Bancos, seguradoras, gestores de ativos e instituições de pagamento enfrentam obrigações ao abrigo do Regulamento IA da UE sobrepostas com a regulamentação financeira existente (DORA, MiFID II, RGPD, CRR). Esta página explica que casos de utilização de IA são de alto risco, como os reguladores sectoriais interagem com o Regulamento IA e o que as instituições financeiras devem fazer para cumprir.
O Regulamento IA Chega às Finanças
As instituições financeiras — bancos, seguradoras, gestores de ativos, prestadores de serviços de pagamento, centrais de risco de crédito — estão entre os utilizadores mais intensivos de IA na Europa. A pontuação de crédito, a deteção de fraude, a negociação algorítmica, a perfilagem de risco de clientes, a subscrição de seguros, a automatização de relatórios regulatórios e a triagem LAB/KYC dependem todos de sistemas de IA que podem estar sujeitos ao Regulamento IA da UE.
Para as instituições financeiras, o Regulamento IA da UE não chega de forma isolada. Sobrepõe-se a uma já densa pilha regulatória: DORA (resiliência digital), MiFID II (serviços de investimento), RGPD (proteção de dados), CRR/CRD (requisitos de capital), Solvência II (seguros), PSD2/PSD3 (serviços de pagamento) e orientações setoriais do EBA, da EIOPA e da ESMA. Compreender como o Regulamento IA se integra com — e por vezes conflitua com — a regulamentação financeira existente é essencial para uma conformidade eficiente.
Que Casos de Utilização de IA São de Alto Risco nas Finanças?
O Anexo III do Regulamento IA da UE identifica casos de utilização que são automaticamente de alto risco. No sector financeiro, os mais diretamente relevantes são:
Categoria 5(b): Avaliação da Solvabilidade
Alto risco. Os sistemas de IA utilizados para avaliar a solvabilidade de pessoas singulares ou para classificar pessoas singulares em termos de risco de crédito estão explicitamente listados. Tal abrange:
- Pontuação de crédito automatizada para empréstimos ao consumo, descobertos pessoais, cartões de crédito e hipotecas
- Modelos que avaliam a probabilidade de reembolso, o risco de incumprimento ou a capacidade de endividamento de consumidores individuais
- Sistemas de IA que recomendam limites de crédito ou montantes de empréstimo com base na avaliação de risco individual
Não automaticamente abrangido: Modelos de crédito corporativo que avaliam pessoas coletivas em vez de pessoas singulares, embora estes possam ainda desencadear obrigações de transparência do Art.º 50 dependendo da implantação.
Categoria 5(b): Decisões de Prémio e Cobertura de Seguros
Alto risco se afetar significativamente pessoas singulares. Sistemas de IA que tomam ou influenciam fortemente decisões sobre:
- Cobertura de seguros (aceitação ou rejeição de candidatos)
- Níveis de prémio (modelos atuariais que fixam prémios individuais)
- Avaliação e liquidação de sinistros (tratamento automatizado de sinistros)
Os modelos de precificação de seguros automóvel, subscrição de seguros de saúde e modelos de seguros de propriedade para famílias estão diretamente no âmbito. O fator determinante é se o sistema de IA toma ou influencia significativamente uma decisão que afeta materialmente o acesso de uma pessoa singular a um serviço privado essencial.
Categoria 1: Identificação Biométrica
Alto risco. Sistemas de IA utilizados para:
- Identificação biométrica remota de clientes (verificação de vídeo KYC, autenticação contínua)
- Categorização biométrica onde influencia a classificação de risco ou o acesso ao serviço
A identificação biométrica remota em tempo real em espaços publicamente acessíveis para fins de aplicação da lei é proibida pelo Art.º 5. Os sistemas comerciais de verificação de identidade que utilizam reconhecimento facial para KYC estão sujeitos a requisitos de alto risco, mas não estão proibidos.
Categoria 6: LAB/KYC e Adjacente à Aplicação da Lei
Os sistemas de IA utilizados pelas instituições financeiras para apoiar a triagem LAB/KYC, filtragem de sanções ou monitorização de transações onde o resultado é comunicado ou utilizado pelas autoridades de aplicação da lei podem enquadrar-se na categoria 6 do Anexo III (aplicação da lei). Tal inclui:
- Relatórios de Atividades Suspeitas (RAS) gerados por IA transmitidos às UIF
- Sistemas automatizados de triagem de PEP (Pessoas Politicamente Expostas)
Os sistemas utilizados puramente para gestão interna de risco sem resultado de aplicação da lei são menos propensos a ser classificados como de alto risco ao abrigo da categoria 6, embora possam aplicar-se outras categorias.
O Que as Obrigações de IA de Alto Risco Significam para as Instituições Financeiras
Se um sistema de IA utilizado por uma instituição financeira é de alto risco ao abrigo do Anexo III, as obrigações diferem dependendo de a instituição ser um fornecedor (construiu o sistema) ou um utilizador final (adquiriu ou licenciou-o).
Se for o Fornecedor (Construiu o Sistema)
- Sistema de gestão de riscos (Art.º 9): Estabelecer e manter um processo documentado de gestão de riscos iterativo ao longo do ciclo de vida do sistema
- Governação de dados (Art.º 10): Os dados de treino, validação e teste devem estar sujeitos a práticas de governação que abranjam relevância, representatividade e avaliação de preconceito
- Documentação técnica (Anexo IV): Ficheiro técnico completo incluindo descrição do sistema, arquitetura, abordagem de treino, métricas de desempenho e plano de monitorização pós-colocação no mercado
- Transparência (Art.º 13): Instruções de utilização que permitam aos utilizadores finais compreender capacidades, limitações e requisitos de supervisão
- Supervisão humana (Art.º 14): Medidas de design que permitem supervisão e intervenção humana
- Exatidão, robustez, cibersegurança (Art.º 15): Níveis de desempenho demonstrados e resiliência
- Avaliação de conformidade: Auto-avaliação (Anexo VI) para a maioria dos sistemas do Anexo III, ou avaliação por organismo notificado para sistemas biométricos
- Marcação CE e declaração UE de conformidade
- Registo na base de dados de IA da UE
- Monitorização pós-colocação no mercado (Art.º 72): Sistema ativo para recolha de dados de desempenho no mundo real e comunicação de incidentes
Se for o Utilizador Final (Adquiriu/Licenciou o Sistema)
- Conformidade com instruções: Utilizar o sistema estritamente em conformidade com as instruções do fornecedor
- Supervisão humana: Atribuir pessoal qualificado para realizar supervisão com autoridade e recursos adequados
- Qualidade dos dados de entrada: Assegurar que os dados de entrada são relevantes e representativos para o contexto de implantação específico
- Retenção de registos: Ativar e reter registos automáticos pelo período exigido
- Comunicação de incidentes: Comunicar incidentes graves ao fornecedor e, em alguns casos, diretamente às autoridades
- Avaliação de impacto sobre os direitos fundamentais (Art.º 27): Obrigatória para organismos públicos; recomendada para utilizadores finais do sector privado em contextos sensíveis
Interação com o DORA
O Regulamento da Resiliência Operacional Digital (DORA) entrou em aplicação em janeiro de 2025 e impõe requisitos abrangentes de gestão de riscos de TIC às instituições financeiras — incluindo os sistemas de IA como componentes de TIC.
Pontos de interação principais:
Quadro de Gestão de Riscos de TIC
O DORA exige que as instituições financeiras mantenham um quadro de gestão de riscos de TIC que abranja identificação, proteção, deteção, resposta e recuperação. Os sistemas de IA são ferramentas de TIC sujeitas a este quadro. O Regulamento IA acrescenta requisitos específicos de IA por cima: testes de preconceito, documentação de transparência, design de supervisão humana e gestão do ciclo de vida.
Na prática: O modelo de pontuação de crédito de IA de um banco deve cumprir tanto a gestão de riscos de TIC do DORA (deteção de incidentes, planeamento de continuidade, gestão de alterações) como os requisitos de alto risco do Regulamento IA da UE (sistema de gestão de riscos, documentação técnica, monitorização pós-colocação no mercado).
Risco de Terceiros (Prestadores de Serviços de TIC Terceiros)
O DORA impõe requisitos detalhados para a gestão de prestadores de serviços de TIC terceiros — incluindo requisitos contratuais, direitos de auditoria e supervisão de prestadores críticos. Quando uma instituição financeira usa um sistema de IA de terceiros (por exemplo, um modelo de pontuação de crédito fornecido por um vendedor), os requisitos de gestão de risco de terceiros do DORA aplicam-se a esse vendedor.
As obrigações de utilizador final do Regulamento IA também se aplicam — exigindo que o fornecedor forneça instruções, documentação de conformidade e capacidade de registo. As instituições financeiras devem assegurar que os seus contratos de fornecedores de IA de terceiros satisfazem tanto os requisitos do prestador de TIC do DORA como os direitos de informação do utilizador final do Regulamento IA da UE.
Comunicação de Incidentes
O DORA tem o seu próprio quadro de comunicação de incidentes para incidentes significativos relacionados com TIC, comunicados a supervisores sectoriais (EBA, EIOPA, ESMA). O Regulamento IA exige que incidentes graves envolvendo sistemas de IA de alto risco sejam comunicados às autoridades nacionais de vigilância do mercado.
Estas são obrigações de comunicação separadas para autoridades diferentes. Um incidente grave envolvendo um sistema de IA de pontuação de crédito poderia desencadear tanto um relatório de incidente do DORA (ao EBA/supervisor financeiro nacional) como um relatório de incidente do Regulamento IA da UE (à autoridade de vigilância do mercado).
Supervisores Sectoriais e Execução do Regulamento IA
Para as instituições financeiras, os supervisores financeiros sectoriais — EBA (banca), EIOPA (seguros), ESMA (valores mobiliários e mercados) — têm um papel específico na implementação do Regulamento IA da UE, embora não sejam a principal autoridade de execução do Regulamento IA.
Ao abrigo do Regulamento IA, as instituições financeiras que são fornecedoras de sistemas de IA de alto risco devem registar na base de dados de IA da UE. No sector financeiro, a autoridade de supervisão financeira relevante pode ser designada como ou colaborar com a autoridade nacional de vigilância do mercado responsável pela supervisão do Regulamento IA desse sector.
As Autoridades de Supervisão Europeias (ASE) têm estado ativas em:
- Publicação de orientações sobre governação de IA em serviços financeiros (orientações do EBA sobre governação interna, AM/IA em risco de crédito)
- Contribuição para orientações de implementação do Regulamento IA da UE para o sector financeiro
- Coordenação com o Gabinete de IA da UE sobre supervisão de modelos GPAI no que respeita aos serviços financeiros
Prioridades Práticas de Conformidade para Instituições Financeiras
-
Inventariar todos os sistemas de IA em uso — classificar cada um face aos critérios do Anexo III. Dar prioridade a sistemas de solvabilidade, precificação de seguros e biométricos/KYC.
-
Determinar o estatuto de fornecedor vs. utilizador final para cada sistema — está a usar modelos fornecidos por vendedores ou a construir internamente?
-
Alinhar a governação de IA com o quadro de riscos de TIC do DORA — integrar as obrigações do Regulamento IA na estrutura de governação do DORA existente para evitar processos duplicados.
-
Rever os contratos de fornecedores de IA de terceiros — assegurar que os contratos fornecem: documentação de conformidade, instruções de utilização, acesso a registos, compromissos de notificação de incidentes, obrigações de atualização e direitos de auditoria.
-
Estabelecer mecanismos de supervisão humana — para casos de utilização de IA de alto risco, assegurar que o pessoal qualificado tem autoridade, ferramentas e tempo para rever significativamente os resultados de IA antes de serem tomadas decisões consequenciais.
-
Ligar à monitorização pós-colocação no mercado — alargar os processos existentes de gestão de risco de modelos (validação de modelos Basileia, gestão de alterações do DORA) para abranger os requisitos de monitorização pós-colocação no mercado do Art.º 72.
-
Preparar-se para a base de dados de IA da UE — se é fornecedor de sistemas de IA de alto risco, o registo é obrigatório. Se é utilizador final de um organismo público, o registo também pode ser exigido.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sim. Os sistemas de IA de avaliação da solvabilidade — utilizados para avaliar a solvabilidade de pessoas singulares ou para avaliar o risco de crédito — estão explicitamente listados no Anexo III, categoria 5(b) como de alto risco. Tal abrange a pontuação de crédito automatizada para empréstimos ao consumo, hipotecas, cartões de crédito e descobertos. Os sistemas utilizados exclusivamente para avaliação de crédito corporativo podem não estar no âmbito, mas os sistemas que envolvem a avaliação de pessoas singulares estão claramente abrangidos.
O DORA (Regulamento da Resiliência Operacional Digital) e o Regulamento IA da UE têm âmbitos sobrepostos mas distintos. O DORA abrange amplamente a gestão de riscos de TIC — incluindo sistemas de IA como ferramentas de TIC — com requisitos de comunicação de incidentes, testes de resiliência e gestão de risco de terceiros. O Regulamento IA acrescenta obrigações específicas de IA (testes de preconceito, transparência, supervisão humana, monitorização pós-colocação no mercado) para casos de utilização de IA de alto risco. Para as instituições financeiras, a conformidade requer abordar ambos os quadros — o DORA não isenta as instituições das obrigações do Regulamento IA, e o Regulamento IA não substitui os requisitos de risco de TIC do DORA.
Depende do caso de utilização. Os sistemas de IA utilizados para deteção de fraude em transações em tempo real — onde a IA sinaliza transações suspeitas para revisão humana ou as bloqueia automaticamente — não são automaticamente de alto risco ao abrigo do Anexo III. No entanto, se o sistema toma ou influencia fortemente decisões que afetam significativamente os indivíduos (por exemplo, bloqueio de conta, redução do limite de crédito, rejeição de sinistro de seguro), o caso de utilização pode enquadrar-se na categoria 5 do Anexo III (acesso a serviços essenciais). A certeza jurídica dependerá de orientações regulatórias e da implantação específica.
Os sistemas de IA de precificação e subscrição de seguros que tomam ou influenciam fortemente decisões sobre cobertura, níveis de prémio ou liquidação de sinistros para pessoas singulares enquadrar-se-ão provavelmente na categoria 5 do Anexo III (acesso a serviços privados essenciais). Tal inclui modelos de precificação de seguros automóvel, subscrição de seguros de saúde e modelos de seguros de propriedade para famílias. Os modelos de subscrição de seguros de vida que avaliam o risco de longevidade para indivíduos também podem estar abrangidos. Cada caso de utilização deve ser avaliado individualmente face aos critérios do Anexo III.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.