Até recentemente, quando um executivo dizia que sua empresa “usa IA de forma responsável”, a frase era suficiente. Não havia um regulador verificando, não havia um padrão de auditoria, não havia penalidade por afirmar sem demonstrar. Essa era está terminando. A partir de 2 de agosto de 2026, o EU AI Act entra em plena vigência — e com ele vem um regime regulatório que exige prova, não apenas promessa. Multas de até €35 milhões ou 7% da receita global para violações tornam a governança de IA verificável uma questão de sobrevivência financeira, não apenas de reputação.
Para executivos brasileiros que respondem à afirmação com “mas nossa empresa não opera na Europa”, há uma revisão necessária. A regulamentação europeia tem alcance extraterritorial: qualquer empresa que coloca sistemas de IA no mercado europeu, que usa IA para tomar decisões sobre cidadãos europeus, ou que processa dados de cidadãos europeus em sistemas de IA está sob o escopo do regulamento. Para empresas brasileiras com qualquer operação, parceria ou exportação para a Europa — o que inclui uma parcela significativa do setor corporativo brasileiro — isso não é uma questão acadêmica.
Mas o impacto do EU AI Act vai além de seu escopo jurídico direto. Ele está estabelecendo um padrão global de referência que outros reguladores — incluindo, eventualmente, o brasileiro — vão adotar ou adaptar. E ele está mudando as expectativas de boards, investidores e clientes corporativos em todo o mundo sobre o que significa ter IA bem governada. A empresa que constrói sua infraestrutura de governança hoje, segundo os padrões do AI Act, não está apenas se protegendo de multas europeias — está construindo um ativo de confiança que vai diferenciá-la competitivamente nos próximos anos.
O que o EU AI Act realmente exige: além do hype sobre “IA ética”
Há muita confusão sobre o que o EU AI Act exige na prática, em parte porque o debate público sobre ele foi dominado por linguagem vaga de “ética de IA” e “IA responsável”. A realidade regulatória é mais específica e mais exigente do que essa linguagem sugere.
O AI Act organiza sistemas de IA em categorias de risco: proibidos, de alto risco, de risco limitado, e de risco mínimo. Para a maioria das empresas, os sistemas mais relevantes são os de “alto risco” — uma categoria que inclui IA usada em crédito e avaliação financeira, gestão de recursos humanos (especialmente recrutamento e avaliação de desempenho), serviços de saúde, infraestrutura crítica e sistemas de identificação biométrica.
Para sistemas de alto risco, o AI Act exige um conjunto específico e auditável de controles: documentação técnica detalhada do sistema, análise de risco documentada, monitoramento contínuo em produção, mecanismos de supervisão humana, registro de logs de funcionamento, e testes de robustez e precisão antes do deployment. Nenhum desses requisitos é opcional, e nenhum pode ser satisfeito com uma declaração — todos exigem evidências concretas.
O conceito central que o AI Act introduz é o de “conformidade demonstrável”: não basta fazer a coisa certa; é preciso conseguir provar, a um auditor externo ou a um regulador, que você fez a coisa certa. Isso muda fundamentalmente como os programas de governança de IA precisam ser desenhados. Eles precisam produzir evidências auditáveis como output padrão de sua operação — não como um exercício adicional feito quando há uma auditoria à vista.
O gap entre o que as empresas dizem e o que realmente têm
Um dos dados mais reveladores do atual estado da governança de IA vem do Deloitte AI Institute: apenas 4% das organizações têm alta maturidade simultaneamente em governança de dados e governança de IA. Ao mesmo tempo, segundo pesquisas da IBM, mais de 90% das empresas têm funcionários usando contas pessoais de chatbots para tarefas de trabalho sem aprovação de TI — o fenômeno do “shadow AI”.
Esse gap — entre o discurso corporativo sobre IA responsável e a realidade operacional — é onde o risco regulatório se materializa. Uma empresa pode ter uma política belissimamente redigida sobre uso ético de IA e, ao mesmo tempo, ter gestores de RH usando sistemas de IA para filtrar currículos sem que esses sistemas tenham passado por qualquer avaliação de risco de viés ou discriminação. Sob o EU AI Act, a política não protege a empresa. O que protege é a implementação documentada e auditável dos controles.
Para empresas que operam em múltiplos países e setores, o desafio é amplificado pela fragmentação: diferentes equipes usam diferentes ferramentas de IA, com diferentes níveis de scrutínio, sem um inventário centralizado. Antes de construir governança, é preciso saber o que existe. E para a maioria das empresas, esse inventário ainda não existe de forma completa e atualizada.
Como construir governança verificável: o framework que funciona
A boa notícia é que construir governança de IA verificável não requer reinventar a roda. O NIST AI Risk Management Framework, os guidelines do NIST sobre IA confiável e o próprio texto do EU AI Act fornecem estruturas práticas. O que diferencia as empresas que têm sucesso nessa implementação das que ficam no papel é uma sequência de passos que pode ser replicada.
O primeiro passo é o inventário de sistemas de IA. Toda decisão de governança começa com saber o que existe. Isso inclui sistemas desenvolvidos internamente, APIs e produtos de terceiros, e usos informais ou experimentais. O inventário deve capturar para cada sistema: qual problema ele resolve, quais dados ele usa, quem é afetado por suas decisões, e qual é o nível de autonomia versus supervisão humana.
O segundo passo é a classificação de risco. Com o inventário em mãos, cada sistema é avaliado segundo critérios de risco que incluem: impacto potencial em direitos e bem-estar de pessoas, reversibilidade das decisões tomadas, escala do deployment e existência de supervisão humana efetiva. Essa classificação não precisa ser binária — uma escala de risco numérica ou categórica permite priorizar quais sistemas precisam dos controles mais robustos.
O terceiro passo é a implementação diferenciada de controles. Sistemas de maior risco recebem controles mais intensos: documentação técnica detalhada, avaliações de viés, testes de robustez, logs de auditoria e procedimentos de supervisão humana definidos. Sistemas de menor risco podem operar com controles mais leves — mas “mais leve” ainda significa auditável, não inexistente.
O quarto passo, e o que diferencia os programas maduros dos superficiais, é a integração da governança nos processos de desenvolvimento e implantação de IA. Governança não pode ser uma camada adicionada depois — ela precisa ser parte do processo de design, teste e deployment de cada sistema. Empresas que fazem isso bem têm checklists de governança integrados nos seus processos de CI/CD para sistemas de IA, análises de risco como pré-requisito para qualquer novo deployment, e métricas de desempenho de governança nos dashboards dos times de dados e tecnologia.
93% dos executivos globais dizem que soberania de IA é estratégica — e o que isso significa para o Brasil
Um dado da IBM que merece atenção especial: 93% dos executivos globais entrevistados pelo IBM Institute for Business Value disseram que a soberania de IA — a capacidade de governar sistemas de IA, dados e infraestrutura sem depender de entidades externas — é uma prioridade estratégica para 2026.
Esse número reflete uma mudança de mentalidade que vai além do compliance regulatório. Executivos que entendem onde a IA está indo percebem que delegar a governança de seus sistemas de IA para fornecedores externos — seja o provedor de cloud que hospeda o modelo, seja a empresa que desenvolveu o sistema — é abrir mão de um ativo estratégico.
Para o Brasil, essa dimensão de soberania de IA tem uma urgência particular. O país está em um momento de decisão sobre sua arquitetura digital: que dados ficam no Brasil? Que sistemas são operados por empresas brasileiras com controle local? Que decisões críticas — em crédito, em saúde, em infraestrutura — são tomadas por sistemas cujo funcionamento o governo e as empresas brasileiras conseguem auditar e questionar? Essas perguntas não têm respostas simples, mas precisam estar na agenda de qualquer executivo que pensa no posicionamento competitivo e estratégico de sua organização no médio prazo.
Publicado em 19 de março de 2026 · thinq.news
