Showing Posts From

Risk management

Alucinações de IA em produção: o risco jurídico que chegou ao C-level

Alucinações de IA em produção: o risco jurídico que chegou ao C-level

Os tribunais americanos já documentam mais de 1.174 casos envolvendo alucinações de IA em filings judiciais. O número cresce semanalmente. Não são casos hipotéticos — são advogados sancionados por citar jurisprudência fabricada por ChatGPT, empresas processadas por informações falsas geradas por agentes de IA e contratos contestados porque cláusulas foram redigidas com base em outputs alucinados. A mudança mais importante não é a quantidade de casos. É como os tribunais estão classificando o problema. Produto funcionando conforme projetado A interpretação judicial emergente trata a alucinação não como defeito do produto, mas como característica inerente. LLMs geram texto probabilisticamente — não buscam verdade, buscam plausibilidade. Quando um modelo fabrica uma citação jurídica, está fazendo exatamente o que foi projetado para fazer: gerar texto que parece correto. Essa classificação tem implicações práticas severas para a defesa legal. Se a alucinação é defeito, o fabricante do modelo é responsável. Se é característica inerente de um produto funcionando conforme projetado, a responsabilidade recai sobre quem escolheu usar o produto sem as salvaguardas adequadas. Para organizações que deployam IA em funções customer-facing — atendimento, vendas, consultoria, saúde, jurídico — a mensagem é direta: a responsabilidade é sua, não do vendor. O que os tribunais estão decidindo Três tendências jurisprudenciais relevantes para o C-level: Sanções por negligência profissional. Advogados que usam IA para gerar filings sem verificação estão sendo sancionados. O tribunal não aceita "o ChatGPT disse" como defesa. A obrigação de verificação é do profissional — a ferramenta não substitui a due diligence. Responsabilidade de representação. Se uma empresa usa IA para comunicar-se com clientes — gerar propostas comerciais, responder perguntas sobre produtos, produzir relatórios — ela é responsável pela acurácia do conteúdo. O fato de o texto ter sido gerado por IA não isenta a empresa de responsabilidade por representações falsas ou enganosas. IA em due diligence de M&A. Alucinações em documentos jurídicos usados em transações de M&A estão sendo classificadas como "time bomb" — um risco latente que pode explodir após o closing. Se uma due diligence conduzida com auxílio de IA contém informações fabricadas que não foram verificadas, a exposição legal afeta compradores e vendedores. O framework regulatório que está se fechando O ambiente regulatório está convergindo para formalizar o que os tribunais já estão decidindo caso a caso: EU AI Act (agosto 2026): sistemas de IA que geram conteúdo devem marcar outputs como gerados por IA. Sistemas de alto risco precisam de supervisão humana documentada. Transparência e rastreabilidade são obrigatórias. Colorado AI Act (junho 2026): empresas que deployam IA em "decisões consequenciais" (emprego, crédito, saúde, seguros) devem implementar governance frameworks formalizados. Requisitos emergentes de seguradoras: apólices de E&O (Errors & Omissions) estão sendo revisadas para incluir cláusulas específicas sobre uso de IA. Algumas seguradoras já exigem prova de governance de IA como condição para cobertura. A convergência é clara: compradores, reguladores, tribunais e seguradoras esperam que empresas demonstrem que IA customer-facing é governada — não improvisada. O custo real das alucinações Para o CFO, o risco se materializa em três linhas: Litígio direto. Processos por informações falsas, representações enganosas ou negligência profissional. Custos de defesa, settlements e danos reputacionais. Prêmio de seguro. Seguradoras estão reprecificando risco para empresas que usam IA em funções de alto impacto sem governance documentada. Prêmios de D&O e E&O estão subindo para essas empresas. Impacto em valuation. Em transações de M&A, a ausência de governance de IA está se tornando item de due diligence. Investidores e compradores querem saber: a empresa usa IA? Onde? Com que salvaguardas? Houve incidentes? Como foram tratados? Respostas insatisfatórias afetam valuation. Cinco ações para mitigar o risco 1. Inventário de IA com classificação de risco de alucinação. Nem todo uso de IA tem o mesmo risco. IA para classificação interna de documentos é low-risk. IA para comunicação com clientes ou geração de pareceres é high-risk. A classificação determina o nível de supervisão necessário. 2. Human-in-the-loop obrigatório para outputs de alto risco. Qualquer conteúdo gerado por IA que será comunicado externamente — clientes, reguladores, parceiros, tribunais — deve passar por revisão humana antes de publicação. Sem exceção. 3. Logging e rastreabilidade. Cada output de IA deve ser logado: prompt, modelo usado, versão, timestamp, quem revisou e quem aprovou a publicação. Quando o tribunal ou o regulador pedir, a empresa precisa mostrar a cadeia completa. 4. Política de uso de IA documentada. Definir onde IA pode ser usada, onde não pode, e quais salvaguardas se aplicam em cada caso. A política precisa ser treinada — documento no SharePoint que ninguém leu não é governance. 5. Revisão de contratos com vendors de IA. Verificar cláusulas de indemnification, limitation of liability e responsabilidade por outputs. A maioria dos termos de uso de providers de IA exclui responsabilidade por acurácia dos outputs. Se o contrato do vendor diz que ele não é responsável — e diz — a empresa precisa saber que o risco é inteiramente dela. O contexto brasileiro No Brasil, a LGPD já exige que decisões automatizadas que afetem direitos do titular possam ser explicadas (art. 20). Quando uma IA alucina numa decisão de crédito ou de contratação, a empresa precisa explicar o raciocínio — e não há como explicar uma fabricação. O Marco Legal de IA (PL 2338) vai adicionar camadas de obrigação: transparência, supervisão humana, avaliação de impacto. Empresas brasileiras que já estruturam governance de IA hoje estarão preparadas. As que não estruturarem vão enfrentar o mesmo cenário que empresas americanas enfrentam agora nos tribunais — mas sem a mesma capacidade de absorver custos de litígio. A mensagem para o board Alucinações de IA não são bug. São característica inerente da tecnologia. O risco jurídico não está em usar IA — está em usar IA sem governance. A empresa que deploya agentes de IA em produção sem logging, sem human-in-the-loop, sem política documentada e sem revisão de contratos com vendors está acumulando risco jurídico que vai se materializar. Não é questão de se. É de quando.

Demissões por IA somam 59 mil em 2026: o board está preparado para essa conversa?

Demissões por IA somam 59 mil em 2026: o board está preparado para essa conversa?

Os números do primeiro trimestre de 2026 são inequívocos: mais de 45 mil demissões no setor de tecnologia globalmente até março, com projeção de 59 mil para o trimestre completo. Desses, mais de 9.200 — aproximadamente um em cinco — são diretamente atribuídos a adoção de IA e automação. O padrão que está se consolidando é previsível: empresa investe em IA, audita quais funções podem ser automatizadas, anuncia reestruturação. A novidade não é o mecanismo — é a escala e a velocidade com que está acontecendo. O mapa dos cortes Os números por empresa são significativos:Meta: Planejando cortes de até 15 mil pessoas (20% do quadro), enquanto anuncia US$135 bilhões em capex de IA para 2026 — quase o dobro de 2025. Oracle: Estimativas de 20 a 30 mil demissões em reestruturação. Block (Square/Cash App): 4 mil demissões, representando 40% do quadro. Jack Dorsey declarou explicitamente que a empresa vai priorizar IA sobre headcount. Atlassian: 1.600 cortes (10% do quadro). O co-fundador Mike Cannon-Brookes afirmou que a reestruturação vai "auto-financiar investimento adicional em IA e vendas enterprise."A frase do Cannon-Brookes é reveladora: as demissões não são corte de custos — são realocação de capital de humanos para infraestrutura de IA. É uma declaração explícita de que o ROI de um engenheiro está sendo comparado com o ROI de um agente. O impacto na contratação Além das demissões, 66% das empresas estão reduzindo contratações de nível junior por causa de IA. Isso é estruturalmente mais preocupante do que os cortes em si. Demissões são pontuais — afetam quem já está empregado. Redução de contratação junior elimina o pipeline de formação. Se empresas param de contratar analistas juniors, associados, desenvolvedores de nível 1 porque IA faz esse trabalho, de onde vem o talento senior daqui a cinco anos? É uma decisão racional no curto prazo e potencialmente destrutiva no longo. O board precisa exigir que a estratégia de workforce inclua não apenas "quantos cargos eliminamos com IA", mas "como formamos o talento que vamos precisar quando a IA não for suficiente." O que isso significa para o board A conversa de workforce e IA tem dimensões que transcendem o RH: Risco reputacional. O caso da Meta é emblemático: demitir 15 mil pessoas enquanto anuncia US$135 bilhões em gastos com IA gera uma narrativa de "empresa que troca pessoas por máquinas." Investidores ESG, reguladores trabalhistas e a opinião pública estão atentos. O board precisa garantir que a comunicação da reestruturação seja honesta e que os programas de transição sejam reais, não cosméticos. Risco regulatório. O EU AI Act classifica IA em processos de contratação e demissão como alto risco. Se a empresa está usando IA para decidir quem demitir — seja diretamente ou via análise de produtividade — o sistema precisa atender aos requisitos do Act. Isso inclui documentação, avaliação de viés e supervisão humana. Risco operacional. Cortar 40% do quadro como a Block fez é uma aposta de que IA vai compensar a perda de capacidade humana. Se a aposta falha — se os agentes não performam como esperado, se a qualidade cai, se os clientes percebem a diferença — o custo de recontratar é significativamente maior do que o custo de manter. Risco de D&O. O gap entre deploy de IA e oversight de IA é, segundo análises recentes, a fonte de crescimento mais rápido de exposição de liability para diretores e oficiais. Se o board aprova uma reestruturação baseada em IA sem verificar que a IA funciona como prometido, a responsabilidade fiduciária está em jogo. Recomendações para liderança Para o CHRO: Antes de executar qualquer reestruturação baseada em IA, exija evidência de que os sistemas de IA que vão substituir funções humanas estão em produção, testados e monitorados. "Vai funcionar" não é evidência — é esperança. Para o General Counsel: Mapeie o risco regulatório de usar IA em decisões de workforce. EU AI Act, leis estaduais nos EUA (Colorado, Illinois, NYC Local Law 144) e legislação trabalhista local têm requisitos específicos. O compliance precisa estar resolvido antes do anúncio. Para o CEO: Trate a reestruturação de workforce como decisão estratégica de board, não como decisão operacional de RH. A escala dos cortes e a exposição a múltiplos riscos exigem supervisão do conselho de administração. E inclua na pauta: se cortamos X cargos junior agora, como garantimos o pipeline de talento senior em 2030? A substituição de trabalho humano por IA é inevitável em categorias específicas. Mas inevitável não significa automático, nem isento de risco. A diferença entre uma reestruturação bem executada e uma crise corporativa está na governança do processo — e essa governança começa no board.

70% dos boards dizem ter governança de IA — só 14% estão de fato prontos

70% dos boards dizem ter governança de IA — só 14% estão de fato prontos

Uma pesquisa recente entre líderes do Fortune 500 trouxe dois números que, juntos, contam toda a história: 70% reportam ter estruturas de governança de IA. Apenas 14% dizem estar de fato prontos para deploy de IA em escala. A diferença entre "ter política" e "estar pronto" é onde mora o risco. Política é documento. Prontidão é capacidade operacional. E no intervalo entre os dois, está a maior exposição de D&O (Directors & Officers) desta década. O que os proxy advisors estão pedindo Em 2026, o jogo mudou. Proxy advisors — as empresas que orientam votos de acionistas em assembleias — passaram a exigir que boards demonstrem AI literacy nas proxy statements. Não basta dizer "temos uma política de IA". É preciso documentar:Quais diretores têm formação ou experiência em IA Que tipo de treinamento o board recebeu Qual comitê é responsável pela supervisão de IA Com que frequência o board revisa riscos e oportunidades de IAPara empresas listadas, isso é compliance. Para empresas privadas que pretendem abrir capital, é preparação. Para todas, é governança mínima. O gap entre política e prontidão Por que 70% têm política mas apenas 14% estão prontos? Três razões: Políticas genéricas. A maioria das políticas de IA corporativas são adaptações de políticas de tecnologia ou privacidade. Cobrem princípios gerais ("uso ético", "transparência", "supervisão humana") sem definir processos específicos: quem aprova o deploy de um modelo, quais métricas de monitoramento são obrigatórias, o que constitui um incidente de IA e como escalar. Falta de capacidade técnica no board. Diretores conseguem avaliar riscos financeiros, regulatórios e operacionais porque têm décadas de experiência nesses domínios. IA é diferente — o risco é técnico, probabilístico e evolui a cada trimestre. Sem educação continuada, o board depende integralmente da gestão para avaliar risco de IA. Isso é exatamente o oposto do que governança deveria ser. Accountability difusa. Quando a responsabilidade por IA está distribuída entre CTO, CDO, CIO, jurídico e compliance, ninguém é accountable. O board recebe reports fragmentados de diferentes áreas, não tem visão consolidada de risco e não consegue tomar decisões informadas. A exposição de D&O O gap entre deploy de IA e oversight de IA é, segundo analistas, a fonte de exposição de D&O que mais cresce na governança corporativa americana. A lógica jurídica é direta: Diretores têm dever fiduciário de supervisão (duty of oversight). Se a empresa deploya IA que causa dano — discriminação em contratação, erro em decisão de crédito, alucinação em comunicação com clientes — e o board não tinha mecanismo de supervisão, há exposição pessoal dos diretores. O precedente mais relevante é o caso Caremark (1996), que estabeleceu que diretores podem ser responsabilizados por falhas de supervisão quando não implementaram nenhum sistema de reporting ou ignoraram red flags. IA em produção sem governance é exatamente esse cenário. O que governance de IA efetiva exige Cinco componentes não negociáveis: 1. Comitê designado. Um comitê do board — pode ser o comitê de risco, de tecnologia ou um novo comitê de IA — com mandato explícito de supervisão de IA. Reuniões trimestrais no mínimo. 2. Inventário de IA atualizado. Lista de todos os sistemas de IA em operação, classificados por risco, com owner de negócio designado para cada um. Atualizado a cada trimestre. 3. Métricas de monitoramento. Para cada sistema de alto risco: accuracy, drift, taxa de incidentes, número de overrides humanos, compliance status. O board não precisa ver cada métrica — precisa ver o dashboard consolidado e os outliers. 4. Protocolo de incidentes. Definição clara de o que constitui um incidente de IA, quem é notificado, qual é a cadeia de escalação e quando o board é informado. Se o board descobre um incidente de IA pela imprensa, a governança falhou. 5. Educação continuada. Pelo menos um board briefing por semestre sobre tendências de IA, mudanças regulatórias e casos de estudo de incidentes. Diretores não precisam ser técnicos — precisam ser informados o suficiente para fazer as perguntas certas. O contexto brasileiro Conselhos de administração de empresas brasileiras enfrentam o mesmo gap, com agravantes. A governança corporativa no Brasil historicamente prioriza compliance fiscal e trabalhista — IA não está no radar da maioria dos boards. O Código Brasileiro de Governança Corporativa do IBGC ainda não endereça IA diretamente. Mas os princípios de supervisão, transparência e accountability se aplicam. Quando o board de uma empresa brasileira aprova investimento em IA sem mecanismo de oversight, está expondo a organização — e a si mesmo — a risco que a regulação vai eventualmente formalizar. Com o PL 2338 avançando e a LGPD já exigindo explicabilidade de decisões automatizadas, boards brasileiros que não colocam IA na pauta estão acumulando risco regulatório. As cinco perguntas para a próxima reunião de boardQuantos sistemas de IA operam na nossa organização hoje — e quem é responsável por cada um? Qual é o nosso framework de classificação de risco para IA? Tivemos algum incidente de IA nos últimos 12 meses? Se sim, como foi tratado? Estamos em conformidade com as regulações aplicáveis (EU AI Act, LGPD, leis estaduais americanas)? Quando foi a última vez que este board recebeu treinamento sobre riscos e oportunidades de IA?Se a resposta para qualquer uma dessas perguntas for "não sabemos", o board tem trabalho a fazer. E o prazo é agora.

59 mil demissões em tech e IA como justificativa: quando automação vira estratégia de P&L

59 mil demissões em tech e IA como justificativa: quando automação vira estratégia de P&L

Os números de março de 2026 são inequívocos: 59 mil demissões no setor de tecnologia no ano. Das quais 9.200 são diretamente atribuídas à adoção de IA e automação — uma em cada cinco cortes. Mas o dado bruto esconde a mudança estrutural que está acontecendo. Não são empresas em crise demitindo para sobreviver. São empresas lucrativas cortando headcount para realocar capital em IA. A diferença é fundamental — e tem implicações que vão além de RH. O padrão que virou template Meta cortou 1.500 posições no Reality Labs e planeja reduzir até 15 mil funcionários — 20% do quadro. No mesmo anúncio, comunicou US$135 bilhões em capex de IA para 2026. Quase o dobro do ano anterior. Atlassian demitiu 1.600 pessoas, 10% da força global. O co-fundador Mike Cannon-Brookes foi direto: a reestruturação "auto-financia investimento em IA e vendas enterprise." Block cortou 4.000 posições — 40% do quadro. Oracle planeja entre 20 e 30 mil cortes. Salesforce, Cisco, Workday — a lista continua. O padrão é consistente: investir em IA, auditar quais funções podem ser automatizadas, anunciar demissões, comunicar que o capital liberado vai para "transformação digital" ou "aceleração de IA". O mercado recompensa — ações sobem no dia do anúncio. Analistas aplaudem a "disciplina operacional". A matemática que convence o board Para o CFO, a conta é sedutora. Um engenheiro de software júnior nos EUA custa US$150-200 mil por ano com benefícios. Um agente de IA que executa tarefas equivalentes custa uma fração — e escala sem headcount adicional. Quando o CEO da Atlassian diz que os cortes "auto-financiam" investimento em IA, está fazendo uma afirmação de P&L: o saving de headcount paga o investimento em ferramentas. O retorno é imediato no próximo trimestre. O risco é de longo prazo — e boards tendem a descontar o longo prazo. 66% das empresas já estão reduzindo contratação de entrada por causa de IA. Isso é talvez o dado mais estrutural do relatório. Não são demissões — é a eliminação do pipeline de talentos juniores. A implicação para daqui a cinco anos: quem vai ser o engenheiro sênior se ninguém entrou como júnior? Os riscos que não aparecem no press release Três riscos que quem lidera precisa colocar na mesa: Perda de conhecimento institucional. Quando uma empresa corta 20-40% do quadro, não está eliminando apenas custo. Está eliminando contexto — o engenheiro que sabe por que aquele sistema legado funciona daquele jeito, o gerente de produto que conhece as idiossincrasias do cliente, o analista que entende a exceção que nenhum manual documenta. IA não captura isso. Não ainda. Risco de concentração. Quando a organização passa a depender de agentes de IA para funções críticas, cria dependência em modelos que não controla. Se a OpenAI muda pricing, se a Anthropic descontinua uma API, se um modelo começa a alucinar em produção — a empresa tem alternativa? Ou ficou refém? Risco reputacional e regulatório. Demissões em massa com a justificativa de IA atraem escrutínio. O movimento #QuitGPT mostrou que consumidores reagem. Legisladores estão prestando atenção. Na Europa, comitês de empresa precisam ser consultados antes de reestruturações. No Brasil, a CLT exige protocolos de demissão coletiva que não são triviais. O que o C-level deveria estar fazendo A recomendação não é contra automação — é contra automação sem estratégia. Três princípios: Automatize tarefas, não elimine funções inteiras. A diferença entre "usar IA para que um analista processe 3x mais relatórios" e "substituir 3 analistas por IA" é enorme em termos de risco, moral e resultado. O primeiro gera produtividade com retenção de conhecimento. O segundo gera savings de curto prazo com risco de longo prazo. Mantenha o pipeline de talentos. Cortar contratação de juniores economiza agora e cria uma crise de competência em 5-7 anos. Empresas que investem em programas de desenvolvimento — onde juniores trabalham com IA como ferramenta, não são substituídos por ela — vão ter vantagem competitiva quando a escassez de talentos seniores se agravar. Documente a justificativa. Toda decisão de reestruturação baseada em IA deve ter business case documentado, análise de risco e plano de mitigação. Não porque é bonito — porque o regulador vai perguntar, o sindicato vai questionar e o board precisa de evidência de diligência. O contexto brasileiro No Brasil, o cenário tem nuances próprias. A CLT impõe obrigações em demissões coletivas — negociação com sindicato, aviso prévio proporcional, multas rescisórias. O custo de demitir é estruturalmente mais alto que nos EUA, o que torna a "conta do CFO" menos favorável. Ao mesmo tempo, empresas brasileiras de tecnologia enfrentam pressão competitiva global para adotar IA e reduzir custos. O equilíbrio é delicado: automatizar sem a rede de segurança trabalhista dos EUA (onde demissões em massa são mais simples) e sem o capital disponível para investir pesado em ferramentas de IA. A recomendação para líderes brasileiros: foque em produtividade, não em substituição. Use IA para fazer mais com o mesmo time — e documente o ganho. É mais defensável perante o regulador, mais sustentável para a cultura e mais alinhado com a realidade trabalhista do país. A pergunta que ninguém está fazendo 59 mil demissões em tech. US$2,52 trilhões em investimento em IA. Os dois números são partes da mesma equação. A pergunta incômoda: se IA está gerando tanto savings via headcount, por que 56% dos CEOs dizem que não viram impacto no P&L? A resposta possível é que as demissões estão financiando investimentos em IA que — para 95% das empresas — ainda não geraram retorno mensurável. O C-level que lidera com responsabilidade precisa garantir que o cycle não é: demitir para investir em IA que não entrega resultado, que justifica mais demissões para investir mais em IA. Isso não é estratégia. É inércia com press release.

EU AI Act: agosto de 2026 é o prazo real — e sua empresa provavelmente não está pronta

EU AI Act: agosto de 2026 é o prazo real — e sua empresa provavelmente não está pronta

O prazo mais importante do calendário regulatório de IA em 2026 é 2 de agosto. Nessa data, os requisitos do EU AI Act para sistemas de inteligência artificial de alto risco se tornam obrigatórios. Isso inclui IA usada em contratação, decisões de crédito, educação, biometria e aplicação da lei. As multas para não conformidade chegam a €35 milhões ou 7% da receita global anual — o que for maior. Para uma empresa com €5 bilhões de receita, são €350 milhões em risco. A recomendação aqui é direta: se a organização usa IA em qualquer dessas categorias e opera no mercado europeu, o trabalho de compliance precisa estar em andamento agora. O que muda em agosto Os requisitos que entram em vigor são específicos e auditáveis: Conformity assessments obrigatórios. Todo sistema de IA classificado como alto risco precisa passar por uma avaliação de conformidade antes de ser colocado em operação. Isso inclui documentação técnica, avaliação de riscos, testes de robustez e evidência de supervisão humana. Registro na base de dados da UE. Sistemas de alto risco devem ser registrados em uma base de dados pública mantida pela Comissão Europeia. Não há exceção para empresas de fora da UE — se o sistema opera em território europeu, o registro é obrigatório. Documentação técnica completa. Desde 1 de março de 2026, provedores de modelos de IA de propósito geral (GPAI) já precisam manter documentação técnica disponível para o AI Office europeu sob demanda. Em agosto, esse requisito se expande para todos os sistemas de alto risco. Gestão de riscos contínua. Não basta avaliar riscos uma vez. O Act exige monitoramento contínuo, com processos documentados de detecção, mitigação e reporte de incidentes. A tentação de esperar o Digital Omnibus A Comissão Europeia propôs no final de 2025 um pacote chamado "Digital Omnibus" que, entre outras medidas, poderia adiar as obrigações de alto risco do Annex III para dezembro de 2027. É tentador usar isso como justificativa para postergar o compliance. A recomendação é não contar com essa extensão. Propostas legislativas da UE passam por processo de aprovação no Parlamento e no Conselho que pode levar meses — e pode resultar em alterações significativas ou rejeição. Organizações que planejam compliance com base em um adiamento hipotético estão assumindo risco regulatório desnecessário. O planejamento prudente trata agosto de 2026 como o deadline firme. Se o Digital Omnibus for aprovado e conceder mais tempo, ótimo — a empresa terá margem. Se não for, estará em conformidade. O gap entre política e prontidão Os dados de mercado revelam um problema estrutural. Enquanto 70% dos líderes do Fortune 500 reportam ter estruturas de governança de IA em vigor, apenas 14% se consideram totalmente prontos para deploy de IA em conformidade com regulações. A distância entre "temos uma política" e "nossa IA está compliant" é enorme. Uma política de uso responsável de IA não substitui:Um inventário completo de todos os modelos em produção Classificação de risco por caso de uso Documentação técnica no padrão exigido pelo Act Processos de conformity assessment implementados Mecanismos de supervisão humana operacionais Canais de reporte de incidentes funcionandoA maioria das empresas tem o primeiro item (política) e fragmentos do segundo (algum inventário). Do terceiro em diante, o gap é significativo. O custo de compliance vs. o custo de não compliance Para uma empresa de médio porte que opera IA de alto risco na UE, o custo estimado de compliance inclui:Consultoria especializada: €200K-€500K para assessment inicial e gap analysis Ajustes técnicos: €300K-€1M dependendo da complexidade dos sistemas Processos e documentação: €100K-€300K para implementação de governance framework Monitoramento contínuo: €150K-€400K/ano para equipe e ferramentasO total para o primeiro ano fica entre €750K e €2,2M. É um investimento significativo. Agora compare com a multa máxima de €35M ou 7% da receita global. Para qualquer empresa com receita acima de €30M, o custo de compliance é uma fração do risco de não compliance. A matemática é inequívoca. Recomendações para o C-level Para o General Counsel: Inicie o mapeamento de todos os sistemas de IA que se enquadram nas categorias de alto risco do Annex III. Priorize os que operam em território europeu. Documente a classificação e a justificativa. Para o CAIO/CTO: Comece o conformity assessment dos sistemas prioritários agora. O processo leva 3-6 meses para sistemas complexos. Com o deadline em agosto, a janela já é apertada. Para o CEO: Inclua o EU AI Act na pauta do próximo board meeting. O risco regulatório de IA não é mais abstrato — tem data, valor e consequência definidos. O board precisa estar ciente e a mitigação precisa ter ownership claro. Agosto de 2026 não é o início da regulação de IA. É o momento em que regulação de IA ganha dentes. Quem não estiver preparado vai sentir a mordida.

EU AI Act: faltam 6 meses para agosto de 2026 — e a maioria não está pronta

EU AI Act: faltam 6 meses para agosto de 2026 — e a maioria não está pronta

O prazo é 2 de agosto de 2026. Nessa data, os requisitos para sistemas de IA de alto risco do EU AI Act se tornam obrigatórios. Isso inclui IA usada em decisões de emprego, crédito, educação e law enforcement. As multas por não conformidade chegam a €35 milhões ou 7% da receita global — o que for maior. Seis meses podem parecer suficientes. Não são. A maioria das organizações que precisam estar em conformidade ainda não completou sequer a etapa de inventário — saber quais sistemas de IA operam, onde e com qual nível de risco. O que já está valendo O EU AI Act não começa em agosto. Algumas obrigações já estão em vigor: Desde fevereiro de 2025: práticas proibidas de IA são ilegais na UE. Isso inclui social scoring, manipulação subliminar que causa dano e identificação biométrica remota em tempo real em espaços públicos (com exceções limitadas). Desde 1º de março de 2026: provedores de modelos de IA de propósito geral (GPAI) devem manter pacotes de documentação técnica e disponibilizá-los ao European AI Office mediante solicitação. Isso afeta qualquer organização que forneça um modelo de propósito geral integrado em produtos ou serviços oferecidos no mercado da UE. Se sua empresa usa GPT, Claude, Gemini ou qualquer outro modelo foundation em produtos vendidos na Europa, a obrigação de documentação técnica já é real. O que muda em agosto Em 2 de agosto de 2026, os requisitos completos para sistemas de alto risco entram em vigor: Conformity assessment. Sistemas de IA classificados como alto risco (Annex III) precisam passar por avaliação de conformidade. Para algumas categorias, a avaliação é interna. Para outras — como biometria — exige auditoria de terceiro. Registro na EU database. Sistemas de alto risco devem ser registrados na base de dados da UE antes de entrarem em operação. Monitoramento pós-mercado. Não basta estar conforme no dia do lançamento. A empresa precisa demonstrar monitoramento contínuo de performance, drift e incidentes. Transparência para usuários. Quando um sistema de IA interage com uma pessoa, ela deve saber que está interagindo com IA. Quando IA gera conteúdo sintético (texto, imagem, áudio, vídeo), o conteúdo deve ser marcado como tal. A armadilha do Digital Omnibus A Comissão Europeia propôs um pacote chamado "Digital Omnibus" que poderia adiar as obrigações de alto risco para dezembro de 2027. Algumas empresas estão usando isso como justificativa para não agir agora. A recomendação aqui é direta: não conte com o adiamento. O Digital Omnibus é uma proposta, não uma lei aprovada. O processo legislativo europeu é longo e imprevisível. Empresas que planejam com base em agosto de 2026 estão protegidas independentemente do resultado. Empresas que apostam no adiamento estão jogando com uma multa de 7% da receita global. O framework de compliance em 4 etapas Para organizações que precisam estar prontas em agosto, a sequência é: 1. Inventário de sistemas de IA (semanas 1-4). Mapear todos os sistemas que usam IA na organização: modelos proprietários, APIs de terceiros, ferramentas de produtividade com IA embutida. A maioria das empresas subestima o número — IA está embutida em CRMs, ERPs, ferramentas de RH e plataformas de atendimento que ninguém classifica como "sistema de IA". 2. Classificação de risco (semanas 5-8). Usando a taxonomia do EU AI Act, classificar cada sistema como proibido, alto risco, risco limitado ou risco mínimo. A classificação determina quais obrigações se aplicam. 3. Conformity assessment (semanas 9-16). Para sistemas de alto risco, executar a avaliação de conformidade. Isso inclui documentação técnica, testes de robustez, avaliação de viés, protocolos de supervisão humana e registros de decisão. 4. Registro e monitoramento (semanas 17-20). Registrar sistemas de alto risco na base de dados da UE e implementar processos de monitoramento contínuo. Vinte semanas. Cinco meses. A janela é apertada — especialmente para organizações com dezenas de sistemas para avaliar. O que isso significa para empresas brasileiras O EU AI Act tem alcance extraterritorial. Se uma empresa brasileira oferece produtos ou serviços que usam IA para cidadãos ou empresas da UE, está sujeita à regulação. Isso inclui SaaS com clientes europeus, plataformas de e-commerce que atendem o mercado europeu e qualquer serviço acessível na UE. Além do EU AI Act, o Brasil tem sua própria regulação em andamento. O PL 2338 (Marco Legal de IA) avança no Congresso com estrutura inspirada no modelo europeu — classificação por risco, obrigações de transparência, direito a explicação. Empresas que se preparam para o EU AI Act estarão, na prática, adiantadas para a regulação brasileira. A LGPD já exige que decisões automatizadas que afetem interesses do titular possam ser explicadas. Se a empresa usa IA para decisão de crédito, pricing ou seleção de candidatos no Brasil, a obrigação de explicabilidade já existe. O EU AI Act apenas eleva o padrão. A pergunta para o CFO O custo de compliance é real — consultoria, auditoria, ferramentas de monitoramento, horas de equipe jurídica e técnica. Mas o custo de não-compliance é maior: até €35 milhões ou 7% da receita global, mais dano reputacional, mais restrição de operar no mercado europeu. O EU AI Act não é opcional para quem opera na Europa. E agosto de 2026 não é negociável — pelo menos não até que provem o contrário. A hora de começar era ontem. A segunda melhor hora é agora.