Marco Legal da IA: alto risco é categoria de produto, não de tecnologia

A Câmara dos Deputados divulgou hoje o relatório do Marco Legal da Inteligência Artificial. O texto, que vinha em compasso lento desde a aprovação no Senado em dezembro de 2024, volta a ter prazo. E volta com a mesma pergunta que sempre desorienta os times técnicos: quem, dentro da empresa, precisa olhar para isso agora?

A resposta intuitiva manda olhar para o time de IA. Errado, e errar nisso custa caro. O Marco Legal não classifica modelos; classifica usos. Isso desloca a responsabilidade de governance para um lugar que a maioria das empresas não esperava: o time de produto.

O Marco Legal, em duas frases: o PL 2338/2023 organiza sistemas de IA em categorias de risco — proibidos, de alto risco, e os demais — e impõe obrigações proporcionais à categoria. As obrigações de alto risco incluem avaliação de impacto, supervisão humana qualificada, trilha de auditoria e direito de explicação ao usuário afetado. É a estrutura geral; o relatório da Câmara mexe nas bordas, não no princípio.

E é o princípio que importa para quem está construindo. Alto risco não é uma categoria técnica — é uma categoria de impacto. O mesmo modelo de linguagem, na mesma stack, vira alto ou baixo risco dependendo de onde está plugado.

Um caso recente deixa isso concreto. Em uma fintech B2C de médio porte, algumas centenas de milhares de usuários, o mesmo LLM roda em dois produtos. No app, sugere ao usuário a categoria de uma despesa que ele acabou de registrar: "isso parece transporte; quer aceitar?". No painel interno de análise de crédito, gera um resumo do histórico transacional do cliente para o analista humano que aprova ou recusa o pedido. Mesmo modelo, mesma infraestrutura, dois regimes regulatórios distintos.

O primeiro é baixo risco. O usuário lê a sugestão, aceita ou recusa em três segundos, e poderia ter decidido sozinho com a mesma facilidade. A IA não decide nada que o ser humano à frente da tela não decidiria com ou sem ela.

O segundo é alto risco — mesmo com analista humano carimbando a decisão. A razão é estrutural, e é o ponto que os times técnicos costumam não enxergar: um analista lê dezenas de resumos por plantão. Se o resumo destaca consistentemente os mesmos sinais, o resumo vira a decisão de fato. O humano carimba. O human-in-the-loop, sozinho, não desloca a classificação de risco — porque não é o ato formal de aprovação que o Marco Legal está olhando, é o efeito real do sistema sobre quem recebe um "não" no crédito.

Quem responde, dentro da empresa, à pergunta "este produto influencia decisões com impacto sobre direitos?" costuma ser o PM que desenhou o fluxo, não o engenheiro que escolheu o modelo. Por isso o risco regulatório passa a morar no roadmap de produto, não no backlog de infra.

Há uma tentação simétrica de cada lado, e as duas custam dinheiro. De um lado, tratar o Marco Legal como "vai resolver depois quando o sistema for crítico" — e descobrir, em produção, que redesenhar logging, trilha de auditoria e supervisão humana qualificada custa muito mais do que projetar para o regime certo desde o início. Do outro, tratar todo produto com LLM como alto risco e gastar orçamento de governance onde não é necessário. A maioria dos produtos com IA não será alto risco. Mas saber em qual lado da linha cada um está exige uma conversa entre produto e jurídico que acontece antes da arquitetura, não depois.

A comparação rápida com o EU AI Act ajuda a calibrar a expectativa: a Europa também ancorou risco em uso, não em tecnologia, e o resultado prático é que a maior parte do peso regulatório caiu sobre quem opera o produto — não sobre quem treina o modelo. O Marco Legal brasileiro segue essa lógica.

A pergunta prática não é se a IA do seu produto é regulada. É se o produto que usa a IA tem alto impacto sobre direitos — e quem sabe responder isso é o time de produto, não o time de IA.