A inteligência artificial (IA) é atualmente regulada na indústria de serviços financeiros? “Não” tende a ser a resposta intuitiva. Mas uma análise mais aprofundada revela partes das regulamentações financeiras existentes que se aplicam implicitamente ou explicitamente à IA, como por exemplo, o tratamento de decisões automatizadas no GDPR, a negociação algorítmica no MiFID II, a governança de algoritmos no RTS 6 e várias disposições das regulamentações de nuvem. Embora algumas dessas leis sejam muito voltadas para o futuro e resilientes ao futuro, especialmente o GDPR e o RTS 6, todas foram escritas antes da explosão mais recente nos recursos e na adoção da IA. Como resultado, elas são o que eu chamo de “pré-AI”. Além disso, regulamentações específicas para IA estão sendo discutidas há pelo menos um par de anos, e diversos órgãos regulatórios e da indústria produziram artigos brancos e orientações de alto perfil, mas nenhuma regulamentação oficial em si. Mas isso tudo mudou em abril de 2021, quando a Comissão Europeia emitiu sua proposta de Ato de Inteligência Artificial (AI Act). O texto atual se aplica a todos os setores, mas, como proposta, não é vinculativo e sua versão final pode diferir da versão de 2021. Embora o ato se esforce por ter uma estrutura horizontal e universal, certas indústrias e aplicações são explicitamente mencionadas. O ato adota uma abordagem de regulação de IA baseada em riscos. No topo da pirâmide estão os usos proibidos de IA, como manipulação subliminar, exploração de pessoas e grupos vulneráveis, pontuação de crédito social, identificação biométrica em tempo real em espaços públicos (com certas exceções para fins de aplicação da lei), etc. Abaixo disso, estão os sistemas de IA de alto risco que afetam direitos básicos, segurança e bem-estar, como aviação, infraestrutura crítica, aplicação da lei e cuidados de saúde. Em seguida, há vários tipos de aplicações de IA nas quais o AI Act impõe certos requisitos de transparência. Após isso, há a categoria do “tudo mais” não regulamentada, que abrange, por padrão, soluções de IA mais comuns, como chatbots, sistemas bancários, redes sociais e busca na web. Embora todos entendamos a importância de regular a IA em áreas que são fundamentais para nossas vidas, tais regulamentações dificilmente poderiam ser universais. Felizmente, os reguladores em Bruxelas incluíram o Artigo 69, que encoraja fornecedores e usuários de sistemas de IA de baixo risco a observarem voluntariamente, de forma proporcional, os mesmos padrões que seus colegas que utilizam sistemas de alto risco. A responsabilidade não é um componente do AI Act, mas a Comissão Europeia observa que iniciativas futuras abordarão a responsabilidade e serão complementares ao ato. O AI Act e os Serviços Financeiros O setor de serviços financeiros ocupa uma área cinzenta na lista de indústrias sensíveis do ato. Isso é algo que um futuro rascunho deve esclarecer. A nota explicativa descreve os serviços financeiros como um setor de “alto impacto”, e não “alto risco”, como a aviação ou os cuidados de saúde. Se isso é apenas uma questão de semântica ou não, ainda não está claro. As instituições de crédito, ou bancos, são mencionadas em várias seções. A avaliação de crédito é listada como um caso de uso de alto risco. Mas o texto explicativo enquadrará isso no contexto do acesso a serviços essenciais, como moradia e eletricidade, e em direitos fundamentais, como a não discriminação. No geral, isso está mais relacionado à prática proibida de pontuação de crédito social do que aos serviços financeiros em si. A posição do ato sobre os serviços financeiros deixa espaço para interpretação. Atualmente, os serviços financeiros se enquadram automaticamente no Artigo 69. O AI Act é explícito quanto à proporcionalidade, o que fortalece o argumento de aplicar o Artigo 69 aos serviços financeiros. As principais funções interessadas especificadas no ato são “fornecedor”, ou o vendedor, e “usuário”. Essa terminologia está em linha com as leis suaves relacionadas à IA publicadas nos últimos anos, sejam orientações ou melhores práticas. “Operador” é uma designação comum em termos de IA, e o ato fornece sua própria definição que inclui fornecedores, vendedores e todos os outros atores na cadeia de suprimento de IA. Claro, no mundo real, a cadeia de suprimento de IA é muito mais complexa: Terceiros são fornecedores de sistemas de IA para empresas financeiras, e empresas financeiras são fornecedoras dos mesmos sistemas para seus clientes. A Comissão Europeia estima o custo de conformidade com o AI Act em 6.000 a 7.000 euros para fornecedores, presumivelmente como um custo único por sistema, e de 5.000 a 8.000 euros por ano para usuários. Obviamente, dada a diversidade desses sistemas, um conjunto de números dificilmente se aplicaria a todas as indústrias, portanto, essas estimativas têm um valor limitado. De fato, elas podem criar uma base para comparar os custos reais de conformidade em diferentes setores. Inevitavelmente, alguns sistemas de IA exigirão uma supervisão tão rigorosa tanto do fornecedor quanto do usuário que os custos serão muito maiores e levarão a uma dissonância desnecessária. Governança e Conformidade O AI Act introduz uma estrutura de governança detalhada, abrangente e inovadora: O Conselho Europeu de Inteligência Artificial proposto supervisionaria as autoridades nacionais individuais. Cada país membro da EU pode designar um órgão nacional existente para assumir a supervisão da IA ou, como a Espanha optou recentemente, criar um novo órgão. De qualquer maneira, isso é uma grande empreitada. Os fornecedores de IA serão obrigados a relatar incidentes às suas autoridades nacionais. O ato estabelece muitos requisitos de conformidade regulatória que são aplicáveis aos serviços financeiros, entre eles: Processos contínuos de gerenciamento de riscosRequisitos de dados e governança de dadosDocumentação técnica e registroTransparência e fornecimento de informações aos usuáriosConhecimento e competênciaPrecisão, robustez e cibersegurança Ao introduzir um regime detalhado e rigoroso de penalidades por falta de conformidade, o AI Act se alinha com o GDPR e o MiFID II. Dependendo da gravidade da violação, a penalidade pode chegar a até 6% da receita anual global da empresa infratora. Para uma empresa multinacional de tecnologia ou finanças, isso pode chegar a bilhões de dólares americanos. No entanto, as sanções do AI Act, na verdade, ocupam uma posição intermediária entre as do GDPR e do MiFID II, onde as multas chegam no máximo a 4% e 10%, respectivamente. O Que Vem Aí? Assim como o GDPR se tornou um ponto de referência para regulamentações de proteção de dados, é provável que o AI Act da UE se torne um modelo para regulamentações de IA semelhantes em todo o mundo. Sem precedentes regulatórios para se basear, o AI Act sofre de uma certa “desvantagem do pioneiro”. No entanto, ele passou por uma consulta cuidadosa, e sua publicação despertou discussões energéticas nos círculos jurídicos e financeiros, o que esperançosamente informará a versão final. Um desafio imediato é a definição excessivamente ampla de IA do ato: a proposta da Comissão Europeia inclui abordagens estatísticas, estimativas bayesianas e potencialmente até mesmo cálculos do Excel. Como o escritório de advocacia Clifford Chance comentou: “Essa definição poderia abranger quase qualquer software de negócios, mesmo que não envolva nenhuma forma reconhecível de inteligência artificial”. Outro desafio é a estrutura regulatória proposta pelo ato. Um único regulador nacional teria que cobrir todos os setores. Isso poderia criar um efeito de fragmentação, onde um regulador dedicado supervisionaria todos os aspectos de certas indústrias, exceto os relacionados à IA, que seriam de responsabilidade do regulador separado designado pelo AI Act. Essa abordagem dificilmente seria a ideal. No campo da IA, um tamanho talvez não sirva para todos. Além disso, a interpretação do ato no nível individual da indústria é quase tão importante quanto a linguagem do ato em si. Os reguladores financeiros existentes ou os reguladores de IA recém-criados e designados deveriam fornecer orientação ao setor de serviços financeiros sobre como interpretar e implementar o ato. Essas interpretações devem ser consistentes em todos os países membros da UE. Embora o AI Act se torne uma lei rígida e vinculante se e quando for promulgado, a menos que o Artigo 69 mude substancialmente, suas disposições serão leis suaves ou melhores práticas recomendadas para todas as indústrias e aplicações, exceto aquelas explicitamente listadas. Isso parece ser uma abordagem inteligente e flexível. Com a publicação do AI Act, a UE deu um passo ousado onde nenhum outro órgão regulador antes havia ido. Agora precisamos esperar – e espero que não seja por muito tempo – para ver quais propostas regulatórias são