O AI Act entrou em vigor na União Europeia e abre uma nova etapa para empresas que desenvolvem, compram ou integram sistemas de inteligência artificial. A lei organiza obrigações por nível de risco, com regras para práticas proibidas, sistemas de alto risco, transparência, modelos de IA de uso geral e fiscalização de mercado.1
A vigência não significa que todas as obrigações se aplicam de imediato. O regulamento prevê uma implementação escalonada, com aplicação plena em dois anos e exceções para temas específicos. Para organizações, esse período não deve ser lido como folga burocrática. É a janela para classificar sistemas, revisar fornecedores, documentar dados, preparar processos de conformidade e ajustar governança.
Risco passa a ser linguagem comum
O desenho do AI Act parte de uma ideia simples: nem todo sistema de IA carrega o mesmo risco. Aplicações de risco mínimo seguem praticamente livres de obrigações novas. Sistemas que exigem transparência, como chatbots ou conteúdo gerado por IA, precisam informar melhor o usuário. Sistemas de alto risco entram em um regime mais pesado, com avaliação, mitigação, documentação, logs, supervisão humana, robustez, cibersegurança e precisão.
Essa estrutura influencia diretamente compras corporativas. Uma empresa que adota IA em RH, crédito, saúde, educação, infraestrutura crítica ou controle de acesso não pode avaliar apenas acurácia e preço. Precisa entender finalidade, dados usados, documentação técnica, monitoramento pós-mercado, responsabilidades de fornecedor e responsabilidades de quem implanta.
O regulamento também coloca modelos de propósito geral no centro da discussão. Esses modelos servem de base para muitos sistemas downstream e podem carregar riscos sistêmicos quando são muito capazes ou amplamente usados. Transparência, direitos autorais, avaliação de risco e mitigação deixam de ser temas apenas de ética e passam a entrar em contratos, políticas internas e auditorias.
Implementação será trabalho de engenharia e jurídico
Para times de tecnologia, conformidade com o AI Act não cabe em uma planilha isolada. É preciso inventariar modelos e casos de uso, versionar prompts e configurações relevantes, registrar bases de dados, criar testes de qualidade, documentar limites, definir proprietários e monitorar incidentes. Em sistemas de alto risco, a trilha precisa ser forte o bastante para explicar decisões e demonstrar controle.
O desafio é maior em empresas que já usam IA de forma distribuída: copilotos em SaaS, recursos de classificação em CRMs, automações de atendimento, análise de documentos, busca semântica, antifraude e ferramentas de desenvolvimento. Muitas dessas capacidades chegam embutidas em produtos existentes, o que exige revisão de contratos e postura ativa de vendor management.
O AI Act também deve influenciar fornecedores fora da Europa. Empresas globais tendem a preferir controles reutilizáveis, em vez de manter processos totalmente separados por região. Assim, mesmo organizações brasileiras que vendem software para clientes europeus, processam dados de usuários na União Europeia ou integram cadeias de fornecimento internacionais precisam acompanhar o cronograma.
A entrada em vigor transforma governança de IA em tema operacional. Não basta declarar uso responsável. Será necessário provar, com processo e evidência, que cada sistema foi classificado, testado, monitorado e explicado na medida do risco que impõe.