Cumprimento na Era dos LLM: O Novo Pilar Regulamentar para Plataformas de IA (PT-PT)

Há cinco anos, as obrigações de cumprimento de uma empresa de IA cabiam numa única página. Uma política de privacidade, termos de serviço, talvez uma barra de cookies e – se fosse prudente – um acordo de tratamento de dados RGPD. Era tudo. A IA era tratada como software e o software era tratado com ligeireza.

Em abril de 2026, esse mundo terá desaparecido.

Uma plataforma de IA lançada hoje opera num conjunto sobreposto de regulamentos que inclui a Lei da IA da UE, o Regulamento dos Serviços Digitais (DSA), o RGPD, regras específicas do setor (finanças, saúde, educação), controlos de exportação, requisitos de verificação de idade, requisitos de proveniência do conteúdo e – cada vez mais – obrigações explícitas de KYC/AML em relação a quem pode aceder aos modelos e ao que pode fazer com eles. O recente lançamento da Anthropic do sistema de verificação com passaporte e selfie no Claude é um sintoma visível desta mudança. Não será o último.

Este artigo mapeia o conjunto de regulamentos em que as empresas de IA operam atualmente, explica o que mudou nos últimos 18 meses e apresenta uma arquitetura prática para construir um produto que possa resistir ao escrutínio regulamentar sem destruir a experiência do programador.

O Que Mudou

Quatro coisas aconteceram, aproximadamente em paralelo, entre o final de 2024 e o início de 2026.

Primeiro, os reguladores acordaram. A Lei da IA da UE entrou em vigor com um lançamento faseado a partir de agosto de 2024, com as obrigações relativas a modelos de IA de propósito geral a serem implementadas em agosto de 2025 e as obrigações relativas a sistemas de alto risco a serem implementadas em agosto de 2026. O Reino Unido criou o Instituto de Segurança da IA com acordos de teste formais. A ordem executiva dos EUA sobre IA criou limiares de notificação para grandes execuções de treino. O Brasil, o Japão, a Coreia do Sul, Singapura e os EAU publicaram todos os seus padrões de IA. A China já exigia verificação de identidade para IA generativa desde 2023.

Segundo, as plataformas de IA tornaram-se sistemicamente importantes. Claude, ChatGPT, Gemini e Grok estão agora no fluxo de trabalho de dezenas de milhões de funcionários de empresas e centenas de milhões de consumidores. Essa escala desencadeia as obrigações da “plataforma online muito grande” (VLOP) do Regulamento dos Serviços Digitais (DSA) na UE, regimes de proteção do consumidor em várias jurisdições e a gravidade geral de “se falhar, falha muito”.

Terceiro, os vetores de abuso evoluíram. Fraude com deepfakes, clonagem de voz, phishing automatizado, criação de identidades sintéticas, destilação de modelos, extração de copyright, geração de CSAM, golpes com agentes – tudo evoluiu de prova de conceito para operações industriais. Todos os reguladores têm agora uma lista de incidentes reais a que apontar ao redigir as regras.

Quarto, a indústria ficou sem desculpas. Durante a maior parte de 2023 e 2024, as empresas de IA argumentaram com sucesso que a autorregulação e os compromissos voluntários eram suficientes. Em 2026, com evidências claras de destilação em larga escala, fraude com deepfakes que atingem bilhões em perdas anuais e chatbots de IA implicados em suicídios de adolescentes e esquemas de personificação, esse argumento já não se sustenta.

O resultado é que a conformidade da IA já não é um pensamento tardio em termos de produto. É uma preocupação arquitetónica, comparável à escalabilidade e à segurança.

O Conjunto de Regulamentos em 2026

Uma plataforma de IA que opera em mercados importantes tem agora de lidar com as seguintes camadas, simultaneamente.

Lei da IA da UE

A primeira lei abrangente de IA em vigor. Principais obrigações por categoria:

• Modelos de IA de propósito geral (GPAI): documentação de transparência, resumos dos dados de treino, política de copyright, documentação técnica disponível para implementadores a jusante. Os modelos com “risco sistémico” (treinados acima do limite de 10^25 FLOP) estão sujeitos a obrigações adicionais: avaliação de risco sistémico, testes vermelhos, notificação de incidentes graves, proteção de segurança cibernética.
• Sistemas de IA de alto risco: sistemas de gestão de riscos, governação de dados, documentação técnica, manutenção de registos, supervisão humana, requisitos de precisão e robustez, monitorização pós-comercialização. Aplica-se à IA no emprego, crédito, seguros, educação, infraestruturas críticas, aplicação da lei e muito mais.
• IA de risco limitado (chatbots, deepfakes): obrigações de transparência – os utilizadores devem saber que estão a interagir com IA e o conteúdo sintético deve ser rotulado.
• IA proibida: avaliação social, identificação biométrica em tempo real em espaços públicos (com exceções restritas), reconhecimento de emoções no local de trabalho/educação, policiamento preditivo baseado apenas em perfis, raspagem de reconhecimento facial não direcionada.

As penalidades chegam a 7% do volume de negócios anual global para IA proibida, 3% para outras violações.

Regulamento dos Serviços Digitais (DSA)

Aplica-se a qualquer plataforma online que atenda a utilizadores na UE. Chatbots de IA com grande escala desencadeiam as obrigações da “plataforma online muito grande” (VLOP): avaliações de risco sistémico, auditorias independentes, relatórios de transparência, acesso a dados para investigadores, obrigações de moderação de conteúdo, mecanismos de resposta a crises. Penalidade máxima: 6% do volume de negócios global.

RGPD

Ainda é o regime de privacidade fundamental para qualquer produto de IA que toque em dados pessoais da UE. Pontos de pressão específicos da IA:

• Base legal para dados de treino. A raspagem de conteúdo web público para treino de modelos está a ser ativamente litigiada em várias jurisdições da UE.
• Direito ao apagamento. Como é que se “elimina” uma pessoa de um modelo treinado? A aplicação ativa disto ainda está a surgir.
• Tomada de decisão automatizada (Artigo 22). Desencadeia quando os resultados da IA afetam materialmente os indivíduos. Requer opções de revisão humana.
• Minimização de dados. Difícil de conciliar com o treino de modelos de fundação em conjuntos de dados massivos.

O EDPB (Conselho Europeu de Proteção de Dados) emitiu um parecer em dezembro de 2024 esclarecendo alguns destes aspetos, mas a aplicação é irregular entre os Estados-Membros e ativa.

Regras Específicas do Setor

A IA utilizada em setores regulamentados adota automaticamente as obrigações do setor:

• Finanças: MiFID II, PSD2/PSD3, diretrizes da EBA sobre IA na avaliação de crédito, orientações da FINRA sobre IA, circulares do CFPB sobre discriminação algorítmica
• Saúde: MDR (regulamento de dispositivos médicos da UE) para IA de diagnóstico, HIPAA e orientações da FDA nos EUA
• Educação: leis de proteção de dados dos alunos (FERPA nos EUA, leis estaduais)
• Emprego: Lei Local 144 de Nova Iorque, categoria de alto risco da Lei da IA da UE para ferramentas de recrutamento, orientações da EEOC sobre discriminação algorítmica
• Seguros: boletim modelo da NAIC sobre IA, regulamentação estadual

Uma plataforma de IA que permite a clientes empresariais implantarem em qualquer um destes setores herda uma parte da obrigação.

Controlos de Exportação

A IA é de uso duplo. Os EUA controlaram a exportação de certas GPUs avançadas desde 2022, expandiram os controlos para pesos do modelo com base em limiares de capacidade específicos e mantiveram restrições da Lista de Entidades ao acesso à tecnologia de IA dos EUA por intervenientes estrangeiros específicos. A UE tem controlos de exportação de itens de uso duplo, incluindo IA, ao abrigo do Regulamento de Uso Duplo da UE. Isto aparece como uma obrigação de cumprimento em quem pode vender o acesso à API, quais clientes passam por verificações de sanções e quais modelos podem ser implantados em quais jurisdições.

KYC, AML e Controlos de Acesso

A adição mais recente ao conjunto de regras e à qual as empresas de IA estão menos preparadas. Impulsionadores:

• Políticas de Escalonamento Responsável dos laboratórios de ponta (ASL-3 e acima exigem KYC)
• Defesa contra ataques de destilação (ver divulgação da Anthropic em fevereiro de 2026)
• Verificações de controlo de exportação (exige clientes identificados)
• Prevenção de abuso (CSAM, armamento, fraude)
• Convergência regulamentar com fintech (a infraestrutura de IA é cada vez mais tratada como infraestrutura financeira)

O resultado prático é que as plataformas de IA estão a construir programas de KYC – verificação de identidade, rastreamento de sanções, verificações de propriedade benéfica, monitorização de atividades suspeitas – que se assemelham muito àqueles que as empresas de fintech e as bolsas de criptomoedas já operam.

Verificação de Idade

A tornar-se rapidamente obrigatória em importantes mercados. A Lei de Segurança Online do Reino Unido, implementações dos Estados-Membros da UE da classificação de idade de conteúdo, leis estaduais dos EUA (Utah, Louisiana, Texas e outros) e políticas de plataforma como os requisitos da App Store da Apple empurram todos na mesma direção: os produtos com conteúdo para adultos, serviços financeiros, elementos de desenho viciantes ou risco significativo para menores devem verificar a idade.

Para chatbots de IA, isto manifesta-se como acesso com classificação de idade a certas capacidades, proteção contra interações de menores e – em algumas jurisdições – proibições de certos comportamentos do modelo na presença de utilizadores menores.

Proveniência do Conteúdo e Marca d'Água

A Lei da IA da UE exige que o conteúdo sintético seja rotulado. A ordem executiva dos EUA sobre IA pediu ao NIST para desenvolver padrões de autenticação de conteúdo. A especificação C2PA (Coalition for Content Provenance and Authenticity) está a tornar-se um padrão da indústria de facto. Espera-se que as plataformas de IA que gerem imagens, áudio e vídeo incorporem sinais de proveniência criptográficos nas saídas.

A Arquitetura de Cumprimento que Funciona

Se está a construir um produto de IA em 2026, o conjunto de regulamentos acima pode parecer paralisante. Não tem de ser. A ideia central: a conformidade da IA é um problema arquitetónico, não um problema de política. As políticas escritas, os avisos de privacidade e os DPAs são necessários, mas longe de serem suficientes. Os controlos têm de estar incorporados no produto.

Aqui está a arquitetura mínima que funciona para uma plataforma de IA moderna.

Camada de Identidade e Acesso

Todos os utilizadores, cada sessão, cada chamada de API passam por uma camada que sabe:

• Quem é o utilizador (nível de verificação)
• Onde se encontra (jurisdição)
• Qual o nível de acesso que tem (gratuito, pago, empresarial, com capacidades limitadas)
• Qual o seu perfil de risco (comportamental, histórico, dispositivo)

Esta é a mesma camada que lida com KYC, rastreamento de AML, verificações de sanções, verificação de idade e rastreamento de controlo de exportação. Construa uma vez, conecte-a a todas as superfícies do produto.

Componentes técnicos:

• Verificação de documentos com deteção de vida em atualizações de nível
• Sanções, PEP, rastreamento de media adversos na criação de contas
• Impressão digital do dispositivo e monitorização do comportamento para pontuação contínua de risco
• Monitorização contínua com gatilhos de reverificação

Didit é um fornecedor construído para exatamente esta forma – pagamento por verificação, cobertura global, verificação rápida, API nativa de IA.

Camada de Segurança de Conteúdo

Filtragem de entrada, filtragem de saída, deteção de abuso, rastreamento CSAM, proteção de copyright e sinais de proveniência do conteúdo. É aqui que a segurança do modelo se encontra com a obrigação regulamentar. Capacidades específicas:

• Classificação de prompts para categorias de abuso (CSAM, armamento, fraude, autolesão)
• Classificação de saída correspondente às mesmas categorias
• Correspondência de hash com conteúdo conhecido como ruim (NCMEC, bases de dados de copyright)
• Marca d'água e proveniência C2PA para media gerados
• Conjunto de regressão de teste vermelho para jailbreaks conhecidos

Camada de Auditoria e Relatório

Os reguladores exigem cada vez mais relatórios estruturados. Construa a infraestrutura de registo de auditoria para suportá-la desde o primeiro dia:

• Cada decisão com impacto material registada com entradas, saídas, versão do modelo, prompt e nível do utilizador
• Pipeline de relatório de incidentes conectado à escalada interna e ao arquivo regulamentar externo
• Geração de relatórios de transparência (métricas agregadas e anonimizadas sobre sinalizações, proibições, recusas)
• Infraestrutura de acesso à pesquisa para pedidos de acesso a dados no estilo DSA
• Pacotes de evidências prontos para exportação para estruturas de conformidade específicas (documentação técnica da Lei da IA da UE, ISO 42001, SOC 2)

Roteamento de Jurisdição

Regras diferentes aplicam-se em diferentes locais. Um único código base tem de lidar com:

• Utilizadores da UE sob RGPD, Lei da IA da UE, DSA
• Utilizadores do Reino Unido sob RGPD do Reino Unido, Lei de Segurança Online, regulamentação da IA do Reino Unido
• Utilizadores dos EUA sob um conjunto de leis estaduais (California CCPA/CPRA, Lei da IA de Utah, Lei da IA de Colorado, Lei Local 144 de Nova Iorque)
• Utilizadores do Brasil sob LGPD e a próxima lei de IA
• Utilizadores da China sob as regras de IA generativa da CAC

A camada de cumprimento encaminha pedidos, aplica restrições jurisdicionais e lida com a residência de dados. Isto não é opcional para plataformas globais.

Camada de Governação do Modelo

Especificamente para laboratórios de ponta, mas cada vez mais para qualquer empresa que construa em cima de modelos:

• Cartões de modelo com proveniência de dados de treino, resultados de avaliação, limitações conhecidas
• Relatórios de testes vermelhos para modelos de risco sistémico
• Resposta a incidentes para falhas de comportamento do modelo
• Controlo de versão para modelos implantados em contextos regulamentados
• Documentação do implementador a jusante (as obrigações de transparência da Lei da IA da UE fluem ao longo da cadeia de fornecimento)

Erros Comuns e Como Evitá-los

Tratar o Cumprimento como um Documento de Política

O erro mais caro. Um aviso de privacidade bem escrito não faz nada se o produto não aplicar as regras descritas nele. Construa a aplicação na arquitetura e, em seguida, descreva-a na política – não o contrário.

Assumir que a Autoatestação É Suficiente

“Os utilizadores devem ter mais de 18 anos” nos seus termos de serviço não satisfaz os requisitos de verificação de idade. “Os utilizadores podem não usar o nosso produto para fins ilegais” não satisfaz as obrigações de prevenção de CSAM. Precisa de verificação, não de declaração.

Esperar por Clareza Regulatória

As regulamentações não estão a ficar menos rigorosas com o tempo. Cada ronda de esclarecimento apertou as obrigações, não as relaxou. Construir para a Lei da IA da UE de 2025 hoje significa já estar atrás das disposições de alto risco de 2026. Construa para a interpretação mais rigorosa.

Guardar Dados Biométricos e de Identidade Sozinho

Este é um negócio de custódia especializado e regulamentado. Se não for um fornecedor de KYC, não se torne um por acidente. Use um fornecedor dedicado (Persona, Onfido, Didit) para dados de identidade e mantenha-se do lado certo da linha do controlador/processador de dados.

Tratar Segurança e Conformidade como Separação

São a mesma função, com públicos diferentes. O seu programa de testes vermelhos faz parte da sua documentação de risco sistémico da Lei da IA da UE. O seu classificador de CSAM faz parte das suas obrigações do DSA. O seu rastreamento de sanções faz parte da sua postura de controlo de exportação. A governação integrada é eficiente. A governação isolada garante lacunas.

Subestimar o Custo de Conformidade das Vendas Empresariais

Os clientes empresariais exigirão provas – SOC 2 Type II, ISO 27001, ISO 42001 (específico para IA), acordos de processamento de dados, listas de subprocessadores, provas de residência de dados jurisdicionais. Não construir isto no primeiro ano custa meses de negócios empresariais no segundo ano.

O que É Bom em 2026

Uma plataforma de IA bem arquitetada em 2026 tem, no mínimo:

• Verificação de identidade baseada em risco incorporada em cada limite de nível e capacidade
• Rastreamento de sanções e controlo de exportação na criação de conta e num cronograma contínuo
• Verificação de idade em qualquer superfície onde os menores enfrentem risco material
• Infraestrutura de segurança de conteúdo – filtragem de entrada, filtragem de saída, rastreamento CSAM, marca d'água
• Registros de auditoria e relatórios de transparência capazes de fornecer arquivos regulamentares sem engenharia hercúlea
• Roteamento consciente da jurisdição e controlos de residência de dados
• Uma função de segurança e governação reportando à liderança, integrada com o produto e engenharia, não adicionada
• Governação de modelo documentada – cartões, avaliações, relatórios de testes vermelhos, resposta a incidentes
• Due diligence do fornecedor em cada modelo, ferramenta e fornecedor de dados na pilha
• Monitorização ativa de padrões de abuso – destilação, fraude, raspagem, personificação

Este é um investimento de engenharia significativo. Também é não negociável para qualquer empresa de IA que pretenda operar em escala em mercados regulamentados.

O Conjunto de Regulamentos é o Produto

O instinto para os construtores de IA é tratar o cumprimento como um encargo – o imposto que paga para enviar o seu “produto real”. Em 2026, essa estrutura está errada. O conjunto de regulamentos é cada vez mais parte do produto. Os clientes empresariais escolhem fornecedores com base na postura de conformidade. Os reguladores abrem as portas de acesso aos mercados com base nas provas de conformidade. Os utilizadores confiam nas plataformas que mostram o seu trabalho.

As empresas de IA que vencerão os próximos cinco anos serão aquelas que tratarão o conjunto de regulamentos como uma preocupação arquitetónica de primeira classe, com investimento, ferramentas e atenção da liderança à medida. A Anthropic lançou silenciosamente o sistema de passaporte e selfie no Claude, não é uma aberração. É uma prévia. Todas as grandes plataformas de IA acabarão no mesmo local, seja por adoção voluntária ou por compulsão regulamentar. As empresas que chegarem primeiro e o fizerem bem conquistarão uma vantagem duradoura. As que esperarem passarão a segunda metade da década a refazer as coisas sob pressão.

A conformidade não é inimiga da inovação da IA. O abuso descontrolado, os modelos opacos e a incerteza regulamentar são. A construção do conjunto descrito acima é a forma como a indústria conquista o direito de continuar a construir a próxima geração de capacidades.

---

A Didit constrói verificação de identidade, rastreamento de AML e infraestrutura de conformidade para produtos nativos de IA. 220+ países, 14.000+ tipos de documentos, 0,30 $ por verificação, sem mínimos. Comece gratuitamente ou fale com a equipa.