Obrigações do Regulamento UE sobre IA para bancos, instituições de crédito e empresas fintech. Pontuação de crédito com IA, sistemas AML, negociação algorítmica, sobreposição com DORA e orientações da EBA.
Por Que Razão o Setor Bancário Enfrenta uma Exposição Concentrada ao Regulamento UE sobre IA
O setor bancário e de serviços financeiros situa-se na interseção das obrigações mais rigorosas do Regulamento UE sobre IA e do ambiente regulatório mais complexo da UE. As instituições financeiras estão entre os maiores implementadores de IA na Europa — em subscrição de crédito, deteção de fraude, triagem AML/CFT, diligência devida do cliente, negociação algorítmica e gestão de patrimónios. O Regulamento UE sobre IA visa diretamente os casos de utilização mais consequentes através do Anexo III, classificando várias aplicações de IA financeira como de alto risco por definição.
O setor bancário opera também sob uma camada regulatória pré-existente densa: DORA, MiFID II, CRD IV/CRR, Diretivas AML, RGPD e BCBS 239. O Regulamento UE sobre IA não substitui estes enquadramentos — acrescenta-se a eles. Para uma instituição de crédito, a implementação de um modelo de pontuação de crédito baseado em IA desencadeia obrigações simultâneas ao abrigo do Regulamento IA (Anexo III, Art. 9–16), DORA (gestão de risco das TIC) e das orientações da EBA sobre gestão do risco de modelos.
Casos de Utilização de IA de Alto Risco no Setor Bancário ao Abrigo do Anexo III
A categoria 5(b) do Anexo III lista explicitamente a IA utilizada para a avaliação da solvabilidade ou pontuação de crédito de pessoas singulares, e a IA utilizada para avaliar o risco de crédito de pessoas coletivas onde a IA determina ou influencia substancialmente o resultado. Isto abrange uma vasta gama de implementações de IA financeira.
Modelos de pontuação de crédito e subscrição — sistemas automatizados que determinam a elegibilidade para empréstimos, limites de crédito ou taxas de juro para clientes particulares e PME — são IA de alto risco ao abrigo do Art. 6(2) conjugado com o Anexo III. Os bancos que atuam como fornecedores destes sistemas devem concluir avaliações de conformidade, manter documentação técnica ao abrigo do Art. 11, implementar sistemas de gestão de risco ao abrigo do Art. 9, assegurar mecanismos de supervisão humana ao abrigo do Art. 14, e registar o sistema na base de dados do Regulamento UE sobre IA (Art. 71) antes da implementação.
Sistemas AML e de deteção de fraude apresentam um quadro mais matizado. Os sistemas que aplicam triagem de sanções, monitorização de transações ou análise comportamental para sinalizar atividade suspeita afetam geralmente as instituições financeiras em vez de determinar diretamente resultados para indivíduos. Quando a saída da IA é a base principal para uma ação adversa contra um cliente (congelamento de conta, recusa de serviço), a classificação de alto risco pode ser acionada ao abrigo da cat. 5(b) ou cat. 6 do Anexo III (aplicação da lei), dependendo do papel da autoridade nacional. Os bancos devem realizar uma análise de classificação cuidadosa.
Ferramentas baseadas em GPAI — grandes modelos de linguagem utilizados para atendimento ao cliente, processamento de documentos ou análise de investimentos — estão sujeitas aos requisitos de transparência do Art. 50 (divulgação de que os utilizadores interagem com IA) e, quando o fornecedor do modelo apresenta risco sistémico, às obrigações do Art. 55.
Obrigações do Fornecedor vs. do Implementador para os Bancos
Os bancos podem atuar como fornecedores (construindo os seus próprios modelos de IA), implementadores (utilizando sistemas de IA de terceiros), ou ambos. A distinção determina o perfil de obrigações:
| Função | Fonte da obrigação | Requisitos principais |
|---|---|---|
| Fornecedor | Art. 9–17 | Avaliação de conformidade, documentação técnica, SGQ, registo |
| Implementador | Art. 26 | Monitorizar o sistema, assegurar supervisão humana, manter registos, informar utilizadores |
| Ambos | Art. 9–17 + Art. 26 | Obrigações completas do fornecedor + deveres de monitorização do implementador |
Os bancos que adquirem IA de pontuação de crédito a um fornecedor fintech atuam como implementadores ao abrigo do Art. 26. Devem verificar que o fornecedor concluiu a avaliação de conformidade, integrar revisão humana nos processos de decisão adversa, manter registos de utilização durante 10 anos (Art. 26(6)), e assegurar que as decisões de IA são explicadas aos indivíduos afetados ao abrigo do Art. 22 do RGPD e do Art. 13 do Regulamento UE sobre IA.
Sobreposição de Regulamentação Setorial: DORA, MiFID II e Solvência II
DORA (Regulamento 2022/2554) aplica-se a bancos, empresas de investimento, companhias de seguros e fornecedores terceiros de TIC. Especificamente para a IA, DORA exige:
- Sistemas de IA tratados como sistemas TIC sujeitos a enquadramentos de gestão de risco (Art. 6 DORA)
- Classificação e reporte de incidentes relacionados com TIC — as falhas de IA podem constituir incidentes TIC graves
- Testes de resiliência de sistemas TIC críticos — modelos de IA incluídos quando materiais para as operações
- Gestão de risco de terceiros abrangendo contratos de fornecedores de IA, estratégias de saída e direitos de auditoria
MiFID II (Diretiva dos Mercados de Instrumentos Financeiros) aplica-se à negociação algorítmica e consultoria de investimento. As recomendações de investimento geradas por IA acionam requisitos de avaliação de adequação; os sistemas de negociação algorítmica exigem controlos pré-negociação, interruptores de emergência e notificação regulatória.
Orientações da EBA sobre Gestão de Risco das TIC e Segurança (EBA/GL/2019/04, atualizado em 2022) impõem governação do risco tecnológico abrangendo modelos de IA, requisitos de continuidade operacional e independência na validação de modelos. Estas alinham-se substancialmente com os requisitos de gestão de risco do Art. 9 do Regulamento UE sobre IA.
Autoridades de Fiscalização
A fiscalização do Regulamento UE sobre IA para a IA bancária opera através de uma estrutura de autoridade de duas camadas:
As Autoridades Nacionais Competentes (ANC) designadas por cada Estado-Membro ao abrigo do Art. 70 são os principais organismos de fiscalização do Regulamento IA. Podem realizar vigilância de mercado, solicitar documentação técnica e impor coimas (até 30 M€ ou 6% do volume de negócios anual global ao abrigo do Art. 99).
A Autoridade Bancária Europeia (EBA) coordena a supervisão setorial da IA em toda a união bancária, fornece normas técnicas sobre risco das TIC e emite orientações que moldam as expectativas de supervisão nacionais. A EBA participa igualmente no Comité Europeu de IA estabelecido ao abrigo do Art. 65.
O BCE e os supervisores prudenciais nacionais podem solicitar documentação sobre modelos de IA no âmbito das avaliações SREP (Processo de Revisão e Avaliação Prudencial) ao abrigo da CRD IV, onde a IA impulsiona decisões materiais de crédito ou risco operacional.
Roteiro de Conformidade para os Bancos
Imediato (agora → agosto de 2026): Concluir a verificação de conformidade com as proibições — rever todos os sistemas de IA relativamente a práticas proibidas ao abrigo do Art. 5, incluindo pontuação social e identificação biométrica em tempo real em espaços públicos. Estas proibições aplicam-se imediatamente para novos contratos.
T3 2026 — Auditoria de classificação de alto risco: Mapear todos os sistemas de IA implementados e em desenvolvimento face ao Anexo III, especificamente as categorias 5(b) e 5(c). Documentar a fundamentação da classificação. Envolver jurídico e conformidade para avaliar a sobreposição com DORA.
T4 2026 — Obrigações do fornecedor para IA desenvolvida internamente: Para modelos de pontuação de crédito e subscrição construídos internamente, iniciar procedimentos de avaliação de conformidade, desenvolver documentação técnica nos termos do Anexo IV e implementar SGQ ao abrigo do Art. 17.
2027 — Obrigações do implementador para IA de terceiros: Auditar todos os contratos de fornecedores de IA quanto à conformidade com o Regulamento UE sobre IA. Exigir que os fornecedores apresentem declarações de conformidade e números de registo. Atualizar os acordos de tratamento de dados para refletir as obrigações de registo do Art. 26.
Agosto de 2027 — Obrigações GPAI em vigor: Assegurar que todos os LLM e modelos de base de terceiros utilizados em aplicações bancárias cumprem os Art. 51–55. Verificar se os fornecedores publicaram documentação de transparência ao abrigo do Art. 53.
Dezembro de 2027 — Prazo para IA de alto risco: Conformidade total exigida para todos os sistemas de IA de alto risco do Anexo III. Assegurar o registo na base de dados do Regulamento UE sobre IA, mecanismos operacionais de supervisão humana e planos de monitorização pós-comercialização ao abrigo do Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Os bancos enfrentam obrigações ao abrigo do Regulamento UE sobre IA principalmente através das categorias 5(b) e 5(c) do Anexo III: IA utilizada na avaliação da solvabilidade e pontuação de crédito, e IA utilizada na subscrição de seguros de vida e saúde. Estes são classificados como sistemas de IA de alto risco que exigem avaliações de conformidade, documentação técnica, mecanismos de supervisão humana e registo na base de dados do Regulamento UE sobre IA. Adicionalmente, os bancos que implementam IA para triagem antilavagem de dinheiro (AML), deteção de fraude ou diligência devida do cliente podem ser abrangidos pelo Anexo III, dependendo da função do sistema e das decisões que influencia.
DORA (Digital Operational Resilience Act, Regulamento 2022/2554) e o Regulamento UE sobre IA criam obrigações sobrepostas mas distintas. DORA exige que as entidades financeiras gerem o risco das TIC, realizem testes de resiliência e mantenham capacidades de reporte de incidentes — isto aplica-se aos sistemas de IA enquanto ferramentas TIC. O Regulamento UE sobre IA acrescenta requisitos de classificação de risco, avaliação de conformidade, transparência e supervisão humana especificamente para sistemas de IA. Uma instituição de crédito que opere um sistema de pontuação de crédito baseado em IA deve satisfazer simultaneamente o enquadramento de gestão de risco das TIC do DORA e os requisitos de IA de alto risco do Regulamento UE sobre IA. As orientações da EBA sobre gestão de risco de TIC e segurança aplicam-se em paralelo.
Os sistemas de negociação algorítmica não estão diretamente listados no Anexo III, pelo que não constituem automaticamente IA de alto risco ao abrigo do Regulamento UE sobre IA. Contudo, se um algoritmo de negociação for utilizado como componente de uma avaliação de solvabilidade ou influenciar o acesso a serviços financeiros de forma que afete indivíduos, pode cair no âmbito do Anexo III. Os requisitos do MiFID II para negociação algorítmica — incluindo interruptores de emergência, testes de sistemas e trilhos de auditoria — permanecem totalmente aplicáveis. Os requisitos de transparência do Art. 50 do Regulamento UE sobre IA aplicam-se à IA que interage com pessoas singulares, e as obrigações relativas a modelos GPAI ao abrigo do Art. 51 aplicam-se a grandes modelos de linguagem utilizados em plataformas de negociação ou análise.
A Autoridade Bancária Europeia (EBA) publicou orientações sobre governação interna (EBA/GL/2021/05) e gestão de risco das TIC que informam diretamente as expectativas de governação da IA para os bancos. Os principais requisitos incluem responsabilidade a nível do conselho de administração pela estratégia de IA, validação independente dos modelos de IA utilizados no risco de crédito, enquadramentos de risco operacional que abranjam falhas de IA, e requisitos de explicabilidade para sistemas de IA que afetem decisões de crédito. As consultas da EBA sobre aprendizagem automática para modelos IRB estabelecem padrões quantitativos para validação de modelos, qualidade de dados e monitorização de desempenho que se alinham estreitamente com os requisitos de gestão de risco do Art. 9 do Regulamento UE sobre IA.
Sim, em princípio — o Regulamento UE sobre IA aplica-se independentemente da dimensão da empresa. Contudo, o Art. 9(5) exige que os sistemas de gestão de risco sejam proporcionais à dimensão e natureza do fornecedor ou implementador. As disposições para PME e startups ao abrigo dos Art. 55 e Art. 57 a Art. 63 proporcionam acesso a espaços regulatórios experimentais operados pelas autoridades nacionais competentes, reduzindo as barreiras aos testes de conformidade. O Hub de Inovação da EBA e o Fórum Europeu para Facilitadores de Inovação (EFIF) prestam apoio adicional às empresas fintech que navegam na regulamentação da IA.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.