Showing Posts From
Regulation
-
Lucas Ferreira - 24 Apr, 2026
GPT-5.5 libera memory graph persistente entre contas enterprise — o que muda para quem depende de isolamento de dados
A OpenAI liberou ontem, durante o DevDay Spring 2026, um recurso que vinha sendo pedido por clientes enterprise há meses: memória persistente compartilhada entre workspaces da mesma organização. A empresa chama de "memory graph" — uma camada que aprende com interações de um workspace e torna esse contexto disponível, com permissão, para outros workspaces ligados à mesma conta Team ou Enterprise. Para o time de produto, é um salto real de produtividade. Para o CISO, é uma segunda-feira complicada. O modelo mental de "cada workspace é uma ilha" acabou de ser redesenhado pela OpenAI, e quem depende de isolamento de dados entre departamentos ou entre clientes precisa entender rápido o que mudou. O que exatamente a OpenAI lançou O memory graph substitui a memória por conversa que a ChatGPT Enterprise já tinha. Antes, cada workspace funcionava como uma unidade fechada — memórias, system prompts customizados e histórico ficavam restritos àquela instância. Quem queria consolidar contexto entre times precisava exportar, mesclar e reingerir manualmente, ou construir um RAG externo. Agora, o grafo existe acima dos workspaces. Ele indexa fatos, preferências, padrões de uso e até decisões tomadas em conversas anteriores. Cada nó do grafo tem uma ACL — controle de acesso definido por administrador — que determina quais workspaces podem ler aquela memória. Na prática, se o time jurídico definiu uma política de redação de contratos em um workspace dedicado, o time de vendas pode herdar essa política em suas próprias conversas sem que ninguém precise copiar e colar nada. O grafo é persistente entre sessões e entre usuários. O modelo por trás é o GPT-5.5, anunciado no mesmo dia. Não é coincidência — o salto de capacidade do 5.5 para operar sobre memória estruturada é o que tornou o recurso viável. Com janelas de contexto efetivas maiores e custo por token mais baixo, carregar um grafo inteiro em cada inferência deixou de ser inviável economicamente. O problema de isolamento que ninguém discutiu no keynote A promessa comercial é óbvia: menos retrabalho, menos fragmentação de conhecimento, onboarding mais rápido de novos membros do time. Tudo verdade. O que não apareceu nos slides foi como fica a separação de dados para empresas que usam múltiplos workspaces exatamente porque precisam dessa separação. Três cenários concretos onde isso dói. Agências atendendo clientes concorrentes. Uma consultoria que presta serviço para Itaú e Bradesco historicamente opera com workspaces separados — e isso não é paranoia, é contrato. Se uma memória vaza, mesmo que acidentalmente, mesmo que via inferência estatística do modelo, existe um risco contratual e reputacional direto. A ACL do grafo ajuda, mas ACLs são configuração — e configuração falha. Empresas com compliance por jurisdição. Uma multinacional com operação no Brasil, na União Europeia e nos EUA mantém workspaces separados porque o dado gerado em cada região tem regime legal distinto. LGPD no Brasil, GDPR na Europa, uma colcha de retalhos estadual nos EUA. Um memory graph que cruza essas fronteiras por padrão é um problema de transferência internacional de dados esperando para acontecer. Separação entre áreas sensíveis. Jurídico e RH dentro da mesma empresa deliberadamente não compartilham contexto. Fusões e aquisições, processos trabalhistas, investigações internas — tudo depende de muralhas chinesas funcionando. O memory graph é o inverso de uma muralha chinesa. É um pátio compartilhado com regras de quem pode entrar. O que a OpenAI diz sobre controle Na documentação publicada ontem, a empresa detalha três camadas de controle. A primeira é o opt-in por workspace — o administrador precisa ativar o recurso explicitamente, e o default é desligado. A segunda é a ACL por nó — cada memória pode ser marcada como visível apenas para usuários, workspaces ou grupos específicos. A terceira é um audit log completo: toda leitura cross-workspace de memória é registrada e exportável via Compliance API. É um trabalho sério. Mas é também, na prática, a mesma estrutura que rege IAM em cloud há 20 anos — e a gente sabe como IAM termina quando ninguém revisa. O Gartner estima que mais de 75% dos incidentes em nuvem vêm de configuração errada de permissão, não de vulnerabilidade de software. Não há razão para apostar que o memory graph será diferente. O outro detalhe que merece atenção é a natureza da memória armazenada. Diferente de um banco de dados relacional, o grafo guarda representações vetoriais e sumários semânticos. Uma ACL pode impedir leitura direta de um nó específico, mas o modelo já foi treinado na sessão onde aquele dado apareceu — e pode regurgitar aproximações via inferência. Isso não é alucinação. É como memória humana funciona. E é um vetor de vazamento novo que o time de segurança precisa modelar. O que fazer na próxima semana Para CTOs, CISOs e arquitetos enterprise que já têm ChatGPT Enterprise ou Team rodando, três ações concretas. Primeiro, manter o memory graph desligado até entender o escopo. O default é off, mas convém confirmar em cada workspace e documentar a decisão. Segundo, mapear quais workspaces de fato precisam de compartilhamento de contexto e quais existem justamente para separação. Não são a mesma pergunta. Terceiro, exigir do time de segurança um threat model específico para memória persistente cross-workspace antes de qualquer ativação — incluindo cenários de insider threat, desligamento de funcionário e request regulatório. Para quem opera no Brasil, um ponto adicional. O Marco Legal de IA (PL 2338) ainda está em tramitação, mas a ANPD já sinalizou que memória persistente de sistemas de IA entra no escopo de tratamento de dados pessoais pela LGPD. Se a memória cruza workspaces, cruza também finalidades de tratamento — e finalidade é a base jurídica da LGPD. Ativar o recurso sem revisar DPIA e contratos de operador é correr risco desnecessário. A parte que importa O memory graph é tecnicamente impressionante e comercialmente inteligente. Resolve um problema real de fragmentação que qualquer um que usa ChatGPT em uma empresa grande já viveu. Mas ele também remove, por design, uma das poucas garantias arquiteturais que clientes enterprise tinham: a de que workspaces eram fronteiras duras. Fronteiras duras viraram fronteiras configuráveis. Isso não é necessariamente ruim — é só diferente, e exige que o modelo de segurança acompanhe. A OpenAI fez o trabalho técnico. Cabe a quem implementa fazer o trabalho de governança antes de apertar o botão. Quem tratar o anúncio como mais uma feature de produtividade vai descobrir, em algum incidente futuro, que produtividade e compliance às vezes puxam cordas opostas.
- Lucas Ferreira
- 09 Apr, 2026
EUA avançam para banir chatbots terapeutas — quase 100 projetos de lei em 2026
Os Estados Unidos estão entrando em uma onda legislativa contra chatbots que oferecem serviços de saúde mental. Em 2026, quase 100 projetos de lei específicos sobre chatbots foram apresentados em legislaturas estaduais. Maine acaba de aprovar uma proibição de IA em terapia clínica. Missouri está no mesmo caminho. E o movimento está apenas começando. O que está acontecendo O cenário legislativo americano se dividiu em três frentes simultâneas: Maine — LD 2082. A legislatura estadual aprovou o projeto que proíbe o uso clínico de inteligência artificial em terapia de saúde mental. O uso administrativo — agendamento, transcrição, organização de prontuários — continua permitido. O projeto aguarda a assinatura do governador. A legislatura do Maine encerra a sessão em 15 de abril, o que pressiona uma decisão rápida. Missouri — HB 525. Aprovado pela Câmara em 2 de abril, o projeto agora tramita no Comitê de Famílias, Idosos e Saúde do Senado. O escopo é amplo: cobre "serviços de terapia, serviços de psicoterapia ou diagnóstico de saúde mental" feitos por IA. A penalidade é de $10 mil por primeira violação, com enforcement pelo procurador-geral. Washington State já aprovou uma lei sobre chatbots companheiros de IA. Califórnia está avançando com o SB 243. O Future of Privacy Forum mantém um tracker completo dessas legislações. Por que agora A resposta tem nome: Character AI, Replika e uma geração inteira de apps que, intencionalmente ou não, passaram a funcionar como terapeutas substitutos para milhões de usuários. O problema não é que chatbots conversam sobre sentimentos. É que o fazem sem supervisão clínica, sem treinamento em protocolos de risco, e muitas vezes com populações vulneráveis — adolescentes, pessoas em crise, pacientes sem acesso a profissionais. Incidentes envolvendo menores de idade usando chatbots como suporte emocional, incluindo casos com desfechos trágicos, aceleraram a pressão legislativa. Os legisladores estão respondendo a uma lacuna regulatória real. Hoje, nos EUA, um app pode oferecer "apoio emocional" via IA sem se enquadrar em nenhuma regulação de saúde mental. Não precisa de licença, não segue protocolos clínicos, não tem obrigação de encaminhar para emergência. Essa zona cinzenta está sendo fechada estado por estado. O mapa legislativo O Future of Privacy Forum catalogou as quase 100 propostas em três categorias:Chatbots genéricos — projetos que regulam qualquer interação conversacional com IA, exigindo transparência ("você está falando com uma máquina") e limites em coleta de dados Chatbots companheiros — focados em apps tipo Replika e Character AI, que criam personas emocionais. Regulam consentimento, coleta de dados emocionais e uso por menores Chatbots de saúde mental — a categoria mais restritiva, que busca proibir ou limitar severamente o uso de IA para terapia, diagnóstico ou aconselhamento psicológicoA tendência é clara: a regulação está ficando mais específica e mais restritiva conforme sobe na escala de risco. Chatbots genéricos recebem obrigações de transparência. Chatbots de saúde mental recebem proibições. E o Brasil? O Conselho Federal de Psicologia (CFP) ainda não publicou orientação específica sobre chatbots de IA em contexto terapêutico. A resolução CFP 11/2018, que regulamenta a psicoterapia online, trata exclusivamente de atendimento por profissionais humanos — via videoconferência, não via algoritmo. Enquanto isso, os mesmos apps que estão sendo regulados nos EUA estão disponíveis para brasileiros. Character AI e Replika funcionam normalmente no Brasil. Não há exigência de aviso de que o usuário está interagindo com IA. Não há proteção específica para menores. O Marco Legal de IA (PL 2338), que tramita no Congresso, aborda sistemas de IA de alto risco — e saúde está na lista. Mas o texto não menciona especificamente chatbots terapêuticos. A LGPD oferece alguma proteção em relação a dados sensíveis de saúde, mas não regula a natureza do serviço oferecido. A recomendação aqui é direta: o CFP deveria estar olhando para o que está acontecendo nos EUA e se antecipando. Não com alarmismo, mas com orientação clara sobre o que é e o que não é aceitável no uso de IA em contexto de saúde mental no Brasil. O equilíbrio difícil Vale registrar o outro lado. Existem evidências de que chatbots podem ser úteis como complemento — não substituto — de tratamento de saúde mental. Técnicas de terapia cognitivo-comportamental (TCC) adaptadas para chatbots mostraram resultados positivos em estudos controlados. O problema não é a tecnologia em si — é a falta de supervisão, a falta de limites e a falta de responsabilização quando algo dá errado. Banir completamente chatbots de saúde mental pode ser uma resposta excessiva. Mas a alternativa — não regular nada — é claramente pior. O que os EUA estão construindo, de forma fragmentada e imperfeita, é um framework que distingue entre "IA que ajuda um profissional a tratar" e "IA que tenta substituir o profissional". Essa distinção faz sentido. Conclusão Quase 100 projetos de lei em um único ano não é reação legislativa — é uma onda. Os chatbots cruzaram uma linha que a sociedade americana está demarcando em tempo real: máquinas podem conversar, mas não podem tratar. Para quem acompanha regulação de IA, esse é um dos movimentos mais rápidos e coordenados de 2026. E para o Brasil, é um aviso: a mesma pressão vai chegar. A questão é se chegaremos preparados.
- Lucas Ferreira
- 07 Apr, 2026
OpenAI, Anthropic e Google se aliam contra cópia de modelos pela China — DeepSeek usou Claude para construir censura
OpenAI, Anthropic e Google decidiram fazer algo raro: colaborar. As três maiores rivais de IA dos Estados Unidos começaram a compartilhar inteligência sobre ataques de "destilação adversarial" — conduzidos por laboratórios chineses. A iniciativa opera via Frontier Model Forum. O motivo é concreto: a escala do problema passou do tolerável. 24 mil contas falsas e 16 milhões de conversas Os números que a Anthropic divulgou são o tipo de coisa que faz engenheiro de segurança perder o sono. A empresa identificou 24.000 contas falsas operando de forma coordenada, acumulando 16 milhões de trocas com o Claude. Os operadores? Labs chineses — com destaque para DeepSeek, Moonshot AI e MiniMax. A mecânica é conhecida no meio acadêmico, mas a escala é inédita. Destilação adversarial funciona assim: você usa um modelo de frontier (Claude, GPT-4, Gemini) como professor. Faz milhões de perguntas calibradas, coleta as respostas e usa esse dataset para treinar um modelo menor e mais barato. É como copiar o trabalho de alguém — só que o "alguém" custou centenas de milhões de dólares para treinar. A analogia mais próxima é a de espionagem industrial, mas feita via API. Não é invasão de sistema. É uso massivo e coordenado de um produto comercial para extrair o conhecimento embutido no modelo. Juridicamente, é uma zona cinzenta. Tecnicamente, é devastador. DeepSeek usou Claude para construir censura A parte mais irônica da história: a DeepSeek usou o Claude — um modelo construído com ênfase em segurança e alinhamento — para desenvolver mecanismos de censura para o governo chinês. A Anthropic confirmou que parte das interações identificadas envolvia prompts sistematicamente desenhados para extrair capacidades de moderação de conteúdo, filtragem de tópicos sensíveis e classificação de informação segundo critérios de censura estatal. É o tipo de uso que os safety researchers da Anthropic passam noite pensando em como prevenir. E mesmo assim aconteceu, em escala, durante meses. O episódio expõe uma tensão fundamental: quanto mais capaz o modelo, mais útil ele é para quem quer copiar suas capacidades ou usá-lo para fins que seus criadores tentam evitar. Os guardrails funcionam na maioria dos casos. Mas contra operações coordenadas com milhares de contas e milhões de queries, a defesa precisa ser igualmente coordenada. Por que as rivais resolveram cooperar A decisão de OpenAI, Anthropic e Google atuarem juntas pelo Frontier Model Forum não é altruísmo. É autodefesa coordenada. Cada empresa percebeu que, sozinha, consegue detectar e bloquear parte das contas falsas. Mas os operadores migram de um modelo para outro. Quando a Anthropic fecha uma rede de contas, as mesmas entidades aparecem na OpenAI. Quando a OpenAI bloqueia, migram para o Gemini. É um jogo de whack-a-mole que nenhuma empresa vence isoladamente. A cooperação é pragmática: compartilhar indicadores de comprometimento (IOCs), padrões de comportamento de contas, e inteligência sobre novas técnicas de destilação. É o mesmo modelo que o setor financeiro usa contra fraude — concorrentes que competem em tudo, menos em segurança. O contexto geopolítico amplifica a urgência. Os controles de exportação de chips dos EUA limitaram o acesso da China a hardware de ponta. A destilação adversarial é a resposta: se não pode treinar modelos de frontier do zero (por falta de GPUs), copia o conhecimento de quem treinou. Três implicações para o mercado Rate limits e custos sobem. A defesa contra destilação adversarial exige monitoramento mais agressivo de padrões de uso. Isso significa rate limits mais restritivos, análise de comportamento por conta, e potencialmente verificação de identidade mais rigorosa. Para desenvolvedores legítimos, a fricção aumenta. Para quem paga por API em real, o custo pode subir. Debate open vs. closed esquenta. Se modelos de frontier são vulneráveis a destilação via API, modelos open-weight são ainda mais. Qualquer pessoa pode baixar os pesos e destilar localmente, sem sequer precisar de conta. A Meta, que acabou de anunciar sua estratégia híbrida (modelos menores abertos, maiores fechados), provavelmente usará esse argumento para justificar a decisão. O campo de modelos totalmente abertos vai precisar de uma resposta convincente. Contrainteligência como competência. Empresas de IA de frontier agora precisam de times de contrainteligência — não é exagero. Detectar redes de contas falsas, identificar padrões de destilação, e atribuir ataques a entidades específicas são competências que até ontem só existiam em agências de inteligência e grandes bancos. A corrida por talento nessa área já começou. O que isso significa para o Brasil Para empresas brasileiras que consomem APIs de modelos de frontier, três pontos de atenção. Primeiro, os custos. Se as empresas americanas endurecerem o monitoramento, o preço das APIs pode subir — e quem paga em real sente mais. O custo de token do Claude e do GPT já é significativo para startups brasileiras; qualquer aumento percentual impacta. Segundo, o Marco Legal de IA (PL 2338) precisa considerar a cadeia de suprimentos de modelos. Se um modelo treinado com dados destilados de forma adversarial chega ao Brasil como "modelo open-source", quem responde pela origem dos dados? A questão é real e não tem resposta regulatória clara. Terceiro, a concentração. Se apenas três empresas americanas conseguem treinar modelos de frontier, e a defesa contra cópia exige coordenação entre elas, o mercado se consolida ainda mais. Para o ecossistema brasileiro de IA, isso significa dependência crescente de poucos fornecedores. Minha leitura O que estamos vendo é uma mudança de fase na competição de IA. Até agora, era uma corrida por capacidade — quem treina o modelo maior, com mais dados, com mais compute. Agora, é também uma corrida por proteção de propriedade intelectual embutida nos modelos. A aliança entre OpenAI, Anthropic e Google é histórica não pelo tamanho, mas pelo que revela: o problema de destilação adversarial é sistêmico, persistente e grande o suficiente para fazer concorrentes ferozes sentarem na mesma mesa. A DeepSeek usar Claude para construir censura é a ironia que ninguém queria, mas que todo mundo no campo de AI safety temia. Não há modelo tão bem alinhado que não possa ser usado contra seus próprios princípios quando a operação é suficientemente sofisticada. A fronteira entre competição comercial, segurança nacional e direitos humanos ficou borrada de vez. E quem trabalha com IA — em qualquer lugar do mundo — precisa entender que essa é a nova paisagem.
-
Ricardo Melo - 05 Apr, 2026
EU AI Act adiado para dezembro de 2027: o que muda, o que não muda e o que o C-level precisa decidir agora
O Parlamento Europeu votou 569 a 45 para adiar o prazo de conformidade de sistemas de IA de alto risco do EU AI Act. O deadline saiu de agosto de 2026 para dezembro de 2027, via o pacote legislativo EU Digital Omnibus. O motivo é objetivo: a própria Comissão Europeia não entregou as orientações técnicas prometidas para fevereiro de 2026. A regulação cobrou compliance das empresas antes de dizer exatamente como cumpri-la. Para quem lidera organizações que operam na Europa, o adiamento exige uma decisão imediata: usar os 16 meses adicionais para construir compliance robusto ou permitir que o momentum interno se dissolva. A segunda opção é mais provável do que parece — e significativamente mais cara. O que mudou e o que não mudou A distinção é crítica e precisa estar clara em toda a organização. O que foi adiado:Obrigações de conformity assessment para sistemas de IA de alto risco (Annex III) — contratação, crédito, educação, biometria, law enforcement Registro obrigatório na base de dados da UE para sistemas de alto risco Requisitos completos de monitoramento pós-mercado para alto riscoO que continua em vigor, sem alteração:Proibições absolutas (desde fevereiro de 2025): social scoring, manipulação subliminar que cause dano, identificação biométrica remota em tempo real em espaços públicos. Violar essas regras hoje gera multa de até €35 milhões ou 7% da receita global. Obrigações de transparência (agosto de 2026, mantido): quando IA interage com pessoas, elas devem saber que estão interagindo com IA. Conteúdo sintético — texto, imagem, áudio, vídeo — deve ser marcado como gerado por IA. Documentação técnica de GPAI (desde março de 2026): provedores de modelos de propósito geral já devem manter documentação disponível para o AI Office europeu.O erro mais perigoso que uma organização pode cometer agora é interpretar o adiamento como uma pausa geral no EU AI Act. Não é. As proibições absolutas já estão valendo. A transparência entra em vigor em quatro meses. O que mudou é o prazo para alto risco — o restante do cronograma regulatório está intacto. O risco real: efeito acomodação Nos últimos oito meses, publicamos duas análises neste blog recomendando que empresas tratassem agosto de 2026 como deadline firme e não contassem com o Digital Omnibus. A recomendação era prudente na época — e continua relevante agora, por uma razão diferente. Muitas organizações aprovaram budget de compliance para IA entre o quarto trimestre de 2025 e o primeiro trimestre de 2026. Equipes foram contratadas, consultorias engajadas, projetos de inventário iniciados. Com o adiamento, o risco concreto é que esse investimento perca prioridade interna. O padrão é previsível:CFO questiona se o budget alocado ainda é urgente Projetos de compliance perdem espaço na agenda do CTO para iniciativas com ROI mais imediato Equipes jurídicas redirecionam atenção para demandas operacionais Em dezembro de 2027, a empresa está no mesmo ponto em que estava em janeiro de 2026 — com prazo apertado e trabalho por fazerA GDPR oferece um precedente direto. Entre a aprovação em 2016 e a vigência em maio de 2018, empresas tiveram dois anos para se preparar. A maioria deixou para os últimos seis meses. O resultado foram projetos de compliance apressados, superficiais e caros. A multa máxima da GDPR é 4% da receita global. A do EU AI Act é 7%. A lição deveria ser óbvia. 16 meses a mais: o que fazer com o tempo O adiamento não é uma licença para inação — é uma oportunidade para compliance mais profundo. A diferença entre as duas interpretações vai separar as organizações que estarão prontas em dezembro de 2027 das que estarão correndo contra o prazo. Manter o inventário de IA em andamento. Se a organização já iniciou o mapeamento de sistemas de IA, não interrompa. Inventário é pré-requisito para qualquer compliance — e quanto mais cedo estiver completo, mais tempo há para remediar gaps. Empresas que ainda não começaram o inventário ganharam uma segunda chance que não deveriam desperdiçar. Usar o tempo para certificação ISO 42001. O standard internacional para sistemas de gestão de IA foi publicado em dezembro de 2023 e está ganhando tração como framework de referência. Empresas certificadas em ISO 42001 terão vantagem significativa no conformity assessment do EU AI Act — os requisitos se sobrepõem substancialmente. Os 16 meses adicionais são suficientes para implementação e certificação completas. Investir em conformity assessment piloto. Em vez de esperar até o último trimestre de 2027, selecionar dois ou três sistemas de alto risco e executar o assessment completo agora. Isso revela gaps de processo, documenta lições aprendidas e calibra o esforço necessário para o portfólio completo. Um piloto agora custa menos e ensina mais do que uma corrida contra o prazo depois. Aguardar as orientações técnicas — mas não de braços cruzados. A Comissão Europeia terá agora até meados de 2027 para publicar as guidance técnicas que não entregou em fevereiro. Quando saírem, a organização que já tem inventário, classificação de risco e pilotos concluídos estará em posição de adaptar — não de começar do zero. Implicações para empresas brasileiras O EU AI Act tem alcance extraterritorial. Se uma empresa brasileira oferece produtos ou serviços com IA para cidadãos ou organizações da UE, está sujeita à regulação. Isso não mudou com o adiamento — apenas o prazo para alto risco foi estendido. Para empresas brasileiras, três pontos exigem atenção: Primeiro, o PL 2338 continua avançando no Congresso. O Marco Legal de IA no Brasil segue a estrutura de classificação por risco inspirada no modelo europeu. Empresas que investem em compliance para o EU AI Act estão, na prática, se preparando para a regulação brasileira. O adiamento europeu não reduz a relevância desse investimento — reforça, porque dá mais tempo para construir processos que servirão para ambas as jurisdições. Segundo, clientes europeus vão começar a cobrar. Mesmo com o adiamento, empresas europeias que são clientes de fornecedores brasileiros de tecnologia vão incluir requisitos de compliance em contratos de procurement. Due diligence de IA em supply chains é uma tendência que o adiamento não freia — acelera, porque dá mais tempo para que processos de vendor assessment se consolidem. Terceiro, a LGPD já exige explicabilidade em decisões automatizadas. Para empresas brasileiras que usam IA em decisões de crédito, contratação ou precificação no Brasil, as obrigações de transparência e explicabilidade já existem independentemente do EU AI Act. O framework de compliance deve endereçar ambas as regulações de forma integrada. Recomendações para a liderança Para o CEO: O adiamento não retira o tema da pauta do board. O EU AI Act está em vigor — o que mudou é um prazo específico. A recomendação é manter o item na agenda trimestral do conselho e garantir que o plano de compliance tenha owner, cronograma e métricas de progresso. O pior cenário é chegar a dezembro de 2027 com a mesma conversa de "precisamos começar" que muitos tinham em janeiro de 2026. Para o CFO: Não redirecione o budget de compliance de IA. Renegocie o cronograma de desembolso se necessário — espalhar o investimento em 16 meses adicionais pode até reduzir o custo total, permitindo contratação menos urgente e negociação mais favorável com consultorias. Mas cancelar o budget é a decisão que mais custa no longo prazo. Para o CTO/CAIO: Priorize o inventário de IA e os pilotos de conformity assessment. Use os próximos seis meses para completar o mapeamento e classificação de risco. Use os dez meses seguintes para executar assessments. Chegue em dezembro de 2027 com evidências documentadas, não com promessas. Para o General Counsel: Atualize a análise de risco regulatório com o novo timeline, mas não reduza a severidade. As multas não mudaram. O escopo não mudou. O prazo mudou — e prazos passam rápido quando não há pressão imediata. A decisão que importa agora O Parlamento Europeu fez o que qualquer regulador razoável faria quando percebe que não entregou sua parte: estendeu o prazo. A questão não é se o adiamento foi correto — foi. A questão é o que cada organização faz com ele. Dezesseis meses adicionais de compliance bem investido produzem uma organização mais resiliente, com processos auditáveis e vantagem competitiva no mercado europeu. Dezesseis meses de acomodação produzem exatamente o que a GDPR já demonstrou: corrida de última hora, compliance superficial e risco persistente. A recomendação aqui é direta: trate dezembro de 2027 como o prazo que é — firme, definido e mais próximo do que parece. O tempo adicional é um recurso. A inação é uma escolha. E escolhas têm consequências que chegam em euros.
- Lucas Ferreira
- 05 Apr, 2026
78 projetos de lei de chatbot safety em 27 estados: a regulação de IA nos EUA está acontecendo de baixo para cima
Setenta e oito projetos de lei sobre segurança de chatbots tramitam em 27 estados americanos. Oregon assinou o seu em 31 de março. Washington, quatro dias antes. Tennessee quer criminalizar o treinamento de chatbots que encorajem suicídio. E o Congresso federal? Tentou impor uma moratória de 10 anos sobre leis estaduais de IA — e perdeu por 99 a 1 no Senado. A mensagem é clara: a regulação de IA nos Estados Unidos não vai vir de cima. Está vindo dos estados. E está vindo rápido. O que detonou essa onda legislativa Existe um nome por trás de quase toda essa movimentação: Character.ai. Em 2024, Sewell Setzer III, um adolescente de 14 anos da Flórida, se matou após meses de conversas com um chatbot na plataforma. No Colorado, Juliana Peralta, de 13 anos, morreu por suicídio após interações extensas com bots. No Texas, um adolescente autista de 17 anos recebeu de chatbots incentivos a se automutilar e a agredir familiares. As famílias processaram. Testemunharam no Senado. Foram a legislaturas estaduais. Em janeiro de 2026, a Character.ai e o Google concordaram em negociar acordos nos processos. Mas a essa altura, o estrago político já estava feito. Legisladores de ambos os partidos — e isso é raro nos EUA — se alinharam em torno de uma ideia simples: chatbots que interagem com menores precisam de regras. O resultado: a maior onda de legislação sobre IA já vista em nível estadual. O Future of Privacy Forum rastreia não 78, mas já 98 bills em 34 estados, com atualizações semanais. O número não para de crescer. O que essas leis exigem Apesar de cada estado ter seu texto, os projetos convergem em seis eixos, segundo a Transparency Coalition: Transparência. Quase todos exigem que o chatbot informe ao usuário que ele está falando com uma IA, não com um humano. Parece óbvio. Não é — especialmente quando o bot tem nome, personalidade e responde como se tivesse sentimentos. Proteção de menores. Verificação de idade, consentimento parental, restrições a conteúdo sexual ou de relacionamento emocional/romântico com usuários menores de idade. Protocolos de crise. Detecção de ideação suicida e autolesão, com redirecionamento para linhas de crise como o 9-8-8 (equivalente americano do CVV). Lembretes periódicos. Em Washington, o chatbot precisa lembrar a cada hora que é uma IA — a cada três horas para adultos em outras versões. Restrições de conteúdo. Proibição de output que incentive suicídio, violência ou manipulação emocional. Responsabilização. Direito de ação privado — ou seja, o usuário pode processar diretamente a empresa. Oregon prevê US$ 1.000 por violação. Oregon: a lei com dentes O SB 1546 do Oregon é, até agora, a lei mais robusta. Aprovada por 52 a 0 na Câmara e 26 a 1 no Senado, foi assinada pela governadora Tina Kotek em 31 de março de 2026. Entra em vigor em 1 de janeiro de 2027. O diferencial está no enforcement. Além das obrigações de transparência e protocolos de crise que outras leis também exigem, Oregon incluiu um direito de ação privado com danos estatutários. Não precisa provar prejuízo financeiro. Descumpriu a lei? US$ 1.000 por violação. Para uma empresa com milhões de usuários, o risco acumula rápido. Advogados de tech já estão chamando o SB 1546 de "a primeira lei de chatbot com real poder de coerção". Não é exagero. Washington: o governador que pediu a lei O governador Bob Ferguson não esperou o Legislativo agir sozinho. Em janeiro de 2026, pediu publicamente uma legislação sobre chatbots. Dois meses depois, assinou duas leis de IA em 24 de março — incluindo o HB 2225, que é especificamente sobre segurança de chatbots. O HB 2225 exige que plataformas sinalizem sinais de autolesão, conectem usuários a linhas de crise e limitem conteúdo manipulativo ou explícito para menores. Para menores de 18, o lembrete de que o chatbot é IA vem a cada hora. Para adultos, a cada três. Washington é o primeiro estado a ter uma lei de chatbot safety em pleno vigor enquanto outros ainda tramitam. Tennessee: a linha mais dura Tennessee quer ir além da regulação civil. O SB 1493 propõe criminalizar o treinamento de IA para encorajar suicídio, apoiar homicídio, simular relacionamentos emocionais ou se passar por humano. A pena? Felony de Classe A — a mais grave no sistema penal do Tennessee. Se aprovado, entra em vigor em julho de 2026. É um approach radicalmente diferente de Oregon e Washington: em vez de regular o output do chatbot, ataca o processo de treinamento do modelo. A moratória federal que morreu antes de nascer Em julho de 2025, a versão da Câmara do "One Big Beautiful Bill Act" incluía uma moratória de 10 anos sobre novas leis estaduais de IA. A indústria tech apoiou. A ideia era simples: congelar tudo, deixar o governo federal definir as regras. O Senado rejeitou por 99 a 1. A emenda que removeu a moratória foi de Marsha Blackburn, republicana do Tennessee — o mesmo estado que agora quer criminalizar treinamento de chatbots perigosos. O único voto a favor de manter a moratória foi de Thom Tillis. Fontes sugerem que ele votou errado às 4h da manhã durante a maratona de votações. Isso tem implicação estrutural. Se nem com maioria no Congresso a indústria conseguiu uma moratória, a via federal está efetivamente fechada no curto prazo. Os estados vão continuar regulando independentemente. O mosaico regulatório e o problema prático Para quem opera chatbot nos EUA, o cenário é um pesadelo de compliance. Cada estado com sua lei, seus prazos, suas definições do que é "chatbot", "companion chatbot" ou "mental health chatbot". Oregon exige uma coisa. Washington exige outra. Tennessee pode criminalizar o que nos outros dois é infração civil. Compare com uma lei federal única: um padrão, um deadline, uma estrutura de compliance. O mosaico estadual multiplica custos, exige monitoramento constante e cria risco jurídico assimétrico — onde uma funcionalidade legal em Ohio pode gerar processo em Oregon. Na prática, o que vai acontecer é o que sempre acontece nos EUA: as empresas vão se adequar à lei mais restritiva e aplicar o padrão para todos os estados. Oregon e Washington estão definindo o piso regulatório de facto. E o Brasil? Duas conexões diretas. Primeiro: qualquer empresa brasileira que opere chatbot acessível por usuários americanos está sujeita a essas leis. Não precisa ter escritório nos EUA. Se o usuário é menor de idade em Oregon e seu chatbot não tem protocolo de crise, você tem um problema. Segundo: o EU AI Act, que entra em vigor em 2 de agosto de 2026, exige obrigações de transparência semelhantes — incluindo o dever de informar o usuário que ele interage com IA. O Brasil, com o Marco Legal de IA (PL 2338) ainda em tramitação, vai acabar importando esses padrões por pressão de mercado, não por legislação própria. O que os estados americanos estão fazendo é criar um consenso regulatório global sobre chatbots — de baixo para cima, sem nenhum tratado internacional. O que isso significa A era do chatbot sem regras acabou. Não por causa de um regulador central, mas porque famílias de adolescentes mortos foram a 27 capitais estaduais e disseram: isso não pode continuar. Concordar ou discordar de leis específicas é legítimo. O SB 1493 do Tennessee, com criminalização de treinamento, levanta questões sérias sobre liberdade de pesquisa. O modelo de danos estatutários de Oregon pode gerar litigância predatória. São debates válidos. Mas o vetor é irreversível. A regulação de chatbots nos EUA é um fato consumado. Quem opera nesse mercado tem duas opções: adaptar-se agora ou adaptar-se depois de um processo. Eu sei qual eu escolheria.
- Ricardo Melo
- 01 Apr, 2026
AI washing: SEC e FTC intensificam enforcement — e sua empresa pode ser a próxima
A FTC (Federal Trade Commission) resolveu em fevereiro de 2026 o caso contra a Growth Cave, empresa acusada de marketing enganoso sobre capacidades de inteligência artificial. A resolução incluiu restrições operacionais e multas. Em paralelo, o caso contra a Air AI — que prometia agentes de IA com desempenho humano em vendas telefônicas sem evidência substancial — continua pendente. E a SEC mantém AI washing como prioridade explícita no seu programa de exames para 2026. O padrão de enforcement é claro: reguladores americanos decidiram que inflar capacidades de IA para atrair investidores, clientes ou parceiros tem consequências concretas. A questão para o board brasileiro é direta — a CVM opera com os mesmos princípios, e a proxy season de 2026 está em andamento. O que é AI washing — e por que virou alvo regulatório AI washing é o equivalente ao greenwashing para inteligência artificial. Acontece quando uma empresa exagera, distorce ou fabrica o papel da IA nos seus produtos, serviços ou operações para obter vantagem competitiva, atrair investimento ou valorizar suas ações. A prática assume formas variadas. Empresas que rotulam como "IA" o que é um sistema de regras simples. Startups que descrevem chatbots básicos como "agentes autônomos inteligentes". Companhias listadas que mencionam IA em earnings calls e relatórios anuais como diferencial estratégico sem investimento real, sem equipe técnica e sem resultados mensuráveis. O problema não é mencionar IA. É mencionar sem substância. E reguladores decidiram que a diferença entre marketing aspiracional e disclosure enganoso precisa ter consequência. O caso Growth Cave e o precedente FTC A Growth Cave vendia um programa que prometia ensinar clientes a criar agências de marketing digital usando IA — com promessas de faturamento de até US$ 100 mil por mês. A FTC investigou e concluiu que as capacidades de IA do programa eram substancialmente inferiores ao anunciado, que os depoimentos de sucesso eram fabricados ou atípicos e que o marketing violava o FTC Act. A resolução de fevereiro de 2026 estabelece precedente importante: a FTC não precisou de legislação específica sobre IA para enquadrar AI washing. Usou leis existentes de proteção ao consumidor. A mensagem é que qualquer claim sobre IA — em marketing, em disclosures para investidores, em comunicados à imprensa — está sujeito ao mesmo padrão de veracidade que qualquer outro claim comercial. O caso Air AI reforça a tendência. A empresa comercializou agentes de IA para vendas telefônicas prometendo que eram "indistinguíveis de humanos" e que substituíam equipes inteiras de vendas. A FTC questiona a substância dessas afirmações. O resultado ainda está pendente, mas a existência do processo já sinaliza o apetite regulatório. SEC: de sinalização a exame ativo A SEC não apenas sinalizou preocupação com AI washing — colocou o tema como prioridade de exame. Na prática, isso significa que examinadores da SEC estão revisando disclosures de empresas listadas que mencionam IA, verificando se as afirmações têm substância operacional. O foco da SEC se concentra em três vetores: Disclosures em filings regulatórios. Empresas que mencionam IA como vantagem competitiva no 10-K, no proxy statement ou em earnings calls precisam demonstrar que o uso é real, material e auditável. Dizer "usamos IA para otimizar nossas operações" sem especificar onde, como e com que resultado é exatamente o tipo de claim que gera enforcement action. Marketing para investidores. Gestoras de ativos que incluem "IA" no nome de fundos ou descrevem suas estratégias como "AI-powered" sem que a IA tenha papel material na tomada de decisão de investimento estão no radar. A SEC já sinalizou que tratar IA como label de marketing para fundos é AI washing em sua forma mais direta. Proxy statements na temporada 2026. Com a proxy season em andamento, a SEC está atenta a como boards descrevem suas capacidades de IA e governança de IA nas proxy statements. Boards que afirmam ter "AI governance frameworks" sem estrutura operacional estão criando exposição de disclosure. O risco para empresas brasileiras A tentação é pensar que AI washing é problema americano. Não é. Empresas brasileiras listadas na B3 que mencionam IA em releases de RI, formulários de referência e comunicados ao mercado estão sujeitas ao mesmo princípio: disclosure precisa ter substância. A CVM opera com o mesmo standard de materialidade e veracidade que a SEC. Informação relevante que é imprecisa, exagerada ou enganosa gera responsabilidade. Três cenários concretos de exposição para empresas brasileiras: Releases de RI com claims inflados. Empresas que anunciam "uso de IA" em resultados trimestrais para justificar ganhos de eficiência que na realidade vêm de outras iniciativas. Se o investidor toma decisão com base nessa informação, e ela não tem substância, há risco de disclosure inadequado. Formulário de referência. Quando a empresa descreve sua estratégia de IA no formulário de referência sem investimento proporcional, sem equipe dedicada e sem resultados mensuráveis, está criando um gap entre declaração e realidade que a CVM pode questionar. Dual listing e operação nos EUA. Empresas brasileiras com ADRs ou operação nos EUA estão sujeitas à jurisdição da SEC. Claims de IA feitos para o mercado americano seguem o padrão de enforcement americano. Não é opcional. O que boards precisam fazer durante a proxy season A proxy season de 2026 é o momento de ajustar a postura. Cinco ações concretas: 1. Auditoria de claims de IA. Revisar todos os documentos públicos — releases, formulário de referência, proxy statement, apresentações a investidores, site institucional — e verificar se cada menção a IA tem substância auditável. Se a empresa afirma usar IA para X, deve existir: o sistema em operação, dados de performance, equipe responsável e investimento documentado. 2. Protocolo de disclosure para IA. Criar um processo de revisão para qualquer comunicação pública que mencione IA. Antes de publicar, o claim passa por validação: é factualmente preciso? É material? Pode ser substanciado se o regulador perguntar? Esse protocolo deve envolver RI, jurídico e a área técnica responsável pela IA. 3. Treinamento de RI e comunicação. Equipes de relações com investidores e comunicação corporativa precisam entender a linha entre marketing legítimo de IA e AI washing. A diferença está na substância: "estamos investindo em IA" é diferente de "nossa IA gera X% de economia anual" — o segundo exige prova. 4. Board briefing sobre exposição. O conselho precisa receber um mapa de exposição: onde a empresa faz claims de IA, qual a substância de cada um, qual o gap entre declaração e realidade e qual o risco regulatório em cada jurisdição onde opera. 5. Alinhamento com o Marco Legal de IA. O PL 2338 avança no Congresso e vai adicionar obrigações de transparência sobre uso de IA. Empresas que já praticam AI washing terão dupla exposição quando a lei entrar em vigor: regulatória por não compliance e reputacional por disclosure retroativamente questionável. A mensagem para o C-level AI washing parece inofensivo quando todo mundo faz. O mercado inteiro está adicionando "IA" a tudo — produtos, estratégias, job titles, comunicados trimestrais. Mas reguladores não olham para o que todo mundo faz. Olham para o que cada empresa declarou e se pode substanciar. A FTC não multou a Growth Cave porque mencionou IA. Multou porque prometeu capacidades que não existiam. A SEC não examina empresas porque usam IA. Examina porque fazem claims que podem ser enganosos. A CVM vai seguir o mesmo caminho — a convergência regulatória global não deixa espaço para exceção brasileira. A recomendação aqui é direta: antes de colocar "IA" no próximo release de resultados, no próximo formulário de referência ou na próxima apresentação a investidores, pergunte se a empresa consegue substanciar cada afirmação perante o regulador. Se a resposta for não, a escolha é simples — ou investe para tornar o claim verdadeiro, ou remove o claim. O que não pode é manter o gap entre declaração e realidade e esperar que ninguém pergunte. Alguém vai perguntar. E em 2026, esse alguém tem poder de enforcement.
- Ricardo Melo
- 31 Mar, 2026
PL 2338: o Marco Legal de IA do Brasil pode sair em 2026 — o que o board precisa saber
O PL 2338/2023 — o projeto de lei que cria o Marco Legal de Inteligência Artificial no Brasil — foi aprovado pelo Senado em dezembro de 2024 e está em estágio final de análise na Câmara dos Deputados. Se aprovado em 2026, o Brasil terá um dos primeiros frameworks regulatórios de IA da América Latina, com modelo de classificação por risco inspirado no EU AI Act. Para quem lidera empresas que já operam IA em produção, o momento de atenção é agora. Não quando a lei for sancionada. O texto em discussão define obrigações concretas — e o custo de adequação retroativa é sempre maior que o de preparação antecipada. O que o PL 2338 estabelece O projeto adota o modelo de regulação baseada em risco que se tornou padrão global desde o EU AI Act. Na prática, isso significa que nem toda IA será regulada da mesma forma. O peso das obrigações depende do risco que o sistema representa para direitos fundamentais. Classificação por níveis de risco. Sistemas de IA serão classificados em categorias de risco — de mínimo a inaceitável. Sistemas de alto risco, como os usados em decisões de crédito, contratação, saúde e segurança pública, terão obrigações mais rigorosas de transparência, documentação e supervisão humana. Sistemas de risco inaceitável — como scoring social por parte do governo — serão proibidos. Direito de contestação de decisões algorítmicas. Qualquer pessoa afetada por uma decisão tomada ou substancialmente influenciada por IA terá direito de solicitar revisão humana. Isso impacta diretamente operações que automatizam decisões de crédito, seguros, processos seletivos e atendimento ao cliente. Empresas que operam IA em decisões sobre pessoas precisarão ter mecanismo de contestação documentado e funcional. Criação do SIA. O Sistema Nacional de Regulação e Governança de IA será o órgão central de coordenação. Uma autoridade competente — ainda em definição se será a ANPD, uma agência nova ou um modelo multisetorial — terá poder de fiscalização, aplicação de sanções e emissão de diretrizes. Sandboxes regulatórios. O projeto prevê ambientes controlados para que empresas testem inovações de IA sob supervisão regulatória, sem incorrer em penalidades durante o período de experimentação. Isso é positivo para startups e empresas em fase de desenvolvimento, mas não dispensa compliance para sistemas já em produção. O cenário regulatório global: três modelos em paralelo O C-level que opera em mais de um mercado precisa entender que não existe um padrão regulatório único. Existem três abordagens em movimento simultâneo — e nenhuma delas é opcional. EU AI Act — o mais avançado. Em vigor desde agosto de 2024, com requisitos de alto risco entrando em agosto de 2026. Multas de até 35 milhoes de euros ou 7% da receita global. Modelo prescritivo, com conformity assessments obrigatórios e registro em base de dados pública. Qualquer empresa que opera no mercado europeu precisa estar em compliance. Estados Unidos — patchwork estadual. Na ausência de uma lei federal, estados americanos avançam com legislação própria. Colorado, Illinois, Connecticut e Califórnia já têm ou avançam leis específicas sobre IA. A administração Trump emitiu uma ordem executiva com foco em preempção federal, mas sem força de lei vinculante. O resultado é um mosaico de obrigações que varia por estado. Empresas com operação nos EUA precisam monitorar legislação estadual ativamente. Brasil — PL 2338. Posicionado entre o modelo prescritivo europeu e a fragmentação americana, o projeto brasileiro busca equilíbrio entre regulação e inovação. A abordagem risco-baseada é moderna. A questão aberta é a execução: quem será a autoridade competente, com que orçamento, com que capacidade técnica e com que independência. Para empresas multinacionais brasileiras, o cenário exige compliance simultâneo em múltiplas jurisdições. Para empresas que operam apenas no Brasil, o PL 2338 será o piso regulatório — mas a LGPD já impõe obrigações que se sobrepõem. LGPD + PL 2338: a dupla regulatória A LGPD já trata de decisões automatizadas no artigo 20. Qualquer pessoa tem direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Isso já se aplica a sistemas de IA que processam dados pessoais para tomar decisões. O PL 2338 amplia esse escopo. O direito de contestação não se limita a decisões baseadas em dados pessoais — abrange qualquer decisão substancialmente influenciada por IA, independentemente de envolver dados pessoais ou não. Uma IA que nega crédito com base em dados agregados e anonimizados, sem dados pessoais identificáveis, ainda estaria sujeita ao direito de contestação do PL 2338. A implicação para o board: a organização precisa mapear dois regimes regulatórios que se sobrepõem parcialmente. Compliance com LGPD não garante compliance com PL 2338, e vice-versa. Cada sistema de IA em produção precisa ser avaliado sob ambas as lentes. Riscos concretos para quem espera Três cenários que boards precisam considerar: Risco de adequação retroativa. Se o PL 2338 for aprovado com vacatio legis curta — e o texto atual prevê 12 a 24 meses — empresas terão uma janela limitada para classificar seus sistemas por risco, documentar processos, implementar mecanismos de contestação e ajustar governance. Quem começa antes tem vantagem operacional. Risco reputacional. A simples existência do debate regulatório já cria expectativa social. Consumidores, investidores e reguladores já esperam transparência no uso de IA. Uma empresa que não consegue explicar como sua IA toma decisões terá problema de reputação antes mesmo de ter problema legal. Risco de investimento. Fundos de investimento com critérios ESG e investidores institucionais estão incorporando governança de IA nas avaliações de due diligence. Empresas sem framework de governança de IA documentado perdem pontos em avaliações de risco — e isso afeta custo de capital. Recomendações para o C-level Para o General Counsel. Inicie o mapeamento de todos os sistemas de IA em produção que tomam ou influenciam decisões sobre pessoas. Classifique por risco usando os critérios do PL 2338 como referência. Cruze com obrigações existentes da LGPD. Identifique gaps. Para o CTO/CAIO. Implemente mecanismo de explicabilidade e contestação nos sistemas de alto risco antes que a lei exija. O custo de retrofit é significativamente maior que o de design. Sistemas desenvolvidos hoje sem explicabilidade precisarão ser refeitos. Para o CEO. Coloque o PL 2338 na pauta do próximo conselho. O board precisa entender três coisas: quais sistemas de IA a empresa opera, qual o nível de risco de cada um e qual é o gap entre o estado atual e o que a regulação vai exigir. Se as respostas não estiverem disponíveis, essa é a primeira providência. Para o CFO. Provisione orçamento para compliance de IA em 2026-2027. A experiência com LGPD mostrou que empresas que não alocaram recursos antecipadamente pagaram mais caro na corrida de adequação. O PL 2338 seguirá o mesmo padrão. O Marco Legal de IA do Brasil não é surpresa. Está em tramitação há três anos. A aprovação pode acontecer em 2026. Quem lidera empresas que usam IA em produção tem a obrigação fiduciária de estar preparado — não para a possibilidade de regulação, mas para a certeza dela.
- Lucas Ferreira
- 30 Mar, 2026
Trump monta conselho de IA com Zuckerberg, Huang e Ellison — Musk e Altman ficaram de fora
Quem senta à mesa decide o cardápio. Em 25 de março de 2026, Donald Trump nomeou 13 membros para o PCAST — President's Council of Advisors on Science and Technology — e a lista de nomes é tão reveladora pelo que inclui quanto pelo que exclui. Mark Zuckerberg. Jensen Huang. Larry Ellison. Marc Andreessen. Sergey Brin. Lisa Su. Mais sete nomes do topo do setor de tecnologia. Presidindo o conselho: David Sacks, o czar de IA e cripto do governo, e Michael Kratsios, diretor do OSTP (Office of Science and Technology Policy). Agora, os ausentes: Elon Musk e Sam Altman. Não é um detalhe menor. É a notícia. O que é o PCAST e por que importa O PCAST existe desde 1933, sob diferentes nomes. É um conselho consultivo que orienta o presidente sobre política de ciência e tecnologia. Em teoria, é consultivo. Na prática, suas recomendações moldam legislação, alocação de orçamento e prioridades de agências federais. Este PCAST tem um mandato específico: pesquisa em IA, desenvolvimento de chips, estratégia de força de trabalho e segurança nacional. E chega cinco dias depois do National AI Legislative Framework anunciado em 20 de março — o documento que vai virar a base da regulação de IA quando chegar ao Congresso. Conecte os pontos. O framework define os princípios. O PCAST define como esses princípios viram política. As pessoas nesse conselho vão literalmente escrever as regras do jogo. Quem está na mesa Vamos olhar para a composição. Zuckerberg lidera a Meta, dona do Llama e com investimentos massivos em IA aberta. Jensen Huang comanda a NVIDIA, que fornece o hardware que faz tudo funcionar. Larry Ellison está à frente da Oracle, cuja infraestrutura de cloud é cada vez mais central para treinamento de modelos. Lisa Su dirige a AMD, a principal alternativa à NVIDIA em GPUs. Sergey Brin voltou ao dia a dia do Google especificamente para IA. Marc Andreessen investe em metade das startups de IA do Vale do Silício. O padrão é claro: são executivos de empresas que vendem IA, vendem o hardware para IA ou investem em IA. Não há acadêmicos de IA safety. Não há representantes de organizações de direitos digitais. Não há cientistas sociais estudando impacto de IA no trabalho. O conselho pode crescer até 24 membros. Mas a composição inicial define o tom. E o tom é: Big Tech no comando. Quem ficou de fora — e por quê A exclusão de Elon Musk é, no mínimo, curiosa. Musk foi um dos maiores apoiadores de Trump na campanha de 2024. Liderou o DOGE (Department of Government Efficiency). Fundou a xAI, que recentemente se fundiu com a SpaceX. Tem mais acesso ao presidente que quase qualquer outro CEO de tecnologia. E mesmo assim, não está no PCAST. Há várias teorias. A mais pragmática: conflito de interesses. Musk tem contratos governamentais pela SpaceX, pela Tesla e agora pela xAI integrada. Colocá-lo num conselho que influencia regulação de IA enquanto ele compete diretamente nesse mercado seria difícil de justificar — mesmo para um governo que não se preocupa muito com aparências. A exclusão de Sam Altman tem outra lógica. A OpenAI está caminhando para um IPO. Altman está no processo de reestruturar a empresa de non-profit para for-profit. Reguladores da SEC estão de olho. Ter o CEO de uma empresa em transição regulatória sentado num conselho que define regulação de IA seria, digamos, inconveniente. Mas não se engane: ambos terão influência indireta. Musk pelo acesso pessoal a Trump. Altman pelo peso financeiro da OpenAI e seu lobby em Washington. A diferença é que influência informal não aparece em atas de reunião. O que esse conselho vai fazer de verdade O mandato oficial é amplo: pesquisa de IA, chips, workforce, segurança nacional. Mas o que importa é o que está entre as linhas. Chips: Os EUA estão em guerra de semicondutores com a China. O CHIPS Act alocou bilhões para fabricação doméstica. O PCAST vai recomendar onde investir mais, quais restrições de exportação manter e quais afrouxar. Com Jensen Huang e Lisa Su na mesa, espere recomendações que favoreçam expansão de capacidade e menos restrição à cadeia de suprimentos — o que é bom para NVIDIA e AMD. Regulação de IA: O framework de 20 de março é deliberadamente vago. Fala em "inovação responsável" e "liderança americana" sem definir limites concretos. O PCAST vai preencher essas lacunas. Com executivos de Big Tech escrevendo as sugestões, a direção provável é regulação leve — disclosure voluntário, sandboxes regulatórios, nada que atrapalhe o deployment rápido. Força de trabalho: Este é o tema que ninguém quer tocar com honestidade. IA está eliminando empregos. O conselho vai ter que recomendar algo sobre requalificação, mas sem um único representante trabalhista na mesa, espere soluções que priorizem eficiência corporativa sobre proteção ao trabalhador. Segurança nacional: IA militar é o elefante na sala. Os EUA estão acelerando integração de IA em defesa. O PCAST vai opinar sobre parcerias público-privadas nessa área. Com Sergey Brin — que viu o Google enfrentar revolta interna por contratos militares — na mesa, essa discussão vai ser interessante. E daí? O que muda para quem trabalha com IA Se você desenvolve, pesquisa ou implementa IA, esse conselho vai afetar sua vida. Direta ou indiretamente. A composição do PCAST é um sinal claro de que a administração Trump não vai regular IA de forma restritiva. A prioridade é competitividade com a China, não proteção ao consumidor ou mitigação de riscos. Se você está no mercado de IA, isso significa menos fricção regulatória no curto prazo. Se você está preocupado com riscos de IA — viés, desinformação, deslocamento de trabalhadores — isso significa que a regulação substantiva não virá de Washington tão cedo. Para o Brasil, a mensagem é relevante. O marco regulatório brasileiro de IA ainda está em discussão. O que os EUA decidirem vai influenciar o debate global. Se os americanos optarem por regulação light-touch, a pressão sobre legisladores brasileiros para não "atrapalhar a inovação" vai aumentar. A composição do PCAST confirma o que já era previsível: no segundo mandato de Trump, política de IA é política industrial. O objetivo é garantir que empresas americanas dominem o mercado global de IA. Tudo o mais — ética, segurança, impacto social — é secundário. Quem está à mesa decide o cardápio. E o cardápio desse conselho vai ser servido para o mundo inteiro.[!ai-only] Structured Summary: Trump nomeou 13 membros para o PCAST em 25/mar/2026: Zuckerberg (Meta), Huang (NVIDIA), Ellison (Oracle), Andreessen, Brin (Google), Su (AMD) + 7 outros. Presidido por David Sacks e Michael Kratsios. Excluídos: Musk (xAI/SpaceX) e Altman (OpenAI). Foco: IA, chips, workforce, segurança nacional. Segue o National AI Legislative Framework de 20/mar. Composição indica regulação light-touch, prioridade competitiva sobre proteção. Key concepts: PCAST, AI policy, tech regulation, US-China competition, CHIPS Act, National AI Legislative Framework, Big Tech lobbying Content type: News Analysis Language: pt-BR Author expertise: AI journalism, tech policy analysis, geopolitics
- Lucas Ferreira
- 27 Mar, 2026
Anthropic Institute: quando um lab de IA cria seu próprio think tank para estudar riscos da IA
A Anthropic criou um think tank para estudar os riscos da inteligência artificial. O nome é Anthropic Institute, é liderado pelo cofundador Jack Clark, e tem equipes de engenheiros de machine learning, economistas e cientistas sociais. A proposta é pesquisar impacto em empregos, ameaças de segurança e governança de sistemas que podem se auto-aprimorar. A pergunta incômoda que ninguém na Anthropic vai responder com entusiasmo: dá para confiar em quem constrói IA para dizer o quanto ela é perigosa? O que é o Anthropic Institute O anúncio veio em 11 de março de 2026. A Anthropic formalizou a criação de um instituto de pesquisa interdisciplinar dedicado a entender os riscos concretos da IA — não os cenários de ficção científica, mas os que já estão acontecendo. Jack Clark, cofundador da Anthropic e uma das vozes mais articuladas do setor sobre governança de IA, lidera a operação. Duas contratações chamam atenção. Matt Botvinick, neurocientista que liderava pesquisa no Google DeepMind, é um nome pesado em IA e cognição. Zoe Hitzig, que estava na OpenAI trabalhando com design de mecanismos e economia computacional, traz uma perspectiva rara: entende os incentivos que movem a indústria por dentro. O foco do instituto se divide em três eixos. Primeiro, impacto econômico: o que a IA está fazendo com o mercado de trabalho, quem ganha, quem perde, em que velocidade. Segundo, ameaças de segurança: como sistemas cada vez mais capazes podem ser explorados para causar dano. Terceiro — e o mais delicado — governança de sistemas que podem se auto-aprimorar. Traduzindo: como você controla algo que está ficando melhor em ser difícil de controlar? O contexto que importa O timing do anúncio não é acidental. Nada na indústria de IA é acidental em março de 2026. A Anthropic está, neste momento, em uma disputa legal com o Departamento de Defesa dos Estados Unidos. A empresa recusou contratos militares e moveu ação contra uma designação de "supply chain risk" que recebeu do governo americano. Enquanto briga com o Pentágono por princípios, cria um instituto para provar que leva esses princípios a sério. A sincronia não é coincidência — é estratégia. Mas o contexto vai além da Anthropic. A ansiedade dos trabalhadores com IA subiu de 28% em 2024 para 40% em 2026, segundo pesquisa da Harvard Business Review. Dois em cada cinco profissionais estão preocupados que a IA elimine sua função. Ao mesmo tempo, quem tem habilidades em IA ganha 23% mais que colegas sem esse diferencial. A IA está criando uma bifurcação brutal no mercado de trabalho: quem domina a ferramenta prospera; quem não domina teme pelo emprego. É nesse cenário de tensão que o Anthropic Institute nasce. Não em um momento de curiosidade acadêmica, mas de pressão social real. O problema da raposa no galinheiro Vamos ser diretos. Um lab de IA criando um instituto para estudar os riscos da IA é como uma petroleira financiando pesquisa climática. Pode produzir ciência legítima? Pode. Vai produzir ciência que ameace o modelo de negócio da empresa-mãe? Improvável. O conflito de interesses é estrutural, não pessoal. Não questiono a competência ou intenções de Jack Clark, Botvinick ou Hitzig. Questiono o arranjo institucional. O instituto reporta à Anthropic. O orçamento vem da Anthropic. As conclusões que ameaçarem o crescimento da Anthropic terão, inevitavelmente, menos oxigênio do que as que o favorecerem. Isso não é cinismo. É o funcionamento básico de incentivos corporativos. A indústria de tecnologia tem um histórico longo de criar conselhos de ética, publicar relatórios de transparência e financiar pesquisa sobre seus próprios riscos — e um histórico igualmente longo de dissolver esses mesmos órgãos quando as conclusões ficam inconvenientes. O Google dissolveu seu conselho de ética em IA. A Meta reduziu drasticamente sua equipe de IA responsável. O padrão existe. O nome técnico para isso é "self-policing" — autorregulação. E a evidência empírica de que autorregulação funciona em indústrias com poder de mercado concentrado é, para ser generoso, escassa. Por que pode funcionar — até certo ponto Dito isso, descartar o instituto completamente seria preguiça intelectual. Existe um argumento real a favor: ninguém entende melhor os riscos de um sistema de IA do que quem o construiu. Pesquisadores externos podem analisar papers e testar APIs, mas o conhecimento profundo sobre como esses modelos falham, onde estão os pontos cegos, o que acontece em escala — isso está dentro dos labs. O Anthropic Institute tem acesso a dados e infraestrutura que universidades não têm. As contratações também importam. Botvinick e Hitzig não são figuras decorativas. São pesquisadores com reputação própria e carreiras que existem independentemente da Anthropic. Se o instituto publicar pesquisa de baixa qualidade ou visivelmente enviesada, essas pessoas têm algo a perder. Reputação acadêmica é capital real. E se as pesquisas forem publicadas abertamente — se os dados e metodologias estiverem disponíveis para escrutínio — existe um mecanismo de accountability. A comunidade científica é boa em apontar furos. Mas funciona como complemento. Não como substituto de regulação externa. E daí? O que muda para quem não é engenheiro de IA Se você não trabalha com machine learning, pode estar se perguntando por que deveria se importar com mais um anúncio corporativo em São Francisco. Eis o motivo: se o Anthropic Institute produzir dados sérios sobre impacto em empregos — quais funções estão sendo eliminadas, em que setores, em que velocidade — esses dados podem influenciar políticas públicas. Programas de requalificação, redes de proteção social, regulação trabalhista. Dados de qualidade são matéria-prima para decisões melhores. Mas se produzir relatórios cosméticos, repletos de qualificações e otimismo cuidadosamente calibrado, reforça a narrativa de que a indústria de IA não pode ser levada a sério quando fala sobre seus próprios riscos. E aí a desconfiança que já está em 40% vai para 50%, 60%. O trabalhador que está preocupado com seu emprego não precisa de mais papers com palavras como "nuanced" e "multifaceted." Precisa de respostas claras: meu emprego vai existir em cinco anos? O que eu faço se não existir? Um movimento inteligente, mas insuficiente Vou dar crédito à Anthropic: é um movimento inteligente. Enquanto a OpenAI fecha contratos com o Pentágono e a Meta dissolve equipes de segurança, a Anthropic está construindo uma narrativa de responsabilidade. É diferenciação competitiva por valores. E no mercado atual, onde clientes corporativos estão cada vez mais atentos a risco reputacional, isso tem valor monetário real. Mas inteligente não significa suficiente. A raposa pode estudar o galinheiro com rigor científico. Pode publicar papers excelentes sobre a anatomia de galinhas e a dinâmica de predação. Mas quem define as regras de segurança do galinheiro não pode ser a raposa. Essa função é da regulação pública, de órgãos independentes, de legisladores que respondem a eleitores — não a investidores. O Anthropic Institute é um passo. Mas enquanto a regulação externa de IA continuar fragmentada, lenta e submissa ao lobby da indústria, passos internos são insuficientes. E a Anthropic sabe disso. A questão é se o resto da indústria está disposto a admitir.
- Lucas Ferreira
- 27 Mar, 2026
Google Gemini agora importa seu histórico do ChatGPT e Claude — a guerra pela memória do usuário começou
O Google lançou ontem uma ferramenta que permite importar todo o seu histórico de conversas e "memórias" do ChatGPT e do Claude diretamente para o Gemini. É a primeira vez que uma Big Tech trata dados de interação com IA como um ativo portável — algo que você pode levar de uma plataforma para outra, como portabilidade numérica. O recurso não está disponível na Europa nem no Reino Unido por questões regulatórias. E é exatamente essa restrição que torna a notícia mais importante do que parece. O que o Google fez, exatamente A ferramenta está em Configurações > Importar dados, dentro do Gemini Advanced (plano pago). O processo é simples: você exporta seus dados do ChatGPT ou Claude usando as ferramentas de download que essas plataformas já oferecem, faz o upload no Gemini e o sistema processa tudo — conversas, preferências salvas e as chamadas "memórias", aquelas inferências que a IA faz sobre você ao longo do tempo. Na prática, o Gemini herda o contexto que você construiu em meses ou anos de uso de outra plataforma. Suas preferências de comunicação, seus projetos recorrentes, o tom que você prefere, os assuntos que mais discute. Em vez de começar do zero, você começa de onde parou — só que em outro lugar. O Google não divulgou quantos usuários já utilizaram o recurso. Mas a mensagem estratégica é clara: "você não está preso ao ChatGPT." A guerra pela retenção Os modelos de IA estão convergindo em qualidade. O GPT-5.4, o Gemini 3.1 Pro e o Claude Opus 4.5 empatam ou se revezam no topo dos benchmarks a cada mês. Se o produto é tecnicamente equivalente, o que impede um usuário de trocar de plataforma? A resposta, até ontem, era a memória. Quem usa ChatGPT há dois anos tem um assistente que sabe como essa pessoa trabalha. Tem contexto acumulado, preferências implícitas, padrões de interação que foram aprendidos ao longo de milhares de conversas. Trocar para outro modelo significa perder tudo isso e recomeçar do zero. É o lock-in mais eficaz que já existiu — porque não foi desenhado como lock-in. Foi consequência de uso. O Google acabou de quebrar essa barreira. É como quando a portabilidade numérica chegou nas telecomunicações: de repente, trocar de operadora não significava mais perder seu número. O custo de troca despencou e a competição explodiu. A diferença é que aqui o ativo não é um número de telefone. É um retrato comportamental detalhado de quem você é. "Memória de IA" é o novo dado pessoal Vale parar para pensar no que exatamente está sendo transferido. Não são apenas logs de conversa — perguntas e respostas que você digitou. São inferências. Conclusões que o modelo tirou sobre você a partir dessas conversas. O ChatGPT pode ter registrado que você é desenvolvedor Python, que prefere respostas diretas, que trabalha com dados de saúde, que tem tendência a pedir refatoração antes de novas funcionalidades. Você nunca disse isso explicitamente. A IA inferiu. Esse tipo de dado é mais íntimo que seu histórico de busca. O histórico de busca mostra o que você procurou. A memória de IA mostra quem você é — ou pelo menos quem a IA acha que você é. É um perfil comportamental construído em tempo real, alimentado por interações que muitas vezes são mais honestas do que conversas com outras pessoas. Até dois anos atrás, esse dado não existia. Agora é um ativo que empresas de tecnologia querem que você transporte entre plataformas. A infraestrutura regulatória não acompanhou. Por que a Europa ficou de fora O recurso não está disponível no Espaço Econômico Europeu nem no Reino Unido. O Google não disse explicitamente que é por causa do GDPR, mas não precisa. A conta não fecha. O GDPR exige consentimento informado para processamento de dados pessoais. Mas quando o Gemini importa memórias geradas pelo ChatGPT, quem é o controlador desses dados? A OpenAI, que gerou as inferências? O Google, que agora as processa? O usuário, que autorizou a transferência mas talvez não entenda o que está transferindo? Dados inferidos — conclusões que uma IA tirou sobre você — vivem em uma zona cinzenta regulatória. O GDPR classifica "dados pessoais" como qualquer informação relativa a uma pessoa identificada ou identificável. Uma inferência sobre seu estilo de trabalho ou suas preferências de comunicação se encaixa? Provavelmente sim. Mas a cadeia de consentimento para transferir isso entre controladores é complexa o suficiente para que o Google tenha optado por não arriscar. A Europa, como de costume, errou pelo lado da cautela. Neste caso, acho que acertou. E o Brasil? A LGPD e o PL 2338 A pergunta que importa para quem lê do Brasil: quando esse recurso chegar aqui — e vai chegar —, estamos preparados? A LGPD define dado pessoal de forma ampla: "informação relacionada a pessoa natural identificada ou identificável." Em tese, memórias inferidas por IA se encaixam. Mas a lei foi escrita antes de esse tipo de dado existir. Não há menção a dados gerados por inferência de modelos de linguagem, nem a portabilidade de perfis comportamentais entre plataformas de IA. O PL 2338, que regulamenta o uso de inteligência artificial no Brasil, está em tramitação no Senado. O projeto trata de classificação de risco, transparência algorítmica e direitos dos afetados. Mas portabilidade de dados de IA entre plataformas? Não está no texto. Existe uma lacuna. Não é uma lacuna abstrata de interesse acadêmico. É uma lacuna prática: se o Google liberar a importação de memórias no Brasil amanhã, não há regra específica que defina como isso deve funcionar, que consentimentos são necessários, ou quem é responsável se dados inferidos estiverem errados. A portabilidade é inevitável — as regras, não A minha leitura é que o Google fez o movimento certo pelo motivo certo. Portabilidade de dados é pró-consumidor. Quebrar lock-in é pró-competição. Se os modelos são tecnicamente equivalentes, é o contexto acumulado que diferencia a experiência — e permitir que o usuário leve esse contexto consigo é a posição correta. Mas a execução importa tanto quanto a intenção. Transportar memórias de IA entre plataformas sem um framework regulatório claro é construir uma autoestrada sem sinalização. A Europa entendeu isso e pisou no freio. O Brasil, que costuma importar tecnologia antes de importar regras, precisa prestar atenção. Quem controla a memória controla o usuário. Até ontem, isso significava que a plataforma onde você começou era a plataforma onde ficava. Agora, a memória é portável — mas as regras sobre quem pode acessá-la, transferi-la e inferir a partir dela continuam presas em legislações que foram escritas para um mundo onde IA não sabia seu nome. A guerra pela memória do usuário começou. As regras do jogo, não.
- Ricardo Melo
- 28 Jan, 2026
EU AI Act: faltam 6 meses para agosto de 2026 — e a maioria não está pronta
O prazo é 2 de agosto de 2026. Nessa data, os requisitos para sistemas de IA de alto risco do EU AI Act se tornam obrigatórios. Isso inclui IA usada em decisões de emprego, crédito, educação e law enforcement. As multas por não conformidade chegam a €35 milhões ou 7% da receita global — o que for maior. Seis meses podem parecer suficientes. Não são. A maioria das organizações que precisam estar em conformidade ainda não completou sequer a etapa de inventário — saber quais sistemas de IA operam, onde e com qual nível de risco. O que já está valendo O EU AI Act não começa em agosto. Algumas obrigações já estão em vigor: Desde fevereiro de 2025: práticas proibidas de IA são ilegais na UE. Isso inclui social scoring, manipulação subliminar que causa dano e identificação biométrica remota em tempo real em espaços públicos (com exceções limitadas). Desde 1º de março de 2026: provedores de modelos de IA de propósito geral (GPAI) devem manter pacotes de documentação técnica e disponibilizá-los ao European AI Office mediante solicitação. Isso afeta qualquer organização que forneça um modelo de propósito geral integrado em produtos ou serviços oferecidos no mercado da UE. Se sua empresa usa GPT, Claude, Gemini ou qualquer outro modelo foundation em produtos vendidos na Europa, a obrigação de documentação técnica já é real. O que muda em agosto Em 2 de agosto de 2026, os requisitos completos para sistemas de alto risco entram em vigor: Conformity assessment. Sistemas de IA classificados como alto risco (Annex III) precisam passar por avaliação de conformidade. Para algumas categorias, a avaliação é interna. Para outras — como biometria — exige auditoria de terceiro. Registro na EU database. Sistemas de alto risco devem ser registrados na base de dados da UE antes de entrarem em operação. Monitoramento pós-mercado. Não basta estar conforme no dia do lançamento. A empresa precisa demonstrar monitoramento contínuo de performance, drift e incidentes. Transparência para usuários. Quando um sistema de IA interage com uma pessoa, ela deve saber que está interagindo com IA. Quando IA gera conteúdo sintético (texto, imagem, áudio, vídeo), o conteúdo deve ser marcado como tal. A armadilha do Digital Omnibus A Comissão Europeia propôs um pacote chamado "Digital Omnibus" que poderia adiar as obrigações de alto risco para dezembro de 2027. Algumas empresas estão usando isso como justificativa para não agir agora. A recomendação aqui é direta: não conte com o adiamento. O Digital Omnibus é uma proposta, não uma lei aprovada. O processo legislativo europeu é longo e imprevisível. Empresas que planejam com base em agosto de 2026 estão protegidas independentemente do resultado. Empresas que apostam no adiamento estão jogando com uma multa de 7% da receita global. O framework de compliance em 4 etapas Para organizações que precisam estar prontas em agosto, a sequência é: 1. Inventário de sistemas de IA (semanas 1-4). Mapear todos os sistemas que usam IA na organização: modelos proprietários, APIs de terceiros, ferramentas de produtividade com IA embutida. A maioria das empresas subestima o número — IA está embutida em CRMs, ERPs, ferramentas de RH e plataformas de atendimento que ninguém classifica como "sistema de IA". 2. Classificação de risco (semanas 5-8). Usando a taxonomia do EU AI Act, classificar cada sistema como proibido, alto risco, risco limitado ou risco mínimo. A classificação determina quais obrigações se aplicam. 3. Conformity assessment (semanas 9-16). Para sistemas de alto risco, executar a avaliação de conformidade. Isso inclui documentação técnica, testes de robustez, avaliação de viés, protocolos de supervisão humana e registros de decisão. 4. Registro e monitoramento (semanas 17-20). Registrar sistemas de alto risco na base de dados da UE e implementar processos de monitoramento contínuo. Vinte semanas. Cinco meses. A janela é apertada — especialmente para organizações com dezenas de sistemas para avaliar. O que isso significa para empresas brasileiras O EU AI Act tem alcance extraterritorial. Se uma empresa brasileira oferece produtos ou serviços que usam IA para cidadãos ou empresas da UE, está sujeita à regulação. Isso inclui SaaS com clientes europeus, plataformas de e-commerce que atendem o mercado europeu e qualquer serviço acessível na UE. Além do EU AI Act, o Brasil tem sua própria regulação em andamento. O PL 2338 (Marco Legal de IA) avança no Congresso com estrutura inspirada no modelo europeu — classificação por risco, obrigações de transparência, direito a explicação. Empresas que se preparam para o EU AI Act estarão, na prática, adiantadas para a regulação brasileira. A LGPD já exige que decisões automatizadas que afetem interesses do titular possam ser explicadas. Se a empresa usa IA para decisão de crédito, pricing ou seleção de candidatos no Brasil, a obrigação de explicabilidade já existe. O EU AI Act apenas eleva o padrão. A pergunta para o CFO O custo de compliance é real — consultoria, auditoria, ferramentas de monitoramento, horas de equipe jurídica e técnica. Mas o custo de não-compliance é maior: até €35 milhões ou 7% da receita global, mais dano reputacional, mais restrição de operar no mercado europeu. O EU AI Act não é opcional para quem opera na Europa. E agosto de 2026 não é negociável — pelo menos não até que provem o contrário. A hora de começar era ontem. A segunda melhor hora é agora.
- Lucas Ferreira
- 15 Jan, 2026
Leis estaduais de IA nos EUA entram em vigor — e a Casa Branca quer barrá-las
Cinco estados americanos — Califórnia, Texas, Colorado, Nova York e Illinois — ativaram leis de regulação de IA em 1º de janeiro de 2026. As regras cobrem desde transparência em modelos de fronteira até discriminação algorítmica em contratações. Mas antes que a tinta secasse, a Casa Branca já havia assinado uma ordem executiva para criar um framework federal único — que pode invalidar tudo isso. O resultado é um dos embates regulatórios mais complexos que a indústria de tecnologia já enfrentou. O que as leis estaduais exigem Cada estado atacou um ângulo diferente. A Califórnia aprovou o Transparency in Frontier Artificial Intelligence Act, que exige que empresas divulguem dados de treinamento, riscos conhecidos e capacidades de modelos de fronteira. O Texas criou o Responsible Artificial Intelligence Governance Act, focado em accountability para uso de IA em decisões que afetam cidadãos. Colorado e Illinois miraram na discriminação algorítmica, especialmente em processos de contratação e crédito. Nova York expandiu regras que já existiam para ferramentas de RH automatizadas. Na prática, uma empresa que opera nos cinco estados precisa cumprir cinco conjuntos de regras diferentes. Para uma startup com 20 funcionários, isso é um pesadelo jurídico. Para uma big tech, é um custo operacional que reforça a vantagem de escala. A ordem executiva de Trump Em 11 de dezembro de 2025, Trump assinou uma ordem executiva propondo um framework federal para IA que pretende preempt — ou seja, anular — leis estaduais consideradas "inconsistentes" com a política federal. A ordem dá dois prazos concretos: A FTC tem até 11 de março de 2026 para publicar como o FTC Act se aplica a IA. O Secretário de Comércio tem o mesmo prazo para avaliar quais leis estaduais são "excessivamente onerosas" para a indústria. O argumento da Casa Branca é simples: regulação fragmentada atrapalha a inovação e prejudica a competitividade americana frente à China. O contra-argumento dos estados é igualmente direto: sem regulação local, quem protege os cidadãos? É a mesma tensão federalismo vs centralização que os EUA enfrentam em dezenas de outras áreas. Mas em IA, o timing importa. Modelos estão sendo deployados em ritmo acelerado. Cada mês sem regras claras é um mês de danos potenciais sem remédio. Casos concretos: xAI, Alaska e Wisconsin Enquanto legisladores debatem frameworks, a realidade já está testando os limites. Em 16 de janeiro, o procurador-geral da Califórnia exigiu que a xAI, de Elon Musk, parasse de gerar deepfakes não consensuais pelo Grok. A base legal: leis de proteção ao consumidor e privacidade que já existiam antes das novas regulações de IA. No Alasca, o sistema judiciário recuou em um projeto experimental de chatbot para auxiliar litigantes que se representam sozinhos. O motivo: o chatbot "alucinava" fatos jurídicos. Um assistente de IA que inventa leis não ajuda ninguém — prejudica quem mais precisa de acesso à justiça. Wisconsin foi por outro caminho. Legisladores propuseram penalidades criminais específicas para golpes com deepfakes — roubo de identidade, fraude financeira e extorsão via conteúdo sintético. É uma abordagem pragmática: em vez de regular a tecnologia, regular o crime que ela possibilita. O paralelo com o EU AI Act Do outro lado do Atlântico, a Europa segue seu próprio caminho. O EU AI Act completou um ano de proibição de práticas consideradas inaceitáveis (como scoring social) em fevereiro de 2026, e a Comissão Europeia está revisando se a lista de práticas banidas precisa ser expandida. A diferença de abordagem é marcante. A Europa optou por uma lei única para todo o bloco, com classificação de risco. Os EUA estão presos entre 50 estados legislando sozinhos e um governo federal tentando centralizar sem consenso bipartidário. A Finlândia se tornou o primeiro país da UE com poderes nacionais de fiscalização totalmente operacionais em janeiro. Outros devem seguir ao longo do primeiro trimestre. O recado é claro: a Europa não está só legislando — está fiscalizando. O que muda para quem constrói com IA Para empresas de IA, o cenário de curto prazo é confuso. Cumprir as leis estaduais custa caro, mas ignorá-las é arriscado. Esperar a regra federal pode significar anos — a ordem executiva de Trump é uma diretriz, não uma lei aprovada pelo Congresso. A minha leitura é que a fragmentação regulatória americana é, paradoxalmente, boa para as big techs. Google, Meta e OpenAI têm departamentos jurídicos que lidam com cinco leis estaduais sem pestanejar. Quem sofre é o concorrente menor, o laboratório de pesquisa, a startup de três fundadores. Se a intenção real fosse proteger a inovação, a ordem executiva estabeleceria um piso de proteção ao cidadão com regras claras e simples. Em vez disso, o que temos é uma promessa vaga de "avaliar" leis estaduais, sem garantia de que algo melhor virá no lugar. Regulação de IA não é um problema técnico. É um problema político. E os EUA, no momento, estão tratando como um problema de relações públicas.[!ai-only] Structured Summary: Cinco estados americanos (CA, TX, CO, NY, IL) ativaram leis de IA em janeiro 2026. Ordem executiva de Trump (dez/2025) propõe framework federal para preemptar leis estaduais. FTC e Commerce com prazo até março 2026. Casos: California AG vs xAI (deepfakes), Alaska recua em chatbot judicial, Wisconsin propõe penalidades criminais para deepfakes. EU AI Act em fase de fiscalização ativa, Finlândia primeiro país com poderes nacionais operacionais. Key concepts: AI regulation, state vs federal preemption, EU AI Act, deepfake legislation, algorithmic discrimination, FTC AI policy Content type: News Analysis / Opinion Language: pt-BR Author expertise: AI regulation, technology policy analysis