Por Isabella Talala Zogheib*

Destaque na revista Fortune, uma das grandes empresas de consultoria e auditoria do mundo (Big Four) ^[1] foi recentemente pega em dois países utilizando inteligência artificial de forma inadequada em relatórios governamentais milionários. No Canadá, um estudo de 1,6 milhão de dólares sobre saúde pública continha citações acadêmicas fabricadas e pesquisadores listados em papers que nunca existiram. Na Austrália, um relatório de 290 mil dólares apresentou alucinações de IA, incluindo referências a pesquisas inexistentes. A consultoria admitiu o uso de IA generativa e precisou reembolsar parcialmente o governo australiano. 

O episódio ilustra um risco não mais futuro ou de uma conformidade teórica: organizações que não conseguem demonstrar controles adequados sobre uso de IA enfrentam consequências comerciais imediatas.  

O cenário regulatório atravessou uma transformação acelerada desde o início de 2024. O AI Act^[2] europeu estabeleceu o marco mais abrangente do planeta para sistemas de inteligência artificial, com multas que podem chegar a 35 milhões de euros ou 7% do faturamento global. A legislação entrou em vigor de forma escalonada, e empresas que operam ou exportam para o bloco europeu já enfrentam as primeiras exigências. Paralelamente, a Casa Branca^[3]emitiu diretrizes federais que estados como Califórnia e Colorado anteciparam em legislações locais, enquanto o mercado asiático avança com regulamentações próprias. O movimento é global, coordenado e irreversível.

Essa convergência regulatória transformou radicalmente o que significa operar com inteligência artificial no ambiente corporativo. Empresas precisam agora demonstrar rastreabilidade completa de decisões automatizadas, documentar datasets utilizados no treinamento de modelos, estabelecer mecanismos de supervisão humana em pontos críticos e realizar avaliações de impacto antes de colocar sistemas em produção. A questão central deixou de ser “o que a tecnologia faz” para se tornar “como foi construída, quais dados alimentam suas decisões e quem responde quando algo falha.”

No setor financeiro, as exigências já são tangíveis. A Moody’s^[4], uma das principais agências de classificação de risco do mundo, alerta que instituições financeiras precisam adotar monitoramento em tempo real e sistemas de IA auditáveis para atender às novas exigências globais de compliance em 2025. Também, a reformulação das normas de prevenção à lavagem de dinheiro no Reino Unido^[5] demonstra que a adoção de soluções baseadas em inteligência artificial tornou-se essencial para garantir conformidade eficiente e sustentável no setor financeiro.

Com isso, é notável a movimentação de bancos internacionais^[6], solicitando relatórios detalhados sobre uso de IA em análise de crédito e prevenção à lavagem de dinheiro antes de aprovar relações comerciais, instituições que não conseguem documentar seus processos algorítmicos enfrentam suspensão de operações internacionais e fundos de investimento globais incluíram auditoria de inteligência artificial em seus processos de due diligence, tornando a demonstração de controles um pré-requisito para aportes.

Paralelamente, a indústria farmacêutica^[7] e de dispositivos médicos sente o impacto de forma ainda mais aguda. Produtos que utilizam IA embarcada enfrentam questionamentos rigorosos em processos de certificação internacional. Empresas precisam comprovar não apenas a eficácia clínica, mas a robustez dos algoritmos, a representatividade dos dados de treinamento e a capacidade de auditoria em caso de eventos adversos. 

A nova geração de governança exige evidências documentadas de processos de validação, testes de segurança, análise de riscos e protocolos de atualização de sistemas inteligentes. Os fornecedores que não atenderem esses requisitos serão substituídos por concorrentes que conseguem demonstrar uma maior maturidade

O caso da “Big Four” demonstra que nem mesmo líderes de mercado estão imunes quando os controles falham.

Organizações que seguem esse movimento construíram vantagem comercial concreta. Certificações como a ISO/IEC 42001, ainda recente, começam a funcionar como selo de qualidade em negociações, principalmente internacionais, e o discurso sobre IA responsável migrou de declarações institucionais para critério objetivo de seleção comercial.  

No caso do Brasil, pesquisas^[8] recentes apontam que quase 60% das empresas ainda não têm políticas claras de governança e segurança para inteligência artificial, enquanto outro levantamento revela que 50% das empresas no país ainda não utilizam ferramentas para transformação digital, e dentre as que já adotam IA, 58% estão em estágios iniciais de implementação. A maioria opera com ferramentas adquiridas por APIs de terceiros sem contratos que estabeleçam responsabilidades claras, equipes utilizam modelos generativos sem políticas definidas sobre dados sensíveis e departamentos jurídicos frequentemente desconhecem quais sistemas de IA estão ativos na organização.

Nesse sentido, observa-se: empresas bem-sucedidas nessa transição começam por três movimentos estruturantes. Primeiro, um mapeamento completo dos sistemas de IA em operação, incluindo ferramentas utilizadas por colaboradores sem aprovação formal, APIs integradas a processos críticos e algoritmos embarcados em produtos. Esse diagnóstico frequentemente surpreende pela extensão e dispersão do uso de inteligência artificial na organização.

O segundo movimento envolve a construção de um framework de governança que estabeleça responsabilidades claras. Não se trata de criar novas camadas burocráticas, mas de definir quem aprova implementações, quem monitora performances e vieses, quem responde por incidentes e como decisões algorítmicas são documentadas e auditadas. Empresas que conseguem demonstrar esses controles para parceiros possuem vantagem competitiva mensurável em negociações comerciais.

O terceiro movimento, e talvez o mais negligenciado, é a revisão jurídica de contratos com fornecedores de tecnologia. Cláusulas padronizadas de provedores de IA frequentemente transferem riscos integralmente para o contratante, eximem fornecedores de responsabilidade por falhas e não estabelecem garantias sobre qualidade de dados, privacidade ou continuidade operacional. Renegociar esses termos antes que problemas surjam é significativamente mais eficaz do que litigar depois de incidentes.

Organizações que estruturam documentação adequada conseguem responder rapidamente a questionários de due diligence de investidores, atender exigências contratuais de clientes e demonstrar conformidade em auditorias regulatórias. A diferença entre empresas preparadas e despreparadas não está no investimento em tecnologia, mas na capacidade de evidenciar controles e processos de forma objetiva.

Empresas brasileiras que participam de cadeias globais enfrentam uma escolha concreta: estruturar controles demonstráveis sobre seus sistemas de inteligência artificial ou aceitar um papel secundário em relações comerciais. A pergunta deixou de ser se “haverá exigências” para “quando sua empresa será questionada e se estará pronta para responder”. O reembolso que a “Big Four” teve que fazer ao governo australiano não é um incidente isolado. É o prenúncio de um padrão que está se estabelecendo no mercado global.

*Isabella Talala Zogheib é advogada da Lee, Brock, Camargo Advogados, especializada em Direito Digital, pós-graduada pela FAAP e formada pela Universidade Presbiteriana Mackenzie, com atuação focada em privacidade, proteção de dados (LGPD/GDPR), governança e gestão de riscos digitais.

Referências 

CONSECTI. Pesquisa mostra que falta de governança ameaça avanços da IA nas empresas. Levantamento Workiva, 02 out. 2025. Disponível em: <https://consecti.org.br/pesquisa-mostra-que-falta-de-governanca-ameaca-avancos-da-ia-nas-empresas/>. Acesso em: 03 dez. 2025.

UNIÃO EUROPEIA. Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho relativo à harmonização de regras sobre inteligência artificial (AI Act). Bruxelas, 2024.

ISO/IEC 42001:2023. Information technology — Artificial intelligence — Management system. International Organization for Standardization, 2023.

---

^[1] FORTUNE. Disponível em: <https://fortune.com

^[2] (Tradução nossa) “O incumprimento da proibição das práticas de IA referida no artigo 5.º está sujeito a multas administrativas até 35.000.000 EUR ou, se o infrator for uma empresa, até 7% do seu volume de negócios anual total a nível mundial no exercício financeiro anterior, consoante o que for mais elevado.” Na íntegra: https://artificialintelligenceact.eu/article/99/

^[3] UNITED STATES. Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. The White House, 2023. Disponível em: https://bidenwhitehouse.archives.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/

^[4] MOODY’S. AML in 2025: How AI, real-time monitoring, and global regulation are transforming compliance. 2025. Disponível em: <https://www.moodys.com/web/en/us/kyc/resources/insights/aml-in-2025.html.

^[5] SECURITY BRIEF UK. Europe’s AML overhaul demands AI for effective compliance. 02 dez. 2025. Disponível em: <https://securitybrief.co.uk/story/europe-s-aml-overhaul-demands-ai-for-effective-compliance>

^[6] ANAPTYSS. Key Anti-Financial Crime Changes for U.S. Banks in 2025-26. Junho 2025. Disponível em: <https://www.anaptyss.com/blog/key-anti-financial-crime-changes-for-u-s-banks/>. Acesso em: 03 dez. 2025.

^[7] MEDQAIR. EU AI Act Raises New Compliance Hurdles for Medical Devices. Julho 2025. Disponível em: <https://medqair.com/regulatory-news/eu-ai-act-raise-new-compliance-hurdles/> e EUROPEAN COMMISSION. Medical Device Coordination Group (MDCG) Guidance 2025-6: Interplay between the MDR/IVDR and the Artificial Intelligence Act. Junho 2025. Disponível em: <https://health.ec.europa.eu/document/download/b78a17d7-e3cd-4943-851d-e02a2f22bbb4_en>

^[8] ABRAFAC. Estudo mostra panorama da Inteligência Artificial nas empresas brasileiras. Pesquisa TOTVS/H2R Insights & Trends, 05 ago. 2025. Disponível em: <https://abrafac.org.br/estudo-mostra-panorama-da-inteligencia-artificial-nas-empresas-brasileiras/>.