A reação mais comum quando o EU AI Act aparece em conversa com executivos brasileiros: "Isso é coisa de Europa."
É a mesma reação que existia com o GDPR em 2017. "Regulação europeia não nos afeta."
Depois veio a LGPD. Depois vieram as auditorias de parceiros europeus. Depois vieram as cláusulas contratuais.
O EU AI Act vai seguir o mesmo caminho — mais rápido, porque o mundo já aprendeu como a regulação europeia funciona.
O que é o EU AI Act — e por que não é só problema europeu
O EU AI Act é o primeiro marco regulatório abrangente sobre inteligência artificial no mundo. Aprovado pelo Parlamento Europeu em março de 2024, entrou progressivamente em vigor a partir de agosto de 2024.
Define categorias de risco para sistemas de IA, estabelece obrigações por categoria, proíbe determinadas aplicações e prevê multas significativas para quem descumprir.
A lógica de aplicação não é territorial da empresa. É territorial do impacto.
Se um sistema de IA afeta pessoas dentro da União Europeia — seja porque você vende para clientes europeus, porque opera plataforma com usuários europeus, porque presta serviço para empresa europeia que usa seu sistema — o EU AI Act se aplica.
É o mesmo princípio do GDPR. O dado de um cidadão europeu tem proteção europeia, independentemente de onde a empresa que o processa está sediada.
Quem está sujeito — incluindo empresas daqui
A lei define quatro categorias de atores:
Fornecedores de sistemas de IA — empresas que desenvolvem e colocam no mercado sistemas de IA. Uma startup brasileira que desenvolve software com IA e vende para clientes europeus é fornecedora. As obrigações mais pesadas recaem sobre fornecedores.
Implantadores — organizações que usam sistemas de IA no contexto de suas atividades profissionais. Uma empresa brasileira que usa software com IA para processar dados de clientes europeus é implantadora.
Importadores e distribuidores — relevante para empresas que revendem ou distribuem soluções de IA desenvolvidas fora da Europa para o mercado europeu.
Dois cenários concretos de empresa brasileira afetada:
Empresa de SaaS que tem clientes na Europa e usa IA para automação, personalização ou decisão dentro do produto. Se o sistema é de alto risco ou proibido, as obrigações são imediatas.
Empresa de serviços — consultoria, logística, saúde, financeiro — que presta serviço para grupos europeus. Os contratos já estão começando a exigir declaração de conformidade com o EU AI Act para qualquer IA embutida no serviço.
Qual é o nível de exposição da sua empresa?
Score de risco em 8 perguntas — resultado imediato.
Fazer o score de risco
As categorias de risco e o que cada uma exige
O EU AI Act organiza os sistemas de IA em quatro categorias:
Risco inaceitável — proibido. Sistemas que manipulam comportamento de forma subliminar, exploram vulnerabilidades de grupos específicos, fazem pontuação social (social scoring) por autoridades públicas, e reconhecimento de emoção em locais de trabalho ou escolas. Proibição em vigor desde fevereiro de 2025.
Alto risco — obrigações pesadas. Sistemas em infraestrutura crítica, educação, emprego (triagem de candidatos, avaliação de desempenho), serviços essenciais (crédito, seguro), aplicação da lei, gestão de migração. Exige documentação técnica completa, registro em banco de dados da UE, avaliação de conformidade, monitoramento pós-mercado, supervisão humana obrigatória.
Risco limitado — transparência. Chatbots e sistemas de geração de conteúdo precisam informar ao usuário que está interagindo com IA. Simples — mas ignorado por muitos.
Risco mínimo — sem obrigação específica. Filtros de spam, recomendações de conteúdo sem impacto significativo. Maioria dos sistemas cai aqui.
O problema real está nos sistemas de alto risco que empresas usam sem saber que se enquadram nessa categoria. Um sistema de triagem automática de currículos? Alto risco. Um modelo de scoring de crédito? Alto risco. Avaliação de risco de inadimplência com IA? Alto risco.
Multas e prazos ativos em 2026
As penalidades do EU AI Act têm três faixas:
35 milhões de euros ou 7% do faturamento global anual — para violações que envolvem sistemas proibidos.
15 milhões de euros ou 3% do faturamento global — para violações de obrigações de sistemas de alto risco e fornecedores de IA de propósito geral.
7,5 milhões de euros ou 1,5% do faturamento global — para fornecimento de informações incorretas às autoridades.
Prazos em 2026: os requisitos para sistemas de IA de alto risco em produtos já regulados (equipamentos médicos, veículos, etc.) entram em vigor em agosto de 2026. Requisitos para sistemas de alto risco standalone têm prazo até agosto de 2027 — mas a janela de preparação para conformidade é agora.
Autoridades de supervisão nacionais dos países-membros estão sendo estruturadas. O enforcement começa a acontecer. As primeiras investigações formais já foram abertas em 2025.
O que fazer agora se você vende para Europa
Três ações concretas, sem esperar o regulador bater.
Primeiro: mapeie se você está no escopo. Você tem clientes na Europa? Seus sistemas de IA processam dados de cidadãos europeus? Você vende para empresa europeia que usa seu produto com IA? Se sim para qualquer uma, você está no escopo.
Segundo: classifique seus sistemas. Quais sistemas de IA você usa ou desenvolve? Em qual categoria de risco do EU AI Act cada um se enquadra? Sistemas de alto risco exigem ação imediata — registro, documentação, supervisão humana definida.
Terceiro: revise contratos com clientes e parceiros europeus. Cláusulas de conformidade com o EU AI Act já estão aparecendo em RFPs e renovações. Ser pego desprevenido em uma negociação porque não sabia que estava no escopo é o pior cenário.
A regulação europeia não precisa que você concorde com ela. Só precisa que você esteja no escopo.
Se você vende para a Europa ou quer vender, o EU AI Act é requisito de negócio. Trate como tal.
O score de risco avalia se os seus sistemas de IA se enquadram em categorias críticas do EU AI Act: alc.ia.br/score-risco.
Para o diagnóstico completo com plano de adequação: alc.ia.br/diagnostico.