SEC coloca IA como prioridade de exame em 2026 — compliance não é mais opcional

SEC coloca IA como prioridade de exame em 2026 — compliance não é mais opcional

A SEC (Securities and Exchange Commission) incluiu inteligência artificial e cybersecurity como prioridades centrais do seu programa de exames para 2026. O destaque não é a inclusão em si — é o que saiu da lista para dar lugar: crypto. Quando o regulador de valores mobiliários mais influente do mundo troca uma prioridade por outra, isso sinaliza onde o enforcement vai concentrar recursos.

Para empresas com operação nos EUA, listadas ou que captam investimento americano, a implicação é direta: o uso de IA deixou de ser tema de inovação e virou tema de compliance. E compliance regulatório americano tem consequências financeiras concretas.

O que a SEC está examinando

O foco do programa de exames da SEC para IA se concentra em três áreas:

Uso de IA em decisões de investimento. A SEC quer entender como gestoras de ativos, broker-dealers e advisors usam modelos de IA para recomendar investimentos, precificar ativos e gerenciar risco. A preocupação central é conflito de interesse — se a IA prioriza o retorno do cliente ou da instituição.

IA em compliance e supervisão. Instituições que usam IA para monitorar compliance interno — detecção de fraudes, monitoramento de comunicações, análise de transações suspeitas — serão examinadas sobre a eficácia e a supervisão desses sistemas. Uma IA de compliance que não funciona adequadamente é pior que não ter IA: cria falsa sensação de segurança.

Disclosures sobre IA. Empresas listadas que mencionam IA em seus filings, relatórios anuais e comunicações a investidores serão examinadas sobre a veracidade dessas declarações. Afirmar que usa IA para vantagem competitiva sem substância auditável é risco de disclosure inadequado. A SEC já sinalizou que “AI washing” — o equivalente ao greenwashing para IA — será tratado com seriedade.

FTC: Operation AI Comply

Em paralelo à SEC, a FTC (Federal Trade Commission) lançou a “Operation AI Comply”, uma iniciativa de enforcement contra empresas que fazem marketing enganoso sobre capacidades de IA. As ações já resultaram em processos contra empresas que:

  • Afirmaram que sua IA “detecta com 99% de precisão” sem evidência
  • Prometeram resultados automatizados que dependiam de intervenção humana não divulgada
  • Usaram o termo “IA” como diferencial de produto sem tecnologia real de machine learning

A FTC está aplicando leis de proteção ao consumidor existentes a claims sobre IA. Não precisou de legislação nova. Usou o FTC Act para enquadrar publicidade enganosa que envolve IA. A lição é importante: a ausência de uma lei específica de IA não significa ausência de risco regulatório. Reguladores estão usando frameworks existentes para enforcement.

Itália e o precedente europeu

A autoridade de proteção de dados italiana (Garante) multou a OpenAI em 15 milhoes de euros por violações de GDPR relacionadas ao processamento de dados pessoais usados no treinamento do ChatGPT. A decisão cita falta de base legal adequada para processamento e falha em informar usuários sobre como seus dados foram utilizados.

O caso é relevante por dois motivos. Primeiro, estabelece precedente de que dados de treinamento de IA estão sujeitos a regulação de privacidade — não apenas os dados processados em tempo de inferência. Segundo, demonstra que autoridades europeias estão dispostas a aplicar multas significativas contra empresas de IA. A multa de 15 milhoes de euros é modesta para a OpenAI, mas o precedente regulatório é substancial.

Para empresas brasileiras que usam modelos de terceiros treinados com dados que podem incluir informações de cidadãos europeus, a cadeia de responsabilidade se estende. Não basta dizer “usamos a API da OpenAI” — é preciso entender e documentar a base legal para o tratamento de dados que o modelo processou durante o treinamento.

Os quatro temas regulatórios universais

Independentemente da jurisdição — SEC nos EUA, GDPR na Europa, LGPD no Brasil — quatro temas regulatórios aparecem em todas as frameworks de IA:

1. Transparência. Reguladores exigem que organizações sejam claras sobre quando e como usam IA. Isso inclui disclosure para clientes, investidores e reguladores. A opacidade algorítmica é o primeiro alvo de enforcement em qualquer jurisdição.

2. Prevenção de viés. Sistemas de IA que discriminam — por raça, genero, idade, localização — geram responsabilidade legal em praticamente todas as jurisdições. A SEC examina viés em decisões de investimento. A FTC examina viés em produtos de consumo. A LGPD protege contra decisões automatizadas discriminatórias.

3. Privacidade de dados. De onde vêm os dados que alimentam a IA? Como são processados? Quem consentiu? Essas perguntas estão no centro de GDPR, LGPD e das leis estaduais americanas de privacidade. A multa italiana contra a OpenAI demonstra que a resposta “são dados públicos” não é suficiente.

4. Accountability. Quando a IA erra, quem responde? Reguladores exigem que exista uma cadeia de responsabilidade clara. A SEC quer saber quem supervisiona a IA de investimento. A FTC quer saber quem validou os claims de marketing. A LGPD quer saber quem é o controlador da decisão automatizada.

Esses quatro temas são o denominador comum. Uma empresa que endereça transparência, viés, privacidade e accountability de forma estruturada estará bem posicionada para compliance em qualquer jurisdição. Uma empresa que ignora qualquer um deles está exposta em todas.

De guidelines para enforcement: o que mudou

Até 2025, a maioria das orientações regulatórias sobre IA era principiológica. Documentos como o NIST AI RMF, os princípios de IA da OCDE e as diretrizes da UNESCO estabeleciam princípios gerais sem mecanismos de enforcement.

Em 2026, o cenário é outro. A SEC examina. A FTC processa. A Garante italiana multa. O EU AI Act entra em enforcement em agosto. O PL 2338 avança no Brasil. Não são mais guidelines — são obrigações com consequências financeiras.

A transição de guidelines para enforcement muda a equação de risco corporativo. O custo de ignorar IA governance não é mais reputacional — é financeiro, legal e operacional. E boards que não ajustaram sua postura de risco para refletir essa transição estão operando com informação desatualizada.

Recomendações práticas

1. Crie um registro interno de use cases de IA. Documente todos os sistemas de IA em operação: fornecedor, dados utilizados, decisões influenciadas, população afetada, classificação de risco. Esse inventário é o pré-requisito para qualquer programa de compliance de IA. Sem ele, a organização não consegue responder à pergunta mais básica de qualquer regulador: “que IA vocês operam?”

2. Revise cláusulas contratuais com fornecedores de IA. Verifique se os contratos com provedores de modelos e APIs de IA incluem: indemnização por falhas do modelo, disclosure sobre dados de treinamento, compliance com regulações aplicáveis, direito de auditoria. A maioria dos contratos padrão de API não inclui essas cláusulas. Renegocie antes que o regulador pergunte.

3. Alinhe compliance de IA com compliance existente. Não crie um silo separado. IA governance deve se integrar aos programas de compliance, risco e auditoria interna existentes. A SEC não vai examinar IA isoladamente — vai examinar como a governança de IA se integra à governança corporativa geral.

4. Prepare um board briefing sobre exposição regulatória de IA. O conselho precisa entender a exposição atual da empresa em cada jurisdição onde opera. Inclua: regulações aplicáveis, status de compliance, gaps identificados, investimento necessário e timeline de adequação.

5. Monitore enforcement actions. As primeiras multas e processos definem precedentes que orientam a interpretação regulatória. A decisão italiana contra a OpenAI, as ações da FTC e os resultados dos exames da SEC em 2026 serão os precedentes que definirão o padrão de compliance para os próximos anos.

O enforcement regulatório de IA começou. Não é futuro — é presente. A pergunta para o C-level não é mais “precisamos de governança de IA?” É “a governança que temos é suficiente para o regulador que está batendo na porta?”