As entidades financeiras sujeitas ao DORA enfrentam obrigações simultâneas ao abrigo do Regulamento IA da UE. Esta ferramenta identifica onde os requisitos de TIC do DORA e as obrigações do Regulamento IA se sobrepõem para o seu sector e casos de utilização de IA: pontuação de crédito, deteção de fraude, negociação algorítmica, LAB.
O DORA (Regulamento da Resiliência Operacional Digital) aplica-se desde 17 de janeiro de 2025. O Regulamento IA da UE aplica-se a partir de várias datas entre 2025-2028. Bancos, seguradoras, empresas de investimento, instituições de pagamento e outras entidades financeiras devem cumprir ambos simultaneamente.
Os dois regulamentos partilham um terreno concetual significativo — ambos visam a gestão de riscos de TIC, dependências de terceiros e resiliência operacional — mas com âmbitos e obrigações diferentes.
| Caso de Utilização de IA | Obrigações do DORA | Obrigações do Regulamento IA da UE |
|---|---|---|
| Pontuação de crédito / decisões de crédito | Gestão de riscos de TIC (Art.º 5-10); risco de terceiros se fornecido por vendedor | Anexo III alto risco (Art.º 6); obrigações completas do Capítulo III; prazo dez. 2027 |
| Deteção de fraude | Classificação de incidentes de TIC (Art.º 17-23); gestão de PSTT terceiros | Anexo III alto risco (adjacente à aplicação da lei — verifique o âmbito); transparência Art.º 13 para utilizadores finais |
| Negociação algorítmica | Gestão de alterações de TIC (Art.º 14-16); risco operacional | Provavelmente risco mínimo ou apenas transparência; verifique se modelos GPAI estão subjacentes |
| LAB / monitorização de transações | Testes de resiliência de TIC (TLPT para entidades significativas) | Potencialmente Anexo III (nexo com aplicação da lei); análise jurídica necessária |
| Chatbots de atendimento ao cliente | Risco operacional de TIC | Transparência Art.º 50 — deve divulgar a natureza de IA aos utilizadores |
| Precificação de risco de seguros | Risco de terceiros TIC para fornecedores de modelos | Anexo III alto risco (serviços essenciais — avaliação de risco de seguros) |
Risco de terceiros TIC + obrigações do fornecedor ao abrigo do Regulamento IA: Os Art.º 28-44 do DORA exigem cláusulas contratuais com prestadores de serviços de TIC cobrindo direitos de auditoria, estratégias de saída e padrões de desempenho. Quando esse prestador de TIC é também um fornecedor ao abrigo do Regulamento IA, este último exige que o fornecedor faculte documentação técnica, instruções de utilização e apoio à monitorização pós-colocação no mercado. Um contrato de fornecedor bem redigido pode satisfazer ambos.
Comunicação de incidentes: O DORA obriga a comunicar incidentes significativos relacionados com TIC aos supervisores. O Regulamento IA exige a comunicação de incidentes graves envolvendo IA de alto risco às autoridades nacionais de vigilância do mercado. Para entidades financeiras, uma única falha de IA (por exemplo, uma paralisação de um modelo de pontuação de crédito que cause risco sistémico) pode desencadear simultaneamente ambas as cadeias de comunicação.
Testes de resiliência: Os Testes de Penetração com Base em Ameaças (TLPT) do DORA para entidades significativas sobrepõem-se aos requisitos de robustez e cibersegurança do Art.º 15 do Regulamento IA. Combinar ambos os regimes de testes reduz a duplicação.
Para uma análise detalhada da convergência regulatória, consulte Regulamento IA vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Sim. O DORA aplica-se a instituições de crédito, empresas de seguros, empresas de investimento, prestadores de serviços de pagamento e outras entidades financeiras — e está em vigor desde janeiro de 2025. Essas mesmas entidades também estão sujeitas ao Regulamento IA da UE para quaisquer sistemas de IA que desenvolvam ou implantem. Os dois regulamentos têm requisitos sobrepostos em matéria de gestão de riscos de TIC, comunicação de incidentes e gestão de prestadores de serviços terceiros.
O DORA exige que as entidades financeiras gerem os seus prestadores de serviços de TIC — incluindo fornecedores de IA — no âmbito de acordos contratuais com requisitos específicos (Art.º 28-44). O Regulamento IA exige independentemente que os utilizadores finais implementem medidas de governação de IA. Quando um fornecedor de IA é simultaneamente um terceiro de TIC ao abrigo do DORA e um fornecedor ao abrigo do Regulamento IA, os contratos devem satisfazer ambos os quadros regulatórios.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.