13-03-03 — EU AI Act: Impactos em Design de Sistemas
Estrutura: Pirâmide de Risco
Risco Inaceitável — Proibido
Sistemas completamente banidos na UE:
- Manipulação subliminar de comportamento humano
- Scoring social generalizado por governos
- Biometria em tempo real em espaços públicos (com exceções estreitas)
- Inferência de emoções em locais de trabalho e educação (com exceções)
- Categorização de pessoas por características sensíveis (raça, orientação sexual)
Alto Risco — Obrigações Severas
Sistemas que afetam direitos fundamentais ou infraestrutura crítica. Exemplos relevantes para .NET/software:
- Seleção e avaliação de candidatos a emprego
- Creditscoring e avaliação de crédito
- Sistemas usados em saúde para diagnóstico
- Sistemas de educação e formação profissional
- Sistemas de gestão de infraestrutura crítica
- Aplicação da lei e biometria
Obrigações para sistemas de Alto Risco:
- Conformity assessment (avaliação de conformidade) antes de colocar no mercado
- Documentação técnica detalhada
- Logging e auditabilidade obrigatórios
- Supervisão humana obrigatória (human-in-the-loop para decisões críticas)
- Robustez, accuracy e cybersecurity demonstráveis
- Registro no banco de dados da EU
Risco Limitado — Transparência
Obrigações de disclosure. Chatbots e sistemas generativos se enquadram aqui:
- Usuários devem saber que estão interagindo com IA
- Deepfakes devem ser identificados como tal
- Sistemas GPAI (General Purpose AI) como GPT-4 têm obrigações específicas
Risco Mínimo — Livre
A maioria dos sistemas de IA: filtros de spam, IA em jogos, recomendações sem impacto em direitos. Sem obrigações adicionais.
⚠️ Timeline de aplicação:
• Fev 2025: Proibições de risco inaceitável em vigor
• Ago 2025: Obrigações para GPAI (modelos de fundação)
• Ago 2026: Obrigações para sistemas de Alto Risco
• Ago 2027: Sistemas de Alto Risco regulados por outros frameworks
• Fev 2025: Proibições de risco inaceitável em vigor
• Ago 2025: Obrigações para GPAI (modelos de fundação)
• Ago 2026: Obrigações para sistemas de Alto Risco
• Ago 2027: Sistemas de Alto Risco regulados por outros frameworks
GPAI — General Purpose AI Models
O EU AI Act criou uma categoria específica para modelos de fundação (como GPT-4, Claude, Gemini). Obrigações:
- Documentação técnica do processo de treinamento
- Política de uso aceitável
- Copyright summary — resumo de dados de treinamento protegidos
- Modelos com "risco sistêmico" (capacidade acima de 10^25 FLOPs): avaliações adversariais, relatórios de incidentes, medidas de segurança
💡 Para quem usa Azure OpenAI: A Microsoft (como provider do modelo) arca com as obrigações de GPAI provider. Você, como deployer do modelo via API, tem obrigações menores — principalmente transparência ao usuário e não usar o modelo para fins proibidos. O contrato do Azure OpenAI inclui os termos que cobrem sua parte do compliance.
Impactos em Design — O que Mudar Agora
| Decisão de design | Impacto EU AI Act |
|---|---|
| Chatbot sem identificação como IA | Violação risco limitado — adicione disclosure |
| Sistema de triagem de CVs automatizado | Alto Risco — documentação completa, human review |
| Scoring de crédito por IA | Alto Risco — conformity assessment necessário |
| Recomendação de produtos (e-commerce) | Risco mínimo — sem obrigação adicional |
| Análise de humor de colaboradores | Potencialmente proibido — rever design |
| RAG em documentos internos | Depende do contexto — mapear uso |
Penalidades
Multas por não compliance:
- Violações de práticas proibidas: €35 milhões ou 7% da receita global
- Violações de obrigações de Alto Risco: €15 milhões ou 3% da receita global
- Informações incorretas à autoridade: €7,5 milhões ou 1,5% da receita global
🔗 Michelin, Vale, TIM: Se seus clientes são empresas europeias ou com operações na UE que implantam sistemas que você desenvolveu, você pode ser "provider" no sentido do EU AI Act — mesmo estando no Brasil. Vale revisar contratos para deixar claro o papel de cada parte (provider vs deployer).