Artigo 53 do Regulamento (UE) 2024/1689 — Obrigações dos fornecedores de modelos de IA de uso geral com risco sistémico. Texto oficial, interpretação prática, obrigações fundamentais e implicações para a conformidade.
Resumo do Texto Oficial
O Artigo 53 do Regulamento (UE) 2024/1689 estabelece obrigações que se aplicam exclusivamente aos fornecedores de modelos de IA de uso geral (GPAI) classificados como apresentando risco sistémico nos termos do Artigo 51. Trata-se de modelos treinados com computação superior a 10^25 operações de vírgula flutuante (FLOP), ou de modelos designados pelo Gabinete de IA com base numa avaliação de capacidades ou impacto.
Além das obrigações de base aplicáveis a todos os fornecedores de modelos GPAI ao abrigo do Artigo 52, os fornecedores abrangidos pelo Artigo 53 devem: realizar avaliações de modelos, incluindo testes adversariais conduzidos de acordo com protocolos normalizados ou metodologias aprovadas; avaliar e mitigar riscos sistémicos a nível da União; notificar incidentes graves e mau funcionamento ao Gabinete de IA sem demora injustificada; assegurar um nível adequado de proteção de cibersegurança para o modelo, a sua infraestrutura e ambiente físico; e documentar os resultados das avaliações de modelos e colocar esses resultados à disposição do Gabinete de IA mediante pedido.
O Artigo 53(2) prevê que os fornecedores possam basear-se em códigos de conduta adotados ao abrigo do Artigo 56 para demonstrar a conformidade. A Comissão Europeia tem competência para emitir atos delegados que especifiquem o conteúdo e os procedimentos das avaliações e para adaptar os limiares à medida que a compreensão científica evolui. O Gabinete de IA monitoriza a conformidade e pode exigir informações adicionais ou ações corretivas.
O Que Isto Significa na Prática
O Artigo 53 cria um nível de conformidade distinto para os modelos GPAI mais capazes e potencialmente mais impactantes no mercado da UE. Qualquer organização — independentemente do local onde esteja estabelecida — que forneça tal modelo a operadores ou utilizadores finais na UE deve avaliar se ultrapassa o limiar de risco sistémico.
Para os fornecedores acima do limiar de computação de 10^25 FLOP, as obrigações são automáticas. Para os fornecedores abaixo desse limiar, o Gabinete de IA pode ainda acionar obrigações ao abrigo do Artigo 53 na sequência de uma avaliação caso a caso baseada em indicadores como o número de utilizadores, a amplitude das capacidades ou a integração em setores críticos.
Na prática, a conformidade exige o estabelecimento de processos internos robustos: um programa de avaliação de modelos capaz de realizar red-teaming e sondagem adversarial antes e após a implantação; um registo de riscos sistémicos e plano de mitigação associado; um quadro de cibersegurança que abranja os pesos do modelo, as APIs e a infraestrutura de treino; e um procedimento de resposta a incidentes ligado à obrigação de notificação ao Gabinete de IA.
Concretamente, um fornecedor de um grande modelo de linguagem de fronteira disponibilizado via API a operadores sediados na UE deve realizar testes adversariais — como tentativas de jailbreak e elicitação de capacidades para conteúdo perigoso — documentar os resultados, retê-los e poder partilhá-los com o Gabinete de IA. Se o modelo produzir resultados que causem ou quase causem dano grave a uma pessoa ou infraestrutura crítica, esse incidente deve ser notificado prontamente. A participação num código de conduta aprovado pelo Gabinete de IA ao abrigo do Artigo 56 fornece uma via estruturada para demonstrar a conformidade sem aguardar normas harmonizadas.
Obrigações Fundamentais
- Avaliações de modelos e testes adversariais: Realizar avaliações completas, incluindo red-teaming e testes adversariais, utilizando protocolos normalizados ou aprovados pelo Gabinete de IA, antes e após atualizações significativas do modelo.
- Avaliação e mitigação do risco sistémico: Identificar, analisar e mitigar potenciais riscos sistémicos a nível da União que possam resultar do desenvolvimento, da colocação no mercado ou da utilização do modelo.
- Notificação de incidentes graves: Notificar o Gabinete de IA sem demora injustificada de qualquer incidente grave ou mau funcionamento relacionado com o modelo GPAI com risco sistémico, incluindo informações sobre o incidente e as medidas corretivas tomadas.
- Proteção de cibersegurança: Implementar e manter medidas de cibersegurança adequadas que protejam o modelo, a sua infraestrutura física e a cadeia de abastecimento — incluindo pesos do modelo, APIs e condutas de treino — proporcionais aos riscos identificados.
- Documentação e transparência perante o Gabinete de IA: Manter registos dos resultados das avaliações, metodologias de teste e medidas de mitigação do risco; colocá-los à disposição do Gabinete de IA mediante pedido.
- Via de conformidade através de códigos de conduta: Demonstrar a conformidade com as obrigações do Artigo 53 aderindo a códigos de conduta desenvolvidos ao abrigo do Artigo 56, enquanto aguardam a disponibilidade de normas harmonizadas.
Relação com Outros Artigos
O Artigo 53 não pode ser lido de forma isolada. Assenta diretamente no Artigo 51, que define os critérios e procedimentos para classificar um modelo GPAI como apresentando risco sistémico — incluindo o limiar de computação de 10^25 FLOP e o poder de designação discricionário do Gabinete de IA. As obrigações de base do Artigo 52 permanecem plenamente aplicáveis a par do Artigo 53; este último acrescenta uma camada adicional em vez de substituir o primeiro.
O Artigo 55 regula presunções qualificadas de conformidade, enquanto o Artigo 56 estabelece o mecanismo de códigos de conduta ao qual o Artigo 53(2) faz referência explícita como via de conformidade. O papel de supervisão do Gabinete de IA sobre as obrigações do Artigo 53 está fundamentado nos Artigos 88 a 90, que estabelecem os poderes e procedimentos de execução. Para os fornecedores que são também operadores de sistemas de IA de alto risco, os requisitos do Capítulo III (Artigos 9–16) sobre gestão do risco e documentação técnica podem sobrepor-se ao trabalho de mitigação do risco sistémico exigido pelo Artigo 53, sendo aconselhável a coordenação entre as equipas de conformidade para evitar duplicações.
Calendário de Conformidade
O Regulamento IA da UE entrou em vigor em 1 de agosto de 2024 (vinte dias após a publicação no Jornal Oficial em 12 de julho de 2024). O Artigo 53, enquanto parte do Título V que regula os modelos de IA de uso geral, tornou-se aplicável em 2 de agosto de 2025 — doze meses após a entrada em vigor, em conformidade com o Artigo 113(3).
Isto significa que os fornecedores de modelos GPAI com risco sistémico eram obrigados a ter os seus programas de avaliação, procedimentos de notificação de incidentes e quadros de cibersegurança operacionais até essa data. O calendário de aplicação faseada para referência: as práticas de IA proibidas ao abrigo do Artigo 5 aplicaram-se a partir de 2 de fevereiro de 2025 (seis meses); as obrigações dos modelos GPAI incluindo o Artigo 53 a partir de 2 de agosto de 2025 (doze meses); as obrigações relativas a sistemas de IA de alto risco ao abrigo do Anexo I a partir de 2 de agosto de 2026 (vinte e quatro meses); e as restantes obrigações relativas a sistemas de IA de alto risco a partir de 2 de agosto de 2027 (trinta e seis meses). Os fornecedores devem também monitorizar os atos delegados da Comissão Europeia que possam aperfeiçoar os requisitos de avaliação do Artigo 53 ou ajustar o limiar de computação à medida que a compreensão científica das capacidades dos modelos de fronteira evolui.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
O Artigo 53 aplica-se aos fornecedores de modelos de IA de uso geral que foram classificados como apresentando risco sistémico — seja porque foram treinados com uma quantidade cumulativa de computação superior a 10^25 FLOP, seja porque o Gabinete de IA os designou como tal na sequência de uma avaliação ao abrigo do Artigo 51.
O Artigo 52 estabelece obrigações de base para todos os fornecedores de modelos de IA de uso geral, incluindo requisitos de documentação e transparência. O Artigo 53 impõe obrigações adicionais e mais rigorosas exclusivamente aos fornecedores de modelos GPAI com risco sistémico, incluindo testes adversariais, notificação de incidentes e medidas de cibersegurança.
O Artigo 53 não impõe a restrição do acesso, mas exige que os fornecedores implementem políticas e medidas técnicas proporcionais ao risco sistémico. Tal pode incluir controlos de acesso quando justificados pelas conclusões dos testes adversariais ou pela avaliação do risco de cibersegurança.
Um incidente grave ao abrigo do Artigo 53 refere-se a qualquer incidente ou mau funcionamento de um modelo GPAI com risco sistémico que resulte em, ou tenha uma probabilidade razoável de resultar em, morte, dano grave para a saúde, perturbação grave de infraestruturas críticas, danos materiais ou efeitos adversos significativos nos direitos fundamentais. Os fornecedores devem notificar tais incidentes ao Gabinete de IA sem demora injustificada.
O Artigo 53 tornou-se aplicável em 2 de agosto de 2025, doze meses após a entrada em vigor do Regulamento em 1 de agosto de 2024. Isso reflete o calendário específico do Regulamento IA da UE para as disposições do Título V que regem os modelos de IA de uso geral.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.