A Plataforma de Decisão Agentic
Combinando a rapidez da IA com a supervisão humana para decisões mais seguras e inteligentes.
Soluções
Descubra como a Taktile pode ajudá-lo a aprovar clientes com segurança, detectar mais fraudes e manter a conformidade.
Recursos
Saiba mais sobre nossos clientes, descubra insights e fique por dentro dos webinars mais recentes.
Eventos
Descubra os próximos webinars, acesse análises sob demanda e venha se encontrar conosco nos próximos eventos.

IA, AML 8 minutos de leitura

A Lei da IA da UE e a prevenção da lavagem de dinheiro: como preparar seu programa para a próxima onda de fiscalização da IA

Dustin Eaton

Por Dustin Eaton, Diretor de Combate à Fraude e AML da Taktile

Se você trabalha na área de combate à lavagem de dinheiro, já conhece essa sensação: a inovação surge em ondas, mas a regulamentação avança lentamente, como a maré. Nos últimos anos, a IA passou de algo “interessante” para algo “integrado” nas equipes de combate a crimes financeiros, especialmente em áreas como monitoramento de transações, apoio a investigações e triagem de sanções.

Ao mesmo tempo, a UE decidiu que não quer mais depender de orientações voluntárias e de abordagens nacionais fragmentadas.

É isso que faz da Lei da IA da UE, o Regulamento (UE) 2024/1689, um marco histórico. É amplamente considerada como o primeiro quadro regulatório abrangente e horizontal de IA do mundo e estabelece uma base de referência que influenciará a forma como reguladores e equipes de risco em todo o mundo abordam a governança da IA.

O primeiro aspecto que muitas instituições deixam passar é o âmbito de aplicação. Na prática, a Lei da IA não se limita apenas à UE. Assim como o RGPD, seu impacto se estende além das fronteiras da UE: se o seu sistema de IA for colocado no mercado da UE, ou se seus resultados afetem pessoas na UE, as obrigações podem se aplicar a você.

Para bancos globais, fintechs e empresas de pagamentos, isso é importante porque as operações de combate à lavagem de dinheiro raramente se limitam a uma única jurisdição. As bases de clientes são internacionais, as estruturas de fornecedores são transfronteiriças e o desenvolvimento de modelos costuma ser centralizado.

Em resumo: se você estiver utilizando IA para prevenir ou detectar crimes financeiros em um contexto relacionado à UE, a Lei de IA passa a fazer parte do seu panorama de riscos de combate à lavagem de dinheiro, juntamente com as regras prudenciais, as expectativas de conduta, a legislação de proteção de dados e as obrigações de longa data dos programas de combate à lavagem de dinheiro.

O quadro baseado no risco da Lei de IA e o papel da prevenção da lavagem de dinheiro

A Lei da IA baseia-se numa classificação baseada no risco. Embora os detalhes e os casos-limite continuem a evoluir por meio de orientações, a lógica central permanece estável: quanto mais um sistema de IA puder influenciar os direitos ou a segurança das pessoas, mais rigorosas serão as obrigações.

Na maioria dos resumos, você verá quatro níveis sendo discutidos:

  • Risco inaceitável: Casos de uso proibidos.
  • Alto risco: Permitido, mas apenas com governança e controles rigorosos.
  • Risco limitado: Obrigações de transparência para determinadas interações.
  • Risco mínimo: Praticamente não regulamentado pela Lei de IA.

Então, qual é o papel da AML nisso?

Eis a resposta prática: muitos casos de uso de AML parecerão “próximos do alto risco”, mesmo quando não forem explicitamente classificados como de alto risco.

Na prática, embora a Lei de IA isente explicitamente os sistemas de detecção de fraudes da lista de alto risco do Anexo III, a linha divisória se torna rapidamente difusa. Quando os resultados do monitoramento de transações para combate à lavagem de dinheiro ou da pontuação de risco de clientes levam a decisões posteriores, como encerramento de contas, retenção de pagamentos ou recusa de serviços, o impacto funcional passa a se assemelhar aos casos de uso de alto risco que a lei efetivamente abrange.

Instituições prudentes podem tratar esses sistemas como se se aplicasse uma governança de alto risco, mesmo quando a classificação formal for discutível. Os sistemas de combate à lavagem de dinheiro influenciam o acesso a serviços (abertura e encerramento de contas, retenção de pagamentos), levam a decisões adversas (encerramento de contas, congelamentos, investigações) e podem afetar significativamente a vida das pessoas. Esse é o tipo de impacto em cadeia com o qual os reguladores podem se preocupar.

Ao mesmo tempo, o Anexo III destaca explicitamente categorias de alto risco relacionadas aos serviços financeiros, como a avaliação de solvência e pontuação de crédito (e certas avaliações de risco de seguros). O desafio de conformidade para as equipes de combate à lavagem de dinheiro é que as formas modernas de crime financeiro combinam cada vez mais esses domínios:

  • A “pontuação de risco do cliente” pode influenciar as decisões de integração de clientes de maneira semelhante à pontuação de crédito ou de elegibilidade.
  • Os modelos de detecção de fraudes e de combate à lavagem de dinheiro costumam compartilhar fluxos de dados e características.
  • As ferramentas de gestão de casos podem influenciar as decisões dos investigadores, a definição de prioridades e os resultados narrativos.

É por isso que as orientações para o setor de serviços financeiros tendem a enfatizar que as empresas não devem se limitar a analisar os rótulos, mas também examinar como os resultados da IA são utilizados nos processos de negócios.

Prestador de serviços x implementador: Obrigações de conformidade para instituições financeiras

Uma das distinções mais importantes do ponto de vista operacional na Lei de IA é a diferença entre atuar como prestador de serviços e como implementador:

  • Um fornecedor desenvolve um sistema de IA (ou manda desenvolvê-lo) e o coloca no mercado ou o coloca em serviço.
  • Uma empresa de implantação utiliza um sistema de IA em suas operações.

Essa distinção é importante porque altera o que sua instituição deve ser capaz de comprovar: a maturidade do seu sistema de gestão de riscos, a integridade da documentação técnica, os requisitos de avaliação da conformidade e a forma como você monitora o sistema após a implantação.

Em termos práticos de AML, existem dois padrões comuns:

1. Modelos e ferramentas próprias

Muitas instituições de maior porte desenvolvem modelos personalizados de monitoramento de transações, identificação de entidades e priorização de alertas. Ao desenvolver e implementar esses sistemas internamente, muitas vezes você acaba assumindo responsabilidades tanto do tipo “provedor” quanto do tipo “implementador”. 

Isso significa que seu programa de governança de IA precisa se assemelhar mais a um programa de qualidade de produto e conformidade, e não apenas a uma versão simplificada da “gestão de riscos de modelos”.

2. Sistemas de IA de fornecedores

Ao adquirir ferramentas de AML, você pode pensar: “O fornecedor é que cuida da conformidade”. No entanto, os responsáveis pela implantação ainda têm obrigações significativas: é preciso utilizar o sistema conforme previsto, garantir que a supervisão humana seja efetiva e manter uma governança robusta o suficiente para detectar desvios, preconceitos ou falhas nas operações reais.

É também nesse ponto que as equipes de compras e conformidade precisam se alinhar. A due diligence de fornecedores não se resume mais apenas a questionários de segurança e relatórios SOC. Cada vez mais, ela precisa abranger aspectos como: disponibilidade de documentação, artefatos de explicabilidade, trilhas de auditoria e como o monitoramento pós-comercialização é executado na prática.

O principal desafio para a prevenção da lavagem de dinheiro (AML) baseada em IA será manter a transparência e a explicabilidade

Se há um tema que os líderes da área de AML costumam subestimar, é a discrepância entre o desempenho do modelo e a sua defensabilidade regulatória.

No caso de sistemas de IA de alto risco, a transparência e as “informações aos implementadores” são temas centrais na estrutura da Lei de IA. E mesmo fora da classificação estrita de alto risco, os reguladores financeiros esperam cada vez mais que, quando a IA influencia decisões críticas, a instituição possa explicar:

  • quais dados influenciaram o resultado,
  • quais recursos eram importantes,
  • quais controles impediram resultados indesejáveis, e
  • o que se esperava que um revisor humano fizesse.

As equipes de AML sentem essa tensão de forma aguda, pois algumas das abordagens de detecção mais eficazes também podem ser as menos interpretáveis (por exemplo, arquiteturas de aprendizado profundo). Mas a questão certa não é “caixa preta ou caixa branca”. A questão certa é: qual nível de interpretabilidade é necessário para o contexto da decisão, as partes afetadas e as expectativas do órgão regulador?

Pela minha experiência, a maior lacuna não é técnica; é o fato de as equipes presumirem que a explicabilidade é uma propriedade do modelo, quando na verdade é uma propriedade do processo. Já vi equipes passarem meses desenvolvendo uma camada de explicabilidade para um modelo, apenas para perceberem que os investigadores nunca analisaram os códigos de justificativa. É possível ter um modelo perfeitamente interpretável e, mesmo assim, ser reprovado em uma auditoria regulatória se não for possível demonstrar como essa interpretabilidade foi efetivamente utilizada nas decisões dos casos.

Na prática, as instituições costumam colmatar essa lacuna combinando as seguintes medidas:

  • Técnicas de IA explicável que fornecem códigos de raciocínio compreensíveis para humanos e análises de sensibilidade,
  • Documentação e testes rigorosos (incluindo testes de viés e robustez),
  • Registros de auditoria por caso que mostram como um alerta foi gerado e como foi resolvido,
  • Um design que envolve o ser humano de forma genuína, e não apenas superficial.

A literatura sobre combate à lavagem de dinheiro há muito reconhece que a IA pode melhorar os resultados em matéria de conformidade, mas apenas se as instituições mantiverem estruturas de governança e prestação de contas adequadas ao risco.

A interação entre a Lei de IA, o RGPD e o pacote de medidas da UE contra a lavagem de dinheiro

A governança da IA não existe isoladamente. No que diz respeito aos programas de combate à lavagem de dinheiro, a Lei de IA se relaciona mais diretamente com:

  • RGPD, especialmente no que diz respeito às bases legais para o tratamento, à minimização e às salvaguardas quando os dados pessoais são utilizados em atividades de treinamento e monitoramento.
  • O quadro em evolução da UE em matéria de combate à lavagem de dinheiro, incluindo a convergência em matéria de supervisão e novas estruturas institucionais.
  • Expectativas de resiliência operacional, incluindo uma abordagem do tipo DORA em relação aos riscos de TIC e à resposta a incidentes.

Uma abordagem útil é considerar que esses regimes não são necessariamente contraditórios, mas sim cumulativos. O desafio está na integração: alinhar a governança, a documentação, os controles e a prestação de contas para que seja possível atender a múltiplas expectativas regulatórias por meio de um único programa coerente, em vez de vários “projetos” de conformidade que se sobrepõem. A EBA enfatizou esse desafio de integração para o setor bancário e de pagamentos e também destaca que se espera orientação adicional sobre a classificação de alto risco e sua aplicação prática.

Casos práticos de uso da IA na prevenção da lavagem de dinheiro e suas implicações regulatórias

Vamos concretizar isso. Abaixo estão alguns casos de uso comuns da AML e o que a “preparação para a Lei de IA” normalmente significa na prática.

1) Monitoramento de transações (redução de falsos positivos sem comprometer a cobertura)

A IA pode melhorar drasticamente a qualidade do sinal ao aprender padrões que as regras nunca conseguem captar. Mas isso requer:

  • objetivos e tolerâncias ao risco documentados,
  • testes rigorosos (incluindo monitoramento de desvio),
  • fluxos de trabalho de revisão humana bem definidos, e
  • rastreabilidade desde o alerta → recursos → resultado.

O FATF enfatizou que as novas tecnologias podem melhorar a eficácia, mas as instituições devem gerenciar os riscos de implementação e manter uma governança sólida.

2) Pontuação de risco do cliente

A pontuação de risco do cliente costuma funcionar como um “direcionador” inicial que molda as decisões posteriores (gatilhos de EDD, frequência de revisão, saídas). Isso significa que o sistema de pontuação precisa:

  • governança de dados de entrada justificáveis,
  • testes de viés, quando for o caso,
  • interpretabilidade adequada à decisão, e
  • uma gestão de mudanças eficaz.

3) Elaboração do relatório narrativo do SAR (ou STR)

Os sistemas generativos podem acelerar a elaboração e a padronização, mas o foco da governança muda:

  • evitar alucinações e alegações sem fundamento,
  • garantir que as citações sejam rastreáveis até as provas do processo em questão,
  • e exigir a validação manual antes do envio.

4) Verificação de sanções e identificação de entidades

Esta é uma área em que a IA pode reduzir significativamente a carga operacional. Na prática, os responsáveis pela implementação precisarão demonstrar:

  • controles de qualidade na lógica de correspondência,
  • regras claras de escalonamento,
  • e a documentação que comprove a rastreabilidade.

Em todos esses casos, as boas práticas do setor costumam convergir para os mesmos princípios básicos: governança multifuncional, diligência em relação aos fornecedores e monitoramento e documentação rigorosos.

Divergências regulatórias internacionais: as abordagens da UE, dos EUA e da FATF

Um dos principais desafios para as instituições multinacionais é que a governança da IA está se fragmentando por jurisdição, mesmo que os riscos de crimes financeiros sejam globais.

  • A Lei da IA da UE é abrangente e prescritiva. Seu objetivo é padronizar as obrigações em todos os setores por meio de uma taxonomia comum e de requisitos explícitos.
  • A abordagem dos EUA é mais orientada por setores e órgãos reguladores. As expectativas geralmente surgem por meio de orientações de supervisão, medidas de fiscalização e princípios de gestão de risco de modelos, em vez de uma única lei horizontal sobre IA.
  • A FATF mantém uma abordagem neutra em relação à tecnologia e baseada no risco. Ela incentiva as instituições a gerenciar os riscos sem impor abordagens técnicas específicas.

Para as instituições globais, isso representa um verdadeiro fardo operacional: políticas, documentação e programas de monitoramento devem atender a vários “tipos” de regulamentação ao mesmo tempo. As empresas que encararem isso como um problema de estrutura de governança (em vez de um conjunto de listas de verificação de conformidade separadas) estarão em melhor posição.

O caminho a seguir: cronograma de implementação e preparação para a conformidade

O cronograma gradual da Lei de IA é mais um motivo pelo qual as equipes de combate à lavagem de dinheiro devem começar a agir agora. As práticas de IA proibidas estão em vigor desde fevereiro de 2025, as obrigações relativas à IA Geral (GPAI) desde agosto de 2025, e a maioria das obrigações de alto risco do Anexo III está prevista para agosto de 2026, embora a proposta do Omnibus Digital da Comissão Europeia possa adiar esse prazo até dezembro de 2027, vinculando-o à disponibilidade de normas harmonizadas e ferramentas de apoio. Mesmo quando obrigações específicas forem sendo implementadas gradualmente ao longo do tempo, as capacidades necessárias (por exemplo, inventário, documentação, supervisão, monitoramento) demoram mais tempo para serem desenvolvidas do que a maioria das instituições espera.

Um programa prático de preparação para equipes de combate à lavagem de dinheiro e à fraude geralmente inclui:

1. Inventário e classificação de IA

Faça um inventário real dos sistemas de IA na pilha de AML. Inclua ferramentas de fornecedores, modelos internos, sistemas de apoio à decisão e copilotos de IA gerativa.

2. Governança e responsabilidade

Defina responsáveis (negócios, conformidade, risco e tecnologia). Garanta que as alterações nos modelos e sistemas sejam controladas.

3. Documentação e pacote de evidências

Crie um pacote repetível e “pronto para auditoria”: objetivos, linhagem de dados, resultados de testes, plano de monitoramento e procedimentos de supervisão humana.

4. Testes além da precisão

Adicione testes de viés, robustez e modos de falha. Em AML, o “custo do erro” não é apenas uma métrica. É exposição regulatória.

5. Atualização da due diligence de fornecedores

Trate a governança de IA como um requisito de fornecedor, não como algo opcional.

A conformidade é hoje uma vantagem competitiva na área de combate à lavagem de dinheiro

É tentador encarar a Lei da IA da UE como mais um “fardo” para equipes de conformidade já sobrecarregadas. Eu discordo dessa visão: para instituições que levam a sério o uso da IA na prevenção da lavagem de dinheiro, a lei é um incentivo para realizar o trabalho que, de qualquer forma, já deveria ter sido feito.

Quando bem implementada, uma IA em conformidade e explicável pode se tornar um diferencial competitivo:

As instituições que sairão vencedoras não são aquelas que mais utilizam IA. São aquelas que conseguem provar isso.

As instituições que sairão vencedoras não são aquelas que “mais utilizam a IA”. São aquelas que conseguem demonstrar por que a IA é confiável, como ela é controlada e em que aspectos os seres humanos continuam sendo responsáveis.

Pronto para fortalecer seus programas de combate à lavagem de dinheiro?

Marque uma reunião

Descubra a Taktile