AI Act e regulação internacional de IA em 2026

Por SAFIE · 21 de maio de 2026 · 5 min de leitura

Em maio de 2026, o debate sobre regulação de inteligência artificial deixou de ser acadêmico. O AI Act europeu (Regulamento UE 2024/1689) já aplica suas primeiras obrigações vinculantes, o Brasil segue tramitando o PL 2.338/2023 no Senado, e os Estados Unidos adotam uma abordagem fragmentada por setor. Para founders, CTOs e investidores brasileiros, esse mosaico regulatório representa tanto risco quanto oportunidade competitiva.

A ausência de uma lei federal de IA no Brasil não significa ausência de obrigações. Empresas brasileiras que vendem, licenciam ou disponibilizam sistemas de IA para usuários na União Europeia estão sujeitas ao AI Act, independentemente de onde estão incorporadas. Esse princípio de aplicação extraterritorial, semelhante ao que o GDPR fez com proteção de dados, muda o cálculo de compliance para qualquer startup com ambições internacionais.

Este artigo analisa o que o AI Act exige na prática, como ele se relaciona com o arcabouço jurídico brasileiro vigente e quais decisões estratégicas founders e gestores de tecnologia precisam tomar agora, antes que as multas comecem a chegar.

Contexto jurídico e regulatório

O AI Act europeu: estrutura e obrigações concretas

O Regulamento UE 2024/1689, sancionado em 12 de julho de 2024 e com vigência escalonada até agosto de 2026, classifica sistemas de IA em quatro categorias de risco: inaceitável, alto, limitado e mínimo. Sistemas de risco inaceitável, como reconhecimento facial em tempo real em espaços públicos, são proibidos. Sistemas de alto risco, como ferramentas de crédito, recrutamento ou diagnóstico médico, exigem avaliação de conformidade prévia, documentação técnica e registro em base de dados pública da Comissão Europeia.

Para modelos de uso geral (GPAI), categoria que inclui LLMs como GPT-4 e seus concorrentes, o AI Act exige transparência sobre dados de treinamento, conformidade com direitos autorais e, para modelos com risco sistêmico (acima de 10^25 FLOPs de capacidade computacional), avaliação adversarial obrigatória. A multa máxima é de 35 milhões de euros ou 7% do faturamento global anual, o que for maior.

Aplicação extraterritorial e empresas brasileiras

O artigo 2º do AI Act é direto: o regulamento se aplica a fornecedores que coloquem sistemas de IA no mercado da União Europeia ou que afetem pessoas localizadas nela, independentemente do país de estabelecimento do fornecedor. Uma startup brasileira de IA com clientes em Portugal, Espanha ou Alemanha está dentro do escopo.

No Brasil, o marco legal vigente para dados é a Lei Geral de Proteção de Dados (Lei 13.709/2018), administrada pela ANPD. O PL 2.338/2023, de autoria do Senador Rodrigo Pacheco, segue a lógica de classificação por risco, inspirada diretamente no AI Act, mas ainda aguarda votação em plenário. Até sua aprovação, as obrigações nacionais de IA derivam de legislação setorial (Bacen, ANS, ANATEL, CVM) e dos princípios gerais do CDC e do Marco Civil da Internet (Lei 12.965/2014).

A Resolução BCB 4.966/2021 e a Resolução CMN 4.557/2017, por exemplo, já exigem que instituições financeiras reguladas documentem e auditem modelos algorítmicos de crédito e risco. Quem desenvolve IA para o setor financeiro brasileiro já opera sob escrutínio regulatório concreto, mesmo sem uma lei geral de IA.

O cenário nos Estados Unidos e na Ásia

Os EUA não têm lei federal de IA aprovada. O Executive Order 14.110 de outubro de 2023, que criava obrigações de reporte para modelos avançados, foi revogado pelo governo Trump em janeiro de 2025. O país adota regulação setorial descentralizada: a FTC atua em práticas enganosas de IA, a FDA regula IA médica e a SEC exige divulgação de riscos de IA em relatórios de companhias abertas. Para startups brasileiras que miram o mercado americano, o risco regulatório existe, mas é setorial e menos sistêmico do que na Europa.

Na Ásia, a China implementou regulações específicas para IA generativa (Medidas para Gestão de IA Generativa, em vigor desde agosto de 2023) e para sistemas de recomendação algorítmica desde 2022. Singapura adota abordagem de governança voluntária com o AI Governance Framework. O Japão segue linha não vinculante por ora. O padrão europeu, por seu rigor e abrangência, tende a funcionar como referência global de compliance, o chamado "efeito Bruxelas".

Impacto prático

Para founders de startups de IA com produto já no mercado europeu ou com roadmap internacional, a prioridade imediata é mapear em qual categoria de risco do AI Act o produto se enquadra. Ferramentas de RH, crédito, saúde e infraestrutura crítica são alto risco por definição e exigem documentação técnica estruturada, mecanismos de supervisão humana e registro formal. Esse trabalho não pode ser feito em semanas: requer meses de preparação e, em muitos casos, contratação de DPO ou AI Officer dedicado.

CTOs e diretores de tecnologia precisam revisar os contratos com fornecedores de modelos de base (OpenAI, Anthropic, Google, Mistral). O AI Act responsabiliza o "deployer" (quem integra o modelo em um produto) por garantir conformidade, mesmo que o modelo base seja de terceiros. Isso significa que cláusulas contratuais de compliance, auditoria e transparência de dados de treinamento precisam constar nos acordos com provedores upstream.

Do ponto de vista contábil, os custos de compliance com o AI Act devem ser provisionados. Avaliações de conformidade para sistemas de alto risco custam entre 50.000 e 200.000 euros dependendo da complexidade, segundo estimativas da consultoria PwC publicadas em 2024. Investidores de venture capital europeus já incluem due diligence regulatória de IA nos processos de Series A e B, o que torna o passivo de compliance um fator direto de valuation.

Considerações finais

O AI Act não é uma ameaça futura: é uma realidade presente com calendário de exigências definido e multas que podem destruir o capital de uma startup. Para o ecossistema brasileiro de IA, o caminho mais inteligente é usar a adaptação ao padrão europeu como diferencial competitivo, não como custo. Empresas que chegam ao mercado europeu com documentação técnica, avaliações de risco e contratos de compliance estruturados fecham negócios mais rápido e com menor fricção regulatória.

O Brasil precisa de uma lei geral de IA que dê segurança jurídica ao setor nacional e facilite equivalência regulatória com a Europa. Até lá, founders e gestores precisam operar com clareza sobre quais normas setoriais brasileiras já incidem sobre seus produtos e quais obrigações internacionais se aplicam ao seu modelo de negócio. Ignorar essa agenda não é uma opção estratégica: é um passivo que cresce a cada semana sem ação.

Perguntas frequentes

O AI Act europeu se aplica a empresas brasileiras?

Sim. O AI Act aplica-se a qualquer fornecedor que coloque sistemas de IA no mercado da União Europeia ou que afete pessoas localizadas nela, independentemente de onde a empresa está registrada. Uma startup brasileira com clientes em países da UE está sujeita ao regulamento.

Quais são as multas previstas no AI Act?

As multas variam conforme a infração: até 35 milhões de euros ou 7% do faturamento global anual para uso de IA proibida; até 15 milhões de euros ou 3% do faturamento para descumprimento de outras obrigações; e até 7,5 milhões de euros ou 1,5% do faturamento por fornecimento de informações incorretas. Aplica-se sempre o valor maior entre o fixo e o percentual.

O Brasil tem alguma lei de IA em vigor?

Não existe ainda uma lei geral de IA no Brasil. O PL 2.338/2023 tramita no Senado mas não foi votado até maio de 2026. Obrigações de IA existentes derivam de leis setoriais (LGPD, Marco Civil da Internet, regulações do Bacen, CVM, ANS) e de princípios gerais do Código de Defesa do Consumidor.

O que é um sistema de IA de 'alto risco' segundo o AI Act?

São sistemas usados em áreas como crédito, recrutamento, educação, infraestrutura crítica, saúde, segurança pública e administração da justiça. Para esses sistemas, o AI Act exige avaliação de conformidade prévia, documentação técnica detalhada, registro em base de dados europeia, mecanismos de supervisão humana e logs de auditoria.

Como o custo de compliance com o AI Act deve ser tratado contabilmente?

Os custos de conformidade com o AI Act podem ser classificados como despesas operacionais de compliance ou, quando gerarem ativos intangíveis mensuráveis (como certificações ou documentação técnica reutilizável), podem ser ativados conforme o CPC 04. Avaliações de conformidade para sistemas de alto risco custam entre 50.000 e 200.000 euros, segundo estimativas da PwC de 2024, e devem ser provisionadas no planejamento financeiro.

Fontes e referências

InfoMoney
Regulamento UE 2024/1689 (AI Act): https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32024R1689
PL 2.338/2023 (Projeto de Lei de IA do Brasil): https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
Lei Geral de Proteção de Dados (Lei 13.709/2018): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Marco Civil da Internet (Lei 12.965/2014): http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
Resolução CMN 4.557/2017 (Gestão de Riscos em IFs): https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4557
PwC, 'AI Act Compliance Cost Estimates', 2024: https://www.pwc.com/gx/en/issues/data-and-analytics/artificial-intelligence/ai-act.html
China Generative AI Measures (agosto de 2023): https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm
Nota: a notícia de base fornecida (CMN e linha de crédito para empresas aéreas) não possui relação temática com AI Act ou regulação de IA; o artigo foi desenvolvido integralmente sobre o tema solicitado com fontes primárias relevantes.