Artigo 9 — Sistema de gestão de riscos (Regulamento UE em matéria de IA)

Artigo 9 do Regulamento (UE) 2024/1689 — Sistema de gestão de riscos. Texto oficial, interpretação prática, principais obrigações e implicações para a conformidade.

Resumo do texto oficial

O Artigo 9 do Regulamento (UE) 2024/1689 impõe um sistema de gestão de riscos obrigatório e contínuo aos fornecedores de sistemas de IA de alto risco ao longo de todo o ciclo de vida do sistema. A disposição exige que o sistema de gestão de riscos consista num processo iterativo integrado no desenvolvimento e funcionamento do sistema de IA de alto risco, atualizado regularmente à luz das novas informações recolhidas durante a monitorização pós-comercialização.

Concretamente, o Artigo 9 exige que os fornecedores: (a) identifiquem e analisem todos os riscos conhecidos e razoavelmente previsíveis associados ao sistema de IA de alto risco; (b) estimem e avaliem os riscos que podem materializar-se quando o sistema é utilizado de acordo com a sua finalidade prevista e em condições de utilização indevida razoavelmente previsível; (c) avaliem os riscos decorrentes dos dados disponíveis e do comportamento das pessoas que interagem com o sistema; e (d) adotem medidas adequadas de gestão de riscos com base nessa análise.

As medidas de gestão de riscos devem ser de tal natureza que qualquer risco residual associado a cada perigo, bem como o risco residual global do sistema de IA de alto risco, seja considerado aceitável. O Artigo 9 especifica também que devem ser realizados testes para identificar as medidas adequadas, e que esses testes devem ser conduzidos com base em métricas definidas e limiares probabilísticos. É necessária atenção especial quando o sistema provavelmente irá interagir com crianças ou outros grupos vulneráveis. As informações decorrentes da experiência dos utilizadores devem ser incorporadas no processo de gestão de riscos do fornecedor.

O que isso significa na prática

O Artigo 9 é um dos requisitos operacionalmente mais exigentes do Título III do Regulamento UE em matéria de IA. Aplica-se a qualquer pessoa coletiva que se qualifique como fornecedor de um sistema de IA de alto risco — ou seja, a entidade que desenvolve o sistema ou o manda desenvolver e o coloca no mercado ou em serviço sob o seu próprio nome ou marca.

Em termos práticos, a conformidade requer o estabelecimento de um quadro documentado de gestão de riscos antes de o sistema ser colocado no mercado. Não se trata de um exercício de mera formalidade: o regulamento exige um processo iterativo que persiste ao longo da vida do produto, o que significa que a documentação de gestão de riscos deve evoluir à medida que o sistema é atualizado, re-treinado ou implementado em novos contextos.

Um sistema de gestão de riscos conforme incluirá tipicamente: um procedimento estruturado de identificação de riscos que abranja tanto a utilização prevista como os cenários plausíveis de utilização indevida; uma matriz de estimativa de riscos que avalie a probabilidade e a gravidade dos danos; um catálogo de medidas de mitigação com a fundamentação documentada da sua seleção; testes formais pré-comercialização com base em métricas definidas; e um mecanismo para incorporar o feedback pós-comercialização — incluindo dados de incidentes fornecidos pelos utilizadores — na análise de riscos em curso.

Por exemplo, um fornecedor de uma ferramenta de pontuação de crédito baseada em IA classificada como de alto risco ao abrigo do Anexo III deve documentar como o modelo pode produzir resultados discriminatórios, quais as medidas técnicas e organizativas que reduzem esse risco, e como os dados de desempenho do mundo real irão desencadear uma reavaliação. Um sistema de IA utilizado num contexto médico deve adicionalmente abordar o dever de cuidado acrescido quando estão envolvidos utilizadores vulneráveis. Os resultados da gestão de riscos alimentam diretamente a documentação técnica exigida pelo Art. 11 e a avaliação de conformidade ao abrigo dos Art. 43-44.

Principais obrigações

Estabelecer e manter um sistema contínuo de gestão de riscos que abranja todo o ciclo de vida do sistema de IA de alto risco, desde a conceção até ao descomissionamento, atualizado à luz dos dados de monitorização pós-comercialização.
Identificar todos os riscos conhecidos e razoavelmente previsíveis, incluindo os riscos decorrentes de uma utilização indevida razoavelmente previsível, da interação com outros sistemas e do contexto sociotécnico de implementação.
Estimar e avaliar os riscos relativamente à sua probabilidade de ocorrência e à gravidade do dano potencial, tendo em conta a finalidade prevista e as categorias de pessoas suscetíveis de ser afetadas, incluindo grupos vulneráveis e crianças.
Adotar medidas de gestão de riscos que reduzam os riscos identificados a um nível residual aceitável; quando as medidas técnicas forem insuficientes, devem ser complementadas por medidas organizativas ou informativas.
Realizar testes pré-comercialização utilizando métricas definidas e limiares probabilísticos adequados à finalidade prevista, para validar que as medidas selecionadas são eficazes e que o risco residual é aceitável.
Integrar o feedback da monitorização pós-comercialização dos utilizadores e dos utilizadores finais no processo de gestão de riscos em curso, assegurando que o sistema permanece sensível às evidências reais de danos ou quase-acidentes.

Relação com outros artigos

O Artigo 9 situa-se no centro do quadro de requisitos do Capítulo 2 e está estruturalmente ligado a várias outras disposições. Depende do Art. 6 e do Anexo III para o seu âmbito de aplicação: apenas os sistemas que se qualificam como de alto risco estão sujeitos às suas obrigações. Os resultados do processo do Artigo 9 alimentam diretamente o Art. 11 (documentação técnica), que exige que os fornecedores demonstrem que existe e foi aplicado um sistema de gestão de riscos conforme.

O Artigo 9 também se articula estreitamente com o Art. 10 (dados e governação de dados), uma vez que a qualidade dos dados de treino, validação e teste afeta materialmente o perfil de risco que deve ser gerido. O Art. 13 (transparência e fornecimento de informações) exige que determinadas informações relacionadas com os riscos sejam comunicadas aos utilizadores, e o Art. 14 (supervisão humana) especifica medidas que frequentemente servem como ferramentas de mitigação de riscos de primeira linha ao abrigo do Artigo 9. O Art. 26 impõe obrigações a jusante aos utilizadores para monitorizar a utilização no mundo real e reportar informações relevantes aos fornecedores, fechando o ciclo de feedback que o Artigo 9 exige. Por fim, o Art. 72 (monitorização pós-comercialização) formaliza os mecanismos de recolha de dados que sustentam o processo iterativo de gestão de riscos ao longo do tempo.

Calendário de conformidade

O Regulamento UE em matéria de IA entrou em vigor em 1 de agosto de 2024. O Artigo 9, como requisito central do Capítulo 2 aplicável aos sistemas de IA de alto risco, segue o calendário geral de conformidade para as obrigações do Título III:

1 de agosto de 2024 — O Regulamento entra em vigor; o relógio de transição de 24 meses começa para a maioria das obrigações de alto risco.
2 de fevereiro de 2025 — As proibições relativas a práticas de IA de risco inaceitável (Art. 5) tornam-se aplicáveis. O Artigo 9 ainda não se aplica.
2 de agosto de 2025 — As regras relativas aos modelos de IA de uso geral (Título VIII) tornam-se aplicáveis. O Artigo 9 ainda não é obrigatório para a maioria dos sistemas de alto risco.
2 de dezembro de 2026 — O Artigo 9 torna-se plenamente aplicável aos sistemas de IA de alto risco listados no Anexo III (sistemas de IA em áreas como educação, emprego, serviços essenciais, aplicação da lei, migração e administração da justiça). Os fornecedores devem ter em vigor um sistema de gestão de riscos conforme até esta data.
2 de agosto de 2027 — Prazo alargado para os sistemas de IA de alto risco que são componentes de segurança de produtos já abrangidos pela legislação de harmonização da União existente listada no Anexo I (por exemplo, máquinas, dispositivos médicos, aviação civil).

Os fornecedores que estão a desenvolver ou a adquirir sistemas de IA de alto risco devem tratar 2 de dezembro de 2026 como o seu prazo definitivo para a prontidão de conformidade com o Artigo 9, incorporando os quadros de gestão de riscos nos seus processos de desenvolvimento com bastante antecedência para permitir tempo para testes, documentação e avaliação de conformidade.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Quem deve implementar um sistema de gestão de riscos ao abrigo do Artigo 9?

Os fornecedores de sistemas de IA de alto risco, conforme definido no Art. 6 e no Anexo III do Regulamento (UE) 2024/1689, são obrigados a estabelecer e manter um sistema de gestão de riscos antes de colocar o seu sistema no mercado ou de o colocar em serviço.

O que deve abranger o sistema de gestão de riscos ao abrigo do Artigo 9?

O sistema deve identificar e analisar os riscos conhecidos e razoavelmente previsíveis, estimar e avaliar os riscos que possam surgir durante a utilização, adotar medidas adequadas de gestão de riscos e assegurar que os riscos residuais são considerados aceitáveis ao abrigo do regulamento.

Uma avaliação de risco única é suficiente para cumprir o Artigo 9?

Não. O Artigo 9 requer um processo contínuo e iterativo que decorre ao longo de todo o ciclo de vida do sistema de IA de alto risco, incluindo a monitorização pós-comercialização. O sistema deve ser atualizado à medida que surgem novas informações sobre riscos.

O que são cenários de 'utilização indevida razoavelmente previsível' e por que são importantes?

O Artigo 9 exige explicitamente que os fornecedores considerem os riscos decorrentes de uma utilização indevida razoavelmente previsível — não apenas a utilização prevista. Isso significa que os fornecedores devem analisar formas plausíveis de o sistema poder ser utilizado de forma incorreta ou de má-fé e mitigar esses riscos em conformidade.

Como se relaciona o Artigo 9 com as obrigações de teste previstas no Artigo 9(7)?

O Artigo 9(7) exige que os procedimentos de teste sejam definidos e realizados para identificar as medidas de gestão de riscos mais adequadas. Os testes devem ser realizados com base em métricas previamente definidas e limiares probabilísticos adequados à finalidade prevista, e devem ocorrer antes da colocação no mercado.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.