O que está acontecendo
Sistemas de alto risco — crédito, saúde, infraestrutura crítica, seleção de RH, educação — exigem avaliação de conformidade antes de entrar em operação.
Registro obrigatório em banco de dados europeu. Supervisão humana documentada. Documentação técnica completa. Monitoramento pós-implantação.
Os prazos de adequação para sistemas existentes já estão correndo. Sistemas proibidos foram banidos imediatamente. Sistemas de alto risco têm prazo de adequação escalonado.
Por que isso é problema do CFO
Empresas brasileiras com subsidiárias europeias estão no escopo. Empresas que processam dados de cidadãos europeus estão no escopo. Empresas que fornecem serviços para operadoras europeias estão no escopo.
"Estamos fora da Europa" não é argumento válido quando os dados são de cidadãos europeus ou quando o serviço é prestado para empresas europeias.
O CFO precisa saber se a empresa tem exposição ao EU AI Act — e se tem, quais sistemas estão no escopo de alto risco.
O que acontece quando isso vai para auditoria
Autoridades europeias podem multar operadoras fora da Europa pelo efeito extraterritorial da regulação. O modelo do GDPR se repete: localização do dado, não da empresa.
Empresas que sofreram autuação por GDPR já enfrentam escrutínio maior. O EU AI Act cria nova camada de exposição para os mesmos reguladores.
Clientes europeus podem exigir demonstração de conformidade como condição contratual. Isso já está acontecendo em procurement de grandes corporações europeias.
Impacto financeiro estimado
Multa máxima: €35 milhões ou 7% do faturamento global anual — o que for maior. Para sistemas proibidos: €40 milhões ou 7% do faturamento.
Custo de conformidade de sistemas de alto risco existentes: varia de €200k a €2M dependendo do nível de documentação atual e complexidade do sistema.
Perda de contratos com clientes europeus que exigem conformidade como requisito: estimativa depende do mix de receita europeia.
O que fazer
- Mapear todos os sistemas de IA que processam dados de cidadãos europeus ou que operam em território europeu
- Para cada sistema: classificar pela lista de categorias de alto risco do EU AI Act (crédito, RH, saúde, educação, infraestrutura crítica)
- Para sistemas de alto risco: iniciar documentação técnica, avaliação de conformidade e registro
- ISO 42001 constrói parte significativa da evidência exigida — considerar como caminho de adequação
- Nomear responsável pelo acompanhamento do EU AI Act dentro da empresa — não delegar apenas para TI
"Controle não é documento. É evidência. O EU AI Act exige evidência de conformidade antes de colocar o sistema em operação — não depois de ser autuado."
Riscos relacionados
Regulatório
PL 2338 — Marco Legal Brasileiro
O modelo europeu sendo replicado no Brasil.
Operacional
Viés Algorítmico
EU AI Act proíbe sistemas com viés discriminatório em categorias de alto risco.
Auditoria
Documentação de Modelo
O EU AI Act exige documentação técnica como pré-requisito de operação.