EU AI Act: As Primeiras Obrigações de Compliance Começam a Valer em 2026

Em 28 de janeiro de 2026, as primeiras obrigações do EU AI Act entraram em vigor, marcando o início do regime regulatório mais abrangente do mundo para inteligência artificial. Diferente do que muitos esperavam — que as regras fossem brandas ou adiadas — a Comissão Europeia foi rigorosa: sistemas de IA classificados como "alto risco" agora precisam de avaliação de conformidade antes de serem colocados no mercado.

O AI Act classifica sistemas de IA em quatro categorias de risco: mínimo, limitado, alto e inaceitável. As obrigações que começaram a valer em janeiro de 2026 focam em:

• Sistemas de alto risco: recrutamento, crédito, seguros, justiça, migração e infraestrutura crítica. Exigem avaliação de conformidade, documentação técnica, governança de dados e supervisão humana obrigatória.
• Sistemas de uso geral (GPAI): modelos como GPT-4, Claude 4 e Llama 4 precisam publicar resumos detalhados dos dados de treinamento e implementar políticas de direitos autorais.
• Proibições diretas: sistemas de pontuação social, vigilância biométrica em tempo real em espaços públicos e manipulação comportamental estão proibidos.

O Impacto nas Empresas de Tecnologia

O custo de compliance não é trivial. Empresas que operam na Europa estimam gastar entre US$500 mil e US$5 milhões por sistema classificado como alto risco, dependendo da complexidade. Para startups, esse custo pode ser proibitivo — e o AI Act já está gerando o que especialistas chamam de "AI divide": empresas com recursos para compliance e empresas que simplesmente não conseguem operar na Europa.

A Meta, por exemplo, anunciou em 30 de janeiro que não lançará o Llama 4 na Europa até que as regras de GPAI estejam mais claras. A OpenAI, por outro lado, já tem uma equipe de 80 pessoas dedicada ao AI Act e afirma que o GPT-4.5 estará em conformidade desde o lançamento.

Efeitos no Mercado Brasileiro

Empresas brasileiras que operam na Europa ou que usam sistemas de IA desenvolvidos por fornecedores europeus também são afetadas. O AI Act tem alcance extraterritorial: qualquer empresa que coloque um sistema de IA no mercado da UE ou que tenha seus outputs consumidos por usuários na UE está sujeita às regras.

Para o ecossistema brasileiro, o AI Act funciona como um padrão de facto. Grandes empresas locais — bancos, seguradoras, varejo — já estão adotando voluntariamente os padrões do AI Act como referência de boas práticas, antecipando-se a uma possível regulação brasileira. O PL 2338/2023 (Marco Legal da IA) está parado no Congresso, mas tende a se espelhar no modelo europeu quando for retomado.

O Que Isso Significa

O EU AI Act não é mais uma ameaça futura — é uma realidade com multas e obrigações concretas. Empresas que ainda não começaram a mapear seus sistemas de IA por categoria de risco estão atrasadas. Para o mercado de tecnologia como um todo, a regulação europeia está definindo o padrão global de compliance, e ignorá-la significa ficar de fora do segundo maior mercado de tecnologia do mundo. O recado para CTOs e CISOs brasileiros: comecem o mapeamento hoje, antes que a fiscalização alcance vocês.