A Inteligência Artificial (IA) já mostrou a que veio. Promete efetivamente revolucionar a nossa sociedade, mas também traz riscos significativos.
Mas, como resposta, governos e organizações criaram uma série de frameworks de governança, desde as diretrizes voluntárias como a do NIST nos EUA até à legislação obrigatória da União Europeia, e no Brasil, o debate centra-se no PL 2338/2023.
Mas será que estes mecanismos estão realmente a controlar os perigos da IA, ou apenas a criar uma ilusão de segurança? Sempre proponho não apenas a reflexão nos meus artigos, mas tento trazer de forma prática ações práticas.
Mas trago uma incógnita: talvez o problema não seja apenas gerir os “riscos da IA”, mas reconhecer que estamos a construir uma “IA de risco” desde a origem. A diferença é fundamental e as implicações são profundas para quem trabalha com políticas públicas e regulamentação.
1. O Manual do Bom Comportamento: o que diz o NIST?
Em janeiro de 2023, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) publicou o seu Artificial Intelligence Risk Management Framework (AI RMF 1.0). O documento é um manual abrangente que visa oferecer um recurso para organizações que projetam, desenvolvem ou utilizam sistemas de IA. É estruturado em torno de quatro funções principais:
- Governar (Govern),
- Mapear (Map),
- Medir (Measure) e;
- Gerir (Manage).
O seu objetivo é promover uma IA “confiável”, caracterizada por ser válida e fiável, segura, resiliente, transparente, explicável, justa e que protege a privacidade.
Na teoria, é o cenário ideal da indústria: um modelo flexível, voluntário e não punitivo, que se adapta a qualquer setor ou caso de uso.
O framework é uma obra de engenharia de processos, um guia para o bom comportamento corporativo na era da IA. Mas, o que poderia correr mal com uma abordagem tão sensata e bem-intencionada?
2. A Bússola Quebrada: o abismo entre o voluntário e o obrigatório
O problema reside precisamente na sua natureza voluntária. Num mercado global movido por uma competição feroz, onde a velocidade é um fator crítico de sucesso, um framework voluntário é o equivalente a pedir a uma raposa para desenhar o “plano de segurança do galinheiro”.
A ausência de sanções ou de qualquer mecanismo de enforcement torna o AI RMF uma mera sugestão, um guia de boas práticas que pode ser convenientemente ignorado quando entra em conflito com os objetivos de negócio.
Esta abordagem contrasta de forma gritante com a da União Europeia. O EU AI Act, a primeira legislação abrangente sobre IA do mundo, adota uma postura vinculativa e baseada em risco, o que é perfeito, até a primeira página, mas existem sanções pesadas para o não cumprimento. A diferença fundamental entre as duas abordagens expõe uma fratura filosófica na governança global da IA.
| Característica | NIST AI Risk Management Framework (EUA) | EU AI Act (União Europeia) |
| Natureza | Voluntário, não vinculativo | Obrigatório, com força de lei |
| Abordagem | Baseada em risco, flexível e orientadora | Baseada em risco, prescritiva e com categorias definidas |
| Sanções | Nenhuma | Multas até €35 milhões ou 7% do volume de negócios anual global |
| Alcance | Global, mas sem obrigatoriedade | Extraterritorial (aplica-se a sistemas usados na UE) |
O modelo do NIST, embora tecnicamente sólido, falha ao não reconhecer a dinâmica do poder e do lucro que molda a inovação tecnológica.
Confia na autorregulação de uma indústria que, historicamente, só respondeu a incentivos regulatórios fortes. Sem dentes, o AI RMF arrisca-se a ser mais um exercício de relações públicas do que uma ferramenta eficaz de mitigação de risco.
3. O Labirinto Brasileiro: ambição europeia, realidade tropical
No Brasil, o debate legislativo, centrado no Projeto de Lei 2338/2023 – que anda a passos de tartaruga – segue com a inspiração europeia, propondo um sistema regulatório robusto.
O projeto estabelece o Sistema Nacional de Regulação e Governança da Inteligência Artificial (SIA), coordenado pela Autoridade Nacional de Proteção de Dados (ANPD). A ambição é louvável, mas o desenho institucional proposto é um labirinto de incertezas.
O texto cria um potencial sobreposição de competências entre a ANPD e outras autoridades setoriais, sem definir claramente os papéis de cada um.
O resultado pode ser um vácuo de poder ou, pior, uma guerra de competências que paralise a fiscalização. Estamos a importar a ambição regulatória da Europa sem garantir a capacidade institucional para a executar?
O risco é o de construir um “monstro” burocrático antes mesmo de entendermos a fundo a tecnologia que ele visa regular, criando um ambiente de insegurança jurídica que penaliza a inovação responsável e beneficia os que operam nas zonas cinzentas.
4. A Inversão do Risco: de “Risco da IA” para “IA de Risco”
Este é o cerne da questão. O debate sobre governança tem-se focado em como gerir os “riscos da IA” – o viés nos algoritmos, as falhas de segurança, a falta de transparência. Estes são, sem dúvida, problemas reais. No entanto, esta perspectiva assume que a IA é uma ferramenta neutra que, por vezes, produz maus resultados.
E se a premissa estiver errada? E se a IA, especialmente os modelos de grande escala (LLMs) que dominam o cenário atual, não for uma tecnologia que tem riscos, mas sim uma tecnologia que é um risco? Uma “IA de Risco”.
A opacidade destes modelos é fundamental. Nem os seus próprios criadores conseguem explicar completamente como chegam a determinadas conclusões, um risco e um potencial problema ÉTICO. A sua natureza técnica significa que o seu comportamento pode mudar de formas imprevisíveis quando interagem com o mundo real.
Fato é que, falar em “gerir o viés” é, na prática, uma admissão de que estamos a implementar em larga escala sistemas que sabemos serem enviesados, e a nossa solução é criar processos para lidar com os danos colaterais.
A governança, neste contexto, deixa de ser uma prevenção fundamental para se tornar uma gestão de danos. Estamos prestes a aceitar o risco como inevitável e a focar em mitigar as suas piores consequências, em vez de questionar se deveríamos estar a criar um risco tão fundamental em primeiro lugar.
Conclusão: descer do palco, enfrentar a realidade
Pense: a proliferação de frameworks de governança de IA corre o sério risco de se tornar um “teatro da conformidade”, onde as organizações cumprem requisitos processuais para obter um selo de “IA responsável”, enquanto continuam a desenvolver e a implementar sistemas cujos riscos fundamentais permanecem por resolver.
É preciso ir além do manual, questionar a sua validade e alertar para os perigos da complacência regulatória.
O desafio é imenso. Exige um ceticismo saudável em relação às soluções fáceis e uma vontade de fazer as perguntas difíceis.
É desconfortável dizer isto, mas a questão final que devemos colocar a nós mesmos, enquanto sociedade discute se de fato estamos construindo pontes para um futuro melhor com a IA, ou estamos apenas a decorar as grades de uma jaula dourada que nós mesmos projetámos?