • Priorize os gaps mais críticos (especialmente para sistemas de alto risco)
  • Avalie a documentação técnica disponível de fornecedores

Fase 3 -- Implementação (até ago/2026):

  • Implemente frameworks de gestão de risco para sistemas de alto risco
  • Estabeleça processos de supervisão humana com responsabilidades claras
  • Crie mecanismos de explicabilidade para decisões automatizadas
  • Documente tudo -- a documentação é tão importante quanto a implementação

Ações práticas para esta semana

  1. Faça um inventário de IA financeira. Liste todas as ferramentas e sistemas que usam IA nas operações financeiras da sua empresa -- incluindo módulos de IA embutidos em ERPs e plataformas de fornecedores. Sem esse mapa, você não sabe onde esta o risco.
  2. Verifique a exposição ao EU AI Act. Se sua empresa opera na UE, atende clientes europeus ou usa sistemas de IA de fornecedores europeus, você está no escopo. O prazo de agosto de 2026 para sistemas de alto risco é inegociável.
  3. Revise contratos com fornecedores de IA. Seus contratos atuais incluem cláusulas sobre conformidade regulatória, documentação técnica, auditabilidade e responsabilidade por vieses? Se não, é hora de renegociar.
  4. Acompanhe o PL 2338 na Câmara. O projeto pode ser votado em 2026. Comece a preparar sua empresa para as exigências de avaliação de impacto algorítmico e explicabilidade -- mesmo antes da aprovação, elas representam boas práticas de governança.
  5. Estabeleça um responsável por governança de IA. Isso não precisa ser um cargo novo -- pode ser uma atribuição do compliance officer ou do CTO. O importante é que alguém tenha a visão integrada de todos os sistemas de IA e suas implicações regulatórias.

Leia mais