Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 16 de abril de 2026

Conformidade na Era dos LLMs: O Novo Conjunto de Regulamentações para Plataformas de IA (PT-BR)

Plataformas de IA estão sendo submetidas às mesmas exigências de conformidade de bancos e exchanges de criptomoedas. Lei da IA da UE, DSA, GDPR, KYC, AML – o conjunto completo de regulamentações que as empresas de IA agora devem.

Por DiditAtualizado
compliance-in-the-llm-era.png

Há cinco anos, as obrigações de conformidade de uma empresa de IA cabiam em uma única página. Uma política de privacidade, termos de serviço, talvez uma barra de cookies e – se você fosse cauteloso – um acordo de processamento de dados GDPR. Era só isso. A IA era tratada como software, e o software era tratado com leveza.

Em abril de 2026, esse mundo terá acabado.

Uma plataforma de IA lançada hoje opera dentro de um conjunto de regulamentações sobrepostas que inclui a Lei da IA da UE, a Lei de Serviços Digitais, o GDPR, regras específicas do setor (finanças, saúde, educação), controles de exportação, requisitos de verificação de idade e – cada vez mais – obrigações explícitas de KYC/AML sobre quem pode acessar os modelos e o que pode fazer com eles. O lançamento recente da Anthropic do sistema de verificação com passaporte e selfie no Claude é um sintoma visível dessa mudança. Não será o último.

Este artigo mapeia o conjunto de regulamentações que as empresas de IA agora devem seguir, explica o que mudou nos últimos 18 meses e apresenta uma arquitetura prática para construir um produto que possa sobreviver ao escrutínio regulatório sem destruir a experiência do desenvolvedor.

O Que Mudou

Quatro coisas aconteceram, aproximadamente em paralelo, entre o final de 2024 e o início de 2026.

Primeiro, os reguladores se atualizaram. A Lei da IA da UE entrou em vigor em fases, a partir de agosto de 2024, com as obrigações para modelos de IA de propósito geral em agosto de 2025 e as obrigações para sistemas de alto risco em agosto de 2026. O Reino Unido criou o Instituto de Segurança da IA com acordos formais de teste. A ordem executiva dos EUA sobre IA criou limites de relatório para grandes execuções de treinamento. Brasil, Japão, Coreia do Sul, Singapura e Emirados Árabes Unidos publicaram estruturas de IA. A China já exigia verificação de identidade para IA generativa desde 2023.

Segundo, as plataformas de IA se tornaram sistemicamente importantes. Claude, ChatGPT, Gemini e Grok agora estão no fluxo de trabalho de dezenas de milhões de funcionários de empresas e centenas de milhões de consumidores. Essa escala aciona as obrigações da "plataforma online muito grande" da Lei de Serviços Digitais na UE, regimes de proteção ao consumidor em várias jurisdições e a gravidade geral de "se falhar, falhará muito".

Terceiro, os vetores de abuso amadureceram. Fraude de deepfake, clonagem de voz, phishing automatizado, criação de identidades sintéticas, destilação de modelos, extração de direitos autorais, geração de CSAM, golpes de agentes – tudo evoluiu de prova de conceito para operações industriais. Todos os reguladores agora têm uma lista de incidentes reais para apontar ao escrever regras.

Quarto, a indústria ficou sem desculpas. Durante a maior parte de 2023 e 2024, as empresas de IA argumentaram com sucesso que a autorregulação e os compromissos voluntários eram suficientes. Em 2026, com evidências claras de destilação em escala industrial, fraude de deepfake atingindo bilhões em perdas anuais e chatbots de IA implicados em suicídios de adolescentes e golpes de personificação, esse argumento não se sustenta mais.

O resultado é que a conformidade em IA não é mais um pensamento posterior no nível do produto. É uma preocupação arquitetural, comparável à escalabilidade e segurança.

O Conjunto de Regulamentações em 2026

Uma plataforma de IA operando em mercados importantes agora precisa lidar com as seguintes camadas, simultaneamente.

Lei da IA da UE

A primeira lei abrangente de IA em vigor. Principais obrigações por categoria:

  • Modelos de IA de propósito geral (GPAI): documentação de transparência, resumos de dados de treinamento, política de direitos autorais, documentação técnica disponível para implantadores downstream. Modelos com "risco sistêmico" (treinados acima do limite de 10^25 FLOP) enfrentam obrigações adicionais: avaliação de risco sistêmico, red-teaming, relatório de incidentes graves, proteções de segurança cibernética.
  • Sistemas de IA de alto risco: sistemas de gerenciamento de risco, governança de dados, documentação técnica, manutenção de registros, supervisão humana, requisitos de precisão e robustez, monitoramento pós-mercado. Aplica-se à IA em emprego, crédito, seguro, educação, infraestrutura crítica, aplicação da lei e muito mais.
  • IA de risco limitado (chatbots, deepfakes): obrigações de transparência – os usuários devem saber que estão interagindo com IA, e o conteúdo sintético deve ser rotulado.
  • IA proibida: pontuação social, identificação biométrica em tempo real em espaços públicos (com exceções limitadas), reconhecimento de emoções no local de trabalho/educação, policiamento preditivo baseado apenas em perfil, raspagem de reconhecimento facial não direcionada.

As penalidades chegam a 7% do faturamento anual global para IA proibida, 3% para outras violações.

Lei de Serviços Digitais (DSA)

Aplica-se a qualquer plataforma online que atenda usuários da UE. Chatbots de IA com grande escala acionam as obrigações da "plataforma online muito grande" (VLOP): avaliações de risco sistêmico, auditorias independentes, relatórios de transparência, acesso a dados para pesquisadores, obrigações de moderação de conteúdo, mecanismos de resposta a crises. Penalidade máxima: 6% do faturamento global.

GDPR

Ainda o regime de privacidade fundamental para qualquer produto de IA que toque em dados pessoais da UE. Pontos de pressão específicos da IA:

  • Base legal para dados de treinamento. A raspagem de conteúdo da web pública para treinamento de modelos está sob litígio ativo em várias jurisdições da UE.
  • Direito ao esquecimento. Como "excluir" uma pessoa de um modelo treinado? A aplicação disso ainda está emergindo.
  • Tomada de decisão automatizada (Artigo 22). Aciona quando a saída da IA afeta materialmente os indivíduos. Requer opções de revisão humana.
  • Minimização de dados. Difícil de conciliar com o treinamento de modelos de fundação em conjuntos de dados massivos.

O EDPB (Conselho Europeu de Proteção de Dados) emitiu um parecer em dezembro de 2024 esclarecendo alguns desses pontos, mas a aplicação é desigual entre os estados membros e está ativa.

Regras Específicas do Setor

A IA usada em setores regulamentados assume automaticamente as obrigações do setor:

  • Finanças: MiFID II, PSD2/PSD3, diretrizes da EBA sobre IA na pontuação de crédito, orientação da FINRA sobre IA, circulares do CFPB sobre discriminação algorítmica
  • Saúde: MDR (regulamento de dispositivos médicos da UE) para IA de diagnóstico, orientação HIPAA e FDA nos EUA
  • Educação: leis de proteção de dados de estudantes (FERPA nos EUA, leis estaduais)
  • Emprego: Lei Local 144 da cidade de Nova York, categoria de alto risco da Lei da IA da UE para ferramentas de contratação, orientação da EEOC sobre discriminação algorítmica
  • Seguros: boletim modelo da NAIC sobre IA, regulamentação estadual

Uma plataforma de IA que permite que os clientes empresariais sejam implantados em qualquer um desses setores herda uma parte da obrigação.

Controles de Exportação

A IA é de uso duplo. Os EUA controlaram a exportação de GPUs avançadas desde 2022, expandiram os controles para pesos de modelo abaixo de limites de capacidade específicos e mantêm restrições de lista de entidades ao acesso à tecnologia de IA dos EUA por atores estrangeiros específicos. A UE tem controles de exportação sobre itens de uso duplo, incluindo IA, sob o Regulamento de Uso Duplo da UE. Isso aparece como uma obrigação de conformidade em quem você pode vender acesso à API, quais clientes passam por verificação de sanções e quais modelos podem ser implantados em quais jurisdições.

KYC, AML e Controles de Acesso

A adição mais recente ao conjunto de regulamentações e a que a maioria das empresas de IA está menos preparada. Impulsionadores:

  • Políticas de Dimensionamento Responsável de laboratórios de ponta (ASL-3 e acima exigem KYC)
  • Defesa contra ataques de destilação (veja a divulgação da Anthropic em fevereiro de 2026)
  • Verificação de controle de exportação (requer clientes identificados)
  • Prevenção de abuso (CSAM, melhoria de armas, fraude)
  • Convergência regulatória com fintech (infraestrutura de IA cada vez mais tratada como infraestrutura financeira)

O resultado prático é que as plataformas de IA estão construindo programas de KYC – verificação de identidade, verificação de sanções, verificações de propriedade benéfica, monitoramento de atividades suspeitas – que se assemelham muito aos que as fintechs e as exchanges de criptomoedas já executam.

Verificação de Idade

Rapidamente se tornando obrigatório em mercados importantes. A Lei de Segurança Online do Reino Unido, implementações dos estados membros da UE de age-gating de conteúdo, leis estaduais dos EUA (Utah, Louisiana, Texas e outros) e políticas de plataforma como os requisitos da Apple App Store empurram na mesma direção: produtos com conteúdo adulto, serviços financeiros, elementos de design viciantes ou risco significativo para menores devem verificar a idade.

Para chatbots de IA, isso se manifesta como acesso com restrição de idade a certas capacidades, proteção em torno de interações de menores e – em algumas jurisdições – proibições de certos comportamentos de modelo na presença de usuários menores de idade.

Proveniência e Marca d'Água do Conteúdo

A Lei da IA da UE exige que o conteúdo sintético seja rotulado. A ordem executiva dos EUA sobre IA pediu à NIST para desenvolver padrões de autenticação de conteúdo. A especificação C2PA (Coalition for Content Provenance and Authenticity) está se tornando um padrão da indústria de fato. Espera-se que as plataformas de IA que geram imagens, áudio e vídeo incorporem sinais de proveniência criptográficos nas saídas.

A Arquitetura de Conformidade Que Funciona

Se você estiver construindo um produto de IA em 2026, o conjunto de regulamentações acima pode parecer paralisante. Não precisa ser. A principal percepção: a conformidade para IA é um problema arquitetural, não um problema de política. Políticas escritas, avisos de privacidade e DPAs são necessários, mas não são de forma alguma suficientes. Os controles devem ser integrados ao produto.

Aqui está a arquitetura mínima que funciona para uma plataforma de IA moderna.

Camada de Identidade e Acesso

Cada usuário, cada sessão, cada chamada de API flui por uma camada que sabe:

  • Quem é o usuário (nível de verificação)
  • Onde eles estão (jurisdição)
  • Qual nível de acesso eles têm (gratuito, pago, empresarial, com capacidade limitada)
  • Como é o perfil de risco deles (comportamental, histórico, dispositivo)

Esta é a mesma camada que lida com KYC, verificação de AML, verificação de sanções, verificação de idade e verificação de controle de exportação. Construa uma vez, conecte-a a cada superfície do produto.

Componentes técnicos:

  • Verificação de documentos com detecção de vida em upgrades de nível
  • Verificação de sanções, PEP, mídia adversa na criação da conta
  • Impressão digital do dispositivo e monitoramento comportamental para pontuação de risco contínua
  • Monitoramento contínuo com gatilhos de reverificação

Didit é um provedor construído para exatamente este formato – pagamento por verificação, cobertura global, verificação rápida, API nativa de IA.

Camada de Segurança de Conteúdo

Filtragem de entrada, filtragem de saída, detecção de abuso, verificação de CSAM, proteção de direitos autorais e sinais de proveniência do conteúdo. É aqui que a segurança do modelo atende à obrigação regulatória. Capacidades específicas:

  • Classificação de prompt para categorias de abuso (CSAM, melhoria de armas, fraude, automutilação)
  • Classificação de saída correspondente às mesmas categorias
  • Correspondência de hash com conteúdo conhecido como ruim (NCMEC, bancos de dados de direitos autorais)
  • Marca d'água e proveniência C2PA para mídia gerada
  • Suíte de regressão de red-team para jailbreaks conhecidos

Camada de Auditoria e Relatório

Os reguladores exigem cada vez mais relatórios estruturados. Crie a infraestrutura de registro de auditoria para suportá-la desde o primeiro dia:

  • Cada decisão com impacto material registrada com entradas, saídas, versão do modelo, prompt e nível do usuário
  • Pipeline de relatório de incidentes conectado à escalada interna e ao arquivamento regulatório externo
  • Geração de relatórios de transparência (métricas agregadas e anonimizadas sobre sinalizações, proibições, recusas)
  • Infraestrutura de acesso à pesquisa para solicitações de acesso a dados no estilo DSA
  • Pacotes de evidências prontos para exportação para estruturas de conformidade específicas (documentação técnica da Lei da IA da UE, ISO 42001, SOC 2)

Roteamento de Jurisdição

Regras diferentes se aplicam em diferentes lugares. Um único código base tem que lidar com:

  • Usuários da UE sob GDPR, Lei da IA da UE, DSA
  • Usuários do Reino Unido sob GDPR do Reino Unido, Lei de Segurança Online, regulamentação de IA do Reino Unido
  • Usuários dos EUA sob patchwork estadual (California CCPA/CPRA, Lei de IA de Utah, Lei de IA do Colorado, Lei Local 144 de Nova York)
  • Usuários do Brasil sob LGPD e lei de IA futura
  • Usuários da China sob regras da CAC para IA generativa

A camada de conformidade roteia solicitações, aplica restrições jurisdicionais e lida com a residência de dados. Isso não é opcional para plataformas globais.

Camada de Governança do Modelo

Especificamente para laboratórios de ponta, mas cada vez mais para qualquer empresa que construa modelos:

  • Cartões de modelo com proveniência de dados de treinamento, resultados de avaliação, limitações conhecidas
  • Relatórios de red-team para modelos de risco sistêmico
  • Resposta a incidentes para falhas de comportamento do modelo
  • Controle de versão para modelos implantados em contextos regulamentados
  • Documentação do implantador downstream (as obrigações de transparência da Lei da IA da UE fluem pela cadeia de suprimentos)

Erros Comuns e Como Evitá-los

Tratar a Conformidade Como um Documento de Política

O erro mais caro. Um aviso de privacidade bem escrito não faz nada se o produto não aplicar as regras descritas nele. Integre o reforço na arquitetura, então descreva-o na política – não o contrário.

Presumir Que a Autoatestação É Suficiente

"Os usuários devem ter mais de 18 anos" em seus termos de serviço não satisfaz os mandatos de verificação de idade. "Os usuários não podem usar nosso produto para fins ilegais" não satisfaz as obrigações de prevenção de CSAM. Você precisa de verificação, não de atestado.

Esperar por Clareza Regulatória

Os regulamentos não estão se tornando menos rigorosos com o tempo. Cada rodada de esclarecimento apertou as obrigações, não as relaxou. Construir para a Lei da IA da UE de 2025 hoje significa já estar atrás das provisões de alto risco de 2026. Construa para a interpretação mais rigorosa.

Manusear Dados Biométricos e de Identidade Você Mesmo

Este é um negócio de custódia especializado e regulamentado. Se você não é um fornecedor de KYC, não se torne um por acidente. Use um provedor dedicado (Persona, Onfido, Didit) para dados de identidade e permaneça do lado certo da linha de controlador/processador de dados.

Tratar Segurança e Conformidade Como Separação

São a mesma função, com públicos diferentes. Seu programa de red-team é parte de sua documentação de risco sistêmico da Lei da IA da UE. Seu classificador de CSAM é parte de suas obrigações DSA. Sua verificação de sanções é parte de sua postura de controle de exportação. A governança integrada é eficiente. A governança isolada garante lacunas.

Subestimar o Custo de Conformidade das Vendas Empresariais

Os clientes empresariais exigirão evidências – SOC 2 Tipo II, ISO 27001, ISO 42001 (específico para IA), acordos de processamento de dados, listas de subprocessadores, provas de residência de dados jurisdicionais. Não construir isso no primeiro ano custa meses de negócios empresariais no segundo ano.

O Que É Bom em 2026

Uma plataforma de IA bem arquitetada em 2026 tem, no mínimo:

  • Verificação de identidade baseada em risco integrada a cada limite de capacidade e nível
  • Verificação de sanções e controle de exportação na criação da conta e em uma programação recorrente
  • Verificação de idade em qualquer superfície em que menores enfrentem risco material
  • Infraestrutura de segurança de conteúdo – filtragem de entrada, filtragem de saída, verificação de CSAM, marca d'água
  • Registros de auditoria e relatórios de transparência capazes de alimentar arquivamentos regulatórios sem engenharia heroica
  • Roteamento com reconhecimento de jurisdição e controles de residência de dados
  • Uma função de segurança e governança relatando à liderança, integrada a produto e engenharia, não adicionada
  • Governança de modelo documentada – cartões, avaliações, relatórios de red-team, resposta a incidentes
  • Due diligence do fornecedor em cada modelo, ferramenta e provedor de dados na pilha
  • Monitoramento ativo de padrões de abuso – destilação, fraude, raspagem, personificação

Este é um investimento de engenharia significativo. Também é não negociável para qualquer empresa de IA que queira operar em escala em mercados regulamentados.

O Conjunto de Regulamentações É o Produto

O instinto dos construtores de IA é tratar a conformidade como sobrecarga – o imposto que você paga para enviar seu "verdadeiro" produto. Em 2026, essa estrutura está errada. O conjunto de regulamentações está se tornando parte do produto. Os clientes empresariais escolhem fornecedores com base na postura de conformidade. Os reguladores abrem o acesso a mercados com base em evidências de conformidade. Os usuários confiam em plataformas que mostram seu trabalho.

As empresas de IA que vencerão nos próximos cinco anos são aquelas que tratarão o conjunto de regulamentações da mesma forma que as empresas de infraestrutura tratam o tempo de atividade: como uma preocupação de engenharia de primeira classe, com investimento, ferramentas e atenção da liderança para combinar.

O lançamento silencioso da Anthropic do sistema de verificação com passaporte e selfie no Claude não é uma aberração. É uma prévia. Todas as principais plataformas de IA acabarão no mesmo lugar, seja por adoção voluntária ou compulsão regulatória. As empresas que chegarem primeiro e o fizerem bem ganharão uma vantagem duradoura. As que esperarem gastarão a segunda metade da década se adaptando sob pressão.

A conformidade não é inimiga da inovação em IA. Abuso descontrolado, modelos opacos e incerteza regulatória são. Construir a pilha descrita acima é como a indústria ganha o direito de continuar construindo a próxima geração de capacidade.

---

A Didit constrói verificação de identidade, verificação de AML e infraestrutura de conformidade para produtos nativos de IA. 220+ países, 14.000+ tipos de documentos, US$ 0,30 por verificação, sem mínimos. Comece de graça ou converse com a equipe.

are you ready for free kyc.png

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Conformidade de IA Agentica | Didit