O futuro da concessão de crédito no âmbito da regulamentação sobre IA: implicações para a UE e além

No panorama atual do crédito, é prática comum que os credores aprimorem as pontuações de crédito externas dos mutuários utilizando seus próprios indicadores, modelos estatísticos avançados ou heurísticas para tomar decisões de crédito.

No entanto, essa abordagem está agora prestes a ser sujeita a uma regulamentação mais rigorosa, uma vez que a primeira Lei da Inteligência Artificial (IA) da UE está prestes a entrar em vigor. Com novas regulamentações no horizonte, surgem duas questões cruciais para os credores:

1. Como as atividades de análise de crédito serão classificadas na proposta de Lei de IA?

2. Quais são as novas regulamentações que os credores precisam conhecer assim que a lei entrar em vigor?

Maximilian Eber, diretor de tecnologia da Taktile, e Philipp Hacker, professor de Direito e Tecnologia na Universidade Europeia Viadrina de Frankfurt e consultor político sobre a Lei da IA (no âmbito da UE), uniram forças para responder a essas perguntas.

Neste artigo, eles resumem a proposta de Lei de IA e analisam em profundidade as possíveis implicações das novas regulamentações que estão por vir para as instituições financeiras — mesmo para aquelas que não utilizam IA no sentido estritamente técnico.

A Lei da IA é a principal legislação da UE que regula o desenvolvimento e a implantação de sistemas de IA em diversos setores da sociedade, desde aplicações empresariais, como pontuação de crédito e seguros, até à administração pública e à aplicação da lei.

O objetivo é regulamentar os riscos específicos da IA — tais como opacidade, discriminação, comportamento imprevisível ou falta de qualidade preditiva —, submetendo os desenvolvedores e usuários desses modelos a várias obrigações legais específicas. 

A lei formaliza e amplia as melhores práticas frequentemente utilizadas no setor, introduzindo regras específicas de monitoramento, transparência, documentação, supervisão humana e governança de dados.

Atualmente, existem três versões diferentes da Lei de IA:

No momento, essas três partes estão negociando a portas fechadas, num processo chamado “trílogo”. A versão final da Lei de IA está prevista para o final deste ano, e a maioria de suas regras entrará em vigor a partir de meados de 2026. 

No entanto, devido ao seu amplo alcance e às suas extensas obrigações, as empresas que utilizam IA ou quaisquer modelos complexos de tomada de decisão devem se preparar para o cumprimento da Lei de IA com bastante antecedência.

Como você verá mais adiante, espera-se que a Lei de IA se aplique a desenvolvedores e usuários de praticamente qualquer processo complexo de tomada de decisão — independentemente de estarem utilizando redes neurais, IA generativa ou qualquer outra tecnologia avançada de aprendizado de máquina.

A Lei de IA estabelece quatro categorias diferentes de risco para modelos de IA, com base nos casos de uso em que o sistema é implantado: 

1. Usos proibidos
2. Usos de alto risco
3. Usos de risco limitado
4. Usos não regulamentados

Os riscos proibidos dizem respeito a casos de uso como a “pontuação social” ou a identificação biométrica remota em espaços públicos (com exceções limitadas). No entanto, a maior parte da Lei de IA abrange casos de uso de alto risco, que vão desde aplicações de IA em contextos de migração ou justiça criminal até casos de uso econômico na medicina, no seguro-desemprego e na pontuação de crédito. 

Quaisquer outros sistemas de IA que ainda interajam com seres humanos são considerados de risco limitado; a principal obrigação, nesse caso, é que os usuários sejam informados de que estão lidando com um sistema de IA.

A pontuação de crédito é um dos principais casos de uso econômico identificados como de alto risco no âmbito da Lei de IA.

No entanto, estão previstas duas exceções, nas quais a pontuação de crédito não seria considerada de alto risco. A proposta original da Comissão e a versão do Conselho isentariam as PMEs caso utilizassem o modelo de pontuação de crédito para suas próprias atividades. Mas o Parlamento Europeu não quer isentar as PMEs — em vez disso, pretende isentar os sistemas utilizados para a detecção de fraudes financeiras. Por isso, é fundamental acompanhar de perto a versão final da Lei da IA para saber quais isenções, se houver, foram adicionadas à pontuação de crédito.

É importante ressaltar que a Lei de IA só se aplica se o modelo de pontuação de crédito se enquadrar na definição de IA. 

A ampla definição de IA da Lei de IA inclui não apenas o aprendizado de máquina avançado, como o aprendizado profundo para IA generativa, mas também modelos estatísticos, uma vez que estes são normalmente utilizados na pontuação de crédito. Os sistemas de decisão automatizados, compostos por pontuações externas, modelos estatísticos internos, heurísticas e regras, provavelmente também se enquadram como IA de acordo com a definição da Lei de IA.

Retomando o exemplo da introdução, imagine novamente que, para tomar uma decisão de crédito, um banco utilize uma pontuação de crédito externa, a complemente com alguns indicadores próprios e recorra a modelos estatísticos, heurísticas ou regras. Isso equivale ao uso de IA nos termos da Lei de IA? Muito provavelmente, sim.

A definição de IA ainda não foi finalizada, e há uma divergência considerável quanto ao seu significado. No entanto, a proposta da Comissão e a versão do Conselho do ato incluem atualmente “técnicas estatísticas de aprendizagem e inferência […] e métodos de pesquisa e otimização”. 

Curiosamente, o Parlamento Europeu pretende abranger “abordagens baseadas no conhecimento, estimativas bayesianas ou árvores de decisão”, além dos processos clássicos de aprendizado de máquina. Se assim for, a Lei da IA poderia ser melhor considerada como a “Lei da Tomada de Decisão Complexa”. 

É importante ressaltar também que o fato de estar sediada fora da UE não isenta as empresas abrangidas pela Lei de IA. Assim como o RGPD, a lei será aplicável assim que forem oferecidos serviços “baseados em IA” ou utilizados modelos que envolvam qualquer cliente da UE. Basta que o resultado do sistema seja utilizado na UE para que se enquadre no âmbito da Lei de IA.

Embora a Lei de IA faça referência frequente à regulamentação bancária vigente em diversos pontos, são propostos vários artigos e obrigações adicionais.

A seguir, apresentamos uma breve visão geral das principais disposições da Lei de IA que as empresas de fintech e as instituições financeiras devem conhecer.

Você pode encontrar mais detalhes sobre essas disposições aqui (veja mais informações).

Os fornecedores de sistemas de IA deverão implementar um regime de governança de dados que garanta dados de treinamento de alta qualidade, não discriminatórios e representativos.  

Para as instituições financeiras, isso significa que os dados precisam ser limpos e representativos dos segmentos de clientes. Além disso, elas precisam ser capazes de comprovar que seus dados estão em conformidade com esses novos padrões de dados — tudo isso além das regulamentações bancárias já existentes.

Além disso, as instituições financeiras precisarão adotar procedimentos abrangentes de documentação e manutenção de registros. Os modelos devem ser suficientemente transparentes e operados sob supervisão humana. E, o que é mais importante, devem cumprir rigorosos padrões de desempenho, robustez e segurança cibernética. 

Essas obrigações são independentes da regulamentação bancária existente e vêm somar-se a ela. Embora o Parlamento Europeu tenha introduzido algumas disposições na Lei da IA com o objetivo de reforçar o recurso à regulamentação setorial existente — como a legislação bancária —, não está claro até que ponto essas referências serão incluídas na versão final da Lei da IA.

Assim que a Lei de IA entrar em vigor, as instituições financeiras terão maior segurança jurídica quanto à forma de operar ao utilizar sistemas que fazem uso de IA. 

Eles também terão a oportunidade de construir um relacionamento de confiança mais sólido com seus clientes. 

Para as instituições de crédito regulamentadas, um procedimento de avaliação de conformidade com a Lei de IA será integrado ao procedimento de revisão e avaliação de supervisão previsto na legislação bancária. Além disso, as instituições de crédito podem solicitar por conta própria uma certificação que ateste aos clientes que operam com segurança e competência “em conformidade com a Lei de IA” no que diz respeito ao armazenamento e à utilização de dados.

A Lei da IA será finalizada nos próximos meses – provavelmente até o final de 2023. Um dos pontos cruciais sobre os quais os negociadores ainda precisam chegar a um acordo é o período de transição entre a publicação da Lei da IA no Jornal Oficial da UE e sua aplicação no setor. 

No que diz respeito à pontuação de crédito, a Lei de IA provavelmente entrará em vigor dois anos após sua publicação, por volta de meados de 2026. 

No entanto, os sistemas de modelagem, conformidade e gestão precisam ser atualizados a partir de agora para garantir a implementação oportuna de funcionalidades em conformidade com a Lei de IA. Independentemente da versão final, dispor de uma infraestrutura robusta e ágil — especialmente no que diz respeito à governança de dados — para a tomada de decisões de crédito automatizadas será mais importante do que nunca.

A Comissão Europeia também receberá um mandato para atualizar a Lei da IA regularmente e sempre que julgar conveniente. Isso provavelmente se aplicará principalmente à lista de casos de uso de alto risco, que poderá ser ampliada. É importante ressaltar que as PMEs (definidas como empresas com menos de 250 funcionários e um faturamento inferior a € 50 milhões ou um balanço patrimonial inferior a € 43 milhões) poderão ser isentas de algumas obrigações de alto risco – dependendo do resultado das negociações do trílogo. 

Para a UE, a Lei da IA continuará sendo um tema de grande interesse para os legisladores, e é de se esperar que haja atualizações rápidas caso surjam novos desenvolvimentos no âmbito tecnológico ou político. 

Um campo importante a ser acompanhado é o da padronização. Muitos dos termos bastante vagos da Lei de IA — como representatividade e ausência de erros, mencionados no contexto da governança de dados — serão definidos com maior precisão nas normas que estão sendo elaboradas neste momento por organizações de padronização. 

Espera-se que essas normas ofereçam uma certa segurança às empresas que utilizam IA ou tomam decisões complexas, desde que consigam incorporá-las aos seus modelos e procedimentos de pontuação de crédito. Portanto, qualquer processo de análise de crédito preparado para o futuro deve acompanhar de perto os desdobramentos em torno da Lei de IA da UE e seus esforços de padronização.

Isenção de responsabilidade
As informações fornecidas neste artigo não constituem, nem têm a intenção de constituir, aconselhamento profissional ou jurídico; ao contrário, todas as informações, conteúdos e materiais têm apenas fins informativos e educacionais gerais. Assim, antes de tomar qualquer medida com base nessas informações, recomendamos que você consulte os profissionais adequados.

P: O que é a Lei da União Europeia sobre Inteligência Artificial (IA)?

R: A Lei da Inteligência Artificial da UE é a primeira regulamentação abrangente sobre IA, classificando a concessão de crédito como um caso de uso de IA de alto risco. Ela estabelece requisitos rigorosos em matéria de transparência, governança de dados e supervisão humana na tomada de decisões automatizada.

P: Como a Lei de IA afetará a concessão de crédito?

R: Os modelos de análise de crédito que utilizam pontuações de crédito, modelos estatísticos ou algoritmos de IA enfrentarão novas obrigações de conformidade. As instituições financeiras devem documentar suas decisões, garantir a qualidade dos dados e manter processos de análise de crédito explicáveis e auditáveis.

P: A Lei sobre IA se aplica fora da UE?

R: Sim. Assim como o RGPD, a Lei de IA se aplica a qualquer instituição financeira que ofereça serviços de crédito a clientes da UE, mesmo que a empresa tenha sede fora da UE. As instituições financeiras globais precisam se preparar desde já para manter a conformidade.

P: Que medidas os credores devem tomar para se preparar para a regulamentação da IA?

R: As instituições financeiras devem começar por reforçar a governança de dados, a infraestrutura de tomada de decisões de crédito e a transparência dos modelos. O uso de plataformas flexíveis e automatizadas ajuda a garantir a preparação para o cumprimento da Lei de IA.

P: Como a Taktile pode ajudar na análise de crédito em conformidade com a IA?

R: A Taktile oferece uma plataforma de decisão de baixo código com registros de auditoria integrados, integrações de dados contínuas e ferramentas de IA explicáveis. Solicite uma demonstração para ver como a Taktile permite que os credores se mantenham ágeis e em conformidade com a Lei de IA da UE.