13-03-03 — EU AI Act: Impactos em Design de Sistemas
TL;DR
EU AI Act (vigente desde agosto 2024, aplicação progressiva até 2026) é a primeira regulação abrangente de IA com força de lei. Classifica sistemas por nível de risco e impõe obrigações crescentes. Para empresas brasileiras: se seus sistemas atendem usuários ou empresas na UE, ou se seus clientes operam lá (Michelin, multinacionais), você já está no escopo. As decisões de design tomadas hoje precisam considerar compliance futuro.
Estrutura: Pirâmide de Risco
Risco Inaceitável — Proibido
Sistemas completamente banidos na UE:
- Manipulação subliminar de comportamento humano
- Scoring social generalizado por governos
- Biometria em tempo real em espaços públicos (com exceções estreitas)
- Inferência de emoções em locais de trabalho e educação (com exceções)
- Categorização de pessoas por características sensíveis (raça, orientação sexual)
Alto Risco — Obrigações Severas
Sistemas que afetam direitos fundamentais ou infraestrutura crítica. Exemplos relevantes para .NET/software:
- Seleção e avaliação de candidatos a emprego
- Creditscoring e avaliação de crédito
- Sistemas usados em saúde para diagnóstico
- Sistemas de educação e formação profissional
- Sistemas de gestão de infraestrutura crítica
- Aplicação da lei e biometria
Obrigações para sistemas de Alto Risco:
- Conformity assessment (avaliação de conformidade) antes de colocar no mercado
- Documentação técnica detalhada
- Logging e auditabilidade obrigatórios
- Supervisão humana obrigatória (human-in-the-loop para decisões críticas)
- Robustez, accuracy e cybersecurity demonstráveis
- Registro no banco de dados da EU
Risco Limitado — Transparência
Obrigações de disclosure. Chatbots e sistemas generativos se enquadram aqui:
- Usuários devem saber que estão interagindo com IA
- Deepfakes devem ser identificados como tal
- Sistemas GPAI (General Purpose AI) como GPT-4 têm obrigações específicas
Risco Mínimo — Livre
A maioria dos sistemas de IA: filtros de spam, IA em jogos, recomendações sem impacto em direitos. Sem obrigações adicionais.
• Fev 2025: Proibições de risco inaceitável em vigor
• Ago 2025: Obrigações para GPAI (modelos de fundação)
• Ago 2026: Obrigações para sistemas de Alto Risco
• Ago 2027: Sistemas de Alto Risco regulados por outros frameworks
GPAI — General Purpose AI Models
O EU AI Act criou uma categoria específica para modelos de fundação (como GPT-4, Claude, Gemini). Obrigações:
- Documentação técnica do processo de treinamento
- Política de uso aceitável
- Copyright summary — resumo de dados de treinamento protegidos
- Modelos com "risco sistêmico" (capacidade acima de 10^25 FLOPs): avaliações adversariais, relatórios de incidentes, medidas de segurança
Impactos em Design — O que Mudar Agora
| Decisão de design | Impacto EU AI Act |
|---|---|
| Chatbot sem identificação como IA | Violação risco limitado — adicione disclosure |
| Sistema de triagem de CVs automatizado | Alto Risco — documentação completa, human review |
| Scoring de crédito por IA | Alto Risco — conformity assessment necessário |
| Recomendação de produtos (e-commerce) | Risco mínimo — sem obrigação adicional |
| Análise de humor de colaboradores | Potencialmente proibido — rever design |
| RAG em documentos internos | Depende do contexto — mapear uso |
Penalidades
Multas por não compliance:
- Violações de práticas proibidas: €35 milhões ou 7% da receita global
- Violações de obrigações de Alto Risco: €15 milhões ou 3% da receita global
- Informações incorretas à autoridade: €7,5 milhões ou 1,5% da receita global