A transformação digital tem acelerado a adoção de ferramentas de Inteligência Artificial (IA) nas empresas, oferecendo ganhos significativos em eficiência, automação, análise preditiva e tomada de decisão informada.
No entanto, a incorporação de sistemas de IA também introduz novos riscos. Para além das questões éticas e legais, coloca-se o desafio do rigor e da reprodutibilidade dos resultados, uma vez que a IA gera respostas probabilísticas e não determinísticas. Pequenas variações no prompt (pergunta/enunciado) ou no “estado interno” do modelo podem originar resultados diferentes. Acresce ainda o fenómeno das chamadas “alucinações”, embora o aperfeiçoamento das técnicas de treino e o maior controlo sobre os dados utilizados reduzam essas variabilidades.
Por estas razões, as ferramentas de IA são atualmente utilizadas sobretudo como “co-pilotos” de apoio à decisão humana e não como “pilotos autónomos”, especialmente em serviços de alto risco.
A gestão de risco torna-se, assim, um elemento central para garantir que a IA seja implementada de forma responsável e sustentável.
Com a entrada em vigor do AI Act da União Europeia em 2024 (Regulamento (UE) 2024/1689), a “governancia” deste risco torna-se ainda mais relevante.
O AI Act, considerado o primeiro quadro regulatório abrangente para a IA no mundo, introduz uma abordagem baseada no risco, classificando os sistemas em quatro categorias: risco inaceitável, alto risco, risco limitado e risco mínimo.
Os sistemas de risco inaceitável,
como tecnologias de manipulação cognitiva, vigilância biométrica massiva ou sistemas sociais de pontuação, são totalmente proibidos na UE. Para as empresas, isto implica a necessidade de avaliar antecipadamente qualquer solução adquirida a fornecedores externos, garantindo que estas não incorporam funcionalidades que violem estas proibições.
Os sistemas de alto risco
representam a categoria mais relevante para o ambiente empresarial, abrangendo áreas como recrutamento, avaliação de crédito, gestão de infraestruturas críticas, dispositivos médicos ou sistemas utilizados em processos legais e administrativos. Empresas que utilizem IA de alto risco devem implementar medidas rigorosas de gestão de risco, que incluem: documentação técnica completa, auditorias periódicas, sistemas de monitorização contínua, avaliação de qualidade dos dados e garantias de robustez e cibersegurança. Além disso, será obrigatória a criação de mecanismos que permitam uma supervisão humana eficaz, mitigando decisões automáticas inadequadas ou discriminatórias.
Os sistemas de risco limitado,
como chatbots ou sistemas de recomendação, exigem transparência: o utilizador deve ser informado claramente de que está a interagir com uma IA. Já os sistemas considerados de risco mínimo podem ser utilizados livremente, embora continue a ser recomendada uma análise ética e operacional.
Check-list operacional para preparação empresarial
(Para empresas que desenvolvem, utilizam ou distribuem sistemas de IA)
- Inventário de sistemas IA
- Classificação de risco
- Governança e responsabilidades
- Documentação técnica e rastreabilidade
- Gestão de dados, robustez e segurança/registo e mitigação de falhas registos detalhados dos algoritmos utilizados, das fontes de dados e dos procedimentos de validação.
- Transparência e interação com utilizadores
- Avaliação de fornecedores e cadeia de fornecimento
- Monitorização e auditoria contínua
- Preparação para sanções e conformidade legal. Tenha presente que não conformidade acarreta sanções elevadas (ex.: até 7 % do volume de negócios global para violações graves).
- Formação e sensibilização interna
Entrada em vigor e prazos
O AI Act entrou formalmente em vigor a 1 de Agosto de 2024. Contudo, as obrigações concretas são aplicadas de forma faseada, por exemplo:
- Em 2 fevereiro 2025, algumas disposições iniciais como proibições de certos usos inaceitáveis passaram a aplicar
- Em 2 agosto 2025, outra vaga de obrigações, nomeadamente relativas a modelos de IA de carácter geral
- A aplicação completa, incluindo as obrigações para sistemas de “alto risco”, está prevista até 2 de agosto de 2026; contudo, por pressões do lobby tecnológico e para permitir maior tempo de adaptação, foi anunciada a 19 de novembro ultimo, uma proposta de pacote regulatório apelidado de “Digital Omnibus” que inclui alterações às regras digitais da UE, entre elas um adiamento na aplicação de certas obrigações do AI Act para sistemas de “alto risco: várias das obrigações previstas para agosto 2026 poderão se adiadas para 2027, nomeadamente para dezembro. Veremos se o omnibus será aprovado, mas está a gerar bastante controvérsia pela desregulação que tem inerente em vários capítulos, nomeadamente em matéria de proteção de dados.
Como estão as seguradoras a planear enquadrar o risco de IA nos seguros empresariais
O risco de IA tem muito paralelo com o risco cibernético ao nível dos impactos:
risco tecnológico / risco operacional /risco reputacional / risco regulatório.
As seguradoras começam a tratar a IA como um novo risco transversal, prevendo-se que, tal como é a tendência para o risco cibernético, o risco IA seja integrando nos seguintes seguros:
- de responsabilidade profissional (erro técnico causado por IA),
- responsabilidade de produto (falhas de modelos como “defeitos”),
- cibernético (ataques e manipulação de modelos),
- multiriscos (impacto operacional da IA).
Para aceitação e cotação dos riscos, os Seguradores exigirão:
✔ conformidade com o AI Act
✔ auditorias internas e externas aos modelos
✔ políticas internas, processos de controlo e de gestão de falhas de IA
✔ supervisão humana
✔ logs e rastreabilidade
✔ Grau de dependência operacional da IA em funções críticas.
✔ Qualidade dos fornecedores e da cadeia de software, nomeadamente relatórios de conformidade e cláusulas contratuais de responsabilidade nos fornecedores de IA.
Conclusão para as empresas
Enquanto a autoridade ou autoridades nacionais com plenos poderes ainda não estão formalmente e claramente identificadas em Portugal, as empresas que operam IA em território português devem assumir que múltiplas entidades sectoriais poderão exercer funções de fiscalização e supervisão. É prudente manter vigilância sobre os desenvolvimentos normativos nacionais e garantir que os sistemas de IA utilizados ou fornecidos respeitam os requisitos do AI Act, independentemente da autoridade concreta que venha a atuar.
As seguradoras já começaram a adaptar-se ao risco relacionado com IA e, nos próximos anos, espera-se uma integração mais estruturada da componente de IA nos seguros de responsabilidade profissional, produto e empresarial, exigindo um conjunto alargado de requisitos de controlo do risco IA e conformidade para aceitação do risco.
A Amplitude manter-se-á em acompanhamento atento do evoluir desta temática, de modo a – o mais rápido quanto possível – apresentar soluções de transferência do risco inerente à crescente utilização de ferramentas com IA pelos seus Clientes
Ficamos ao dispor!
