Digital Compliance na Banca: impacto do AI Act

 O digital compliance afirma-se hoje como um eixo central da governação bancária, ultrapassando a lógica tradicional de cumprimento normativo e projetando-se na gestão da transformação tecnológica. O AI Act introduz um modelo exigente baseado no risco, particularmente relevante para a utilização de sistemas de inteligência artificial em funções críticas como o scoring de crédito, o KYC e a monitorização de operações suspeitas. Neste contexto, o desafio não reside apenas na conformidade formal, mas na capacidade de integrar estas exigências em modelos de governação efetivos, conciliando eficiência algorítmica, transparência e accountability.

1. O compliance digital na banca

O compliance deixou de se circunscrever aos domínios clássicos da prevenção da corrupção, do branqueamento de capitais ou da responsabilidade penal das pessoas coletivas. O seu centro de gravidade deslocou-se, de forma inequívoca, para o espaço digital, onde a conformidade assume uma natureza estruturalmente distinta: não apenas cumprimento normativo, mas exercício integrado de governação tecnológica.

Neste contexto, a União Europeia tem vindo a consolidar um quadro regulatório denso e interdependente, no qual assumem particular relevância o AI Act — e, num plano mais amplo, outros instrumentos do digital finance package, com especial relevância para o DORA (exigindo, ambos, uma aplicação concertada, especialmente nas entidades  financeiras e bancárias). Esta evolução evidencia uma tendência clara: a conformidade digital tornou-se transversal à governação das instituições financeiras, exigindo a conceptualização de sistemas integrados de gestão capazes de articular riscos tecnológicos, éticos e operacionais.

Longe de constituir uma mera imposição regulatória, o digital compliance assume-se como uma oportunidade estratégica. A sua implementação eficaz permite reforçar a confiança de clientes, investidores (num espectro largo, stakeholders) e autoridades, posicionando as instituições como agentes responsáveis num ecossistema caracterizado por interdependências críticas – mas tendentes de planificação. O desafio reside, porém, na capacidade de transformar densidade normativa em valor acrescentado (operacional), evitando que a multiplicação de obrigações jurídicas conduza a práticas de cumprimento meramente formais, desprovidas de eficácia material.

2. O AI Act

2.1 Enquadramento e objetivos

O AI Act constitui o primeiro quadro jurídico europeu transversal em matéria de inteligência artificial, assente numa abordagem baseada no risco. O seu objetivo é duplo: assegurar a proteção dos direitos fundamentais e, simultaneamente, promover o desenvolvimento de um mercado único de IA seguro e fiável.

O regime instituído pelo AI Act estrutura-se a partir de uma lógica de intervenção graduada (risk based appproach), em função do risco associado aos sistemas de inteligência artificial, traduzindo uma opção regulatória que combina proibição, controlo reforçado e autorregulação condicionada.

Num primeiro nível, situam-se os sistemas de risco inaceitável, cuja colocação no mercado ou utilização é proibida por violarem valores estruturantes da União. Incluem-
-se aqui práticas como a manipulação comportamental através de técnicas subliminares, a exploração de vulnerabilidades de grupos específicos ou a construção de sistemas de pontuação social.

Num segundo nível, encontram-se os sistemas de risco elevado, que constituem o verdadeiro núcleo operativo do diploma. Nestes casos, o regulamento impõe um conjunto denso de obrigações de conformidade, que vão muito além de um cumprimento formal. Entre essas obrigações destacam-se: (i) a implementação de sistemas de gestão do risco, que assegurem a identificação, análise e mitigação contínua dos riscos ao longo de todo o ciclo de vida do sistema; (ii) a garantia da qualidade dos dados, incluindo a sua relevância, representatividade e ausência de enviesamentos significativos; (iii) a elaboração e manutenção de documentação técnica detalhada, apta a permitir a avaliação da conformidade; (iv) a conservação de registos de funcionamento, assegurando a rastreabilidade das decisões; (v) a prestação de informação adequada aos utilizadores; e (vi) a previsão de mecanismos de supervisão humana efetiva.

A estes requisitos acresce uma exigência transversal de transparência e explicabilidade, particularmente relevante em sistemas que interagem com indivíduos, detetam emoções ou geram conteúdos. O AI Act exige que os utilizadores sejam informados da natureza artificial da interação e, nos casos mais sensíveis, da lógica subjacente ao funcionamento do sistema, impondo um nível de auditabilidade que obriga à construção de verdadeiras “memórias descritivas” dos processos algorítmicos.

Em termos operacionais, o AI Act impõe às entidades uma reconfiguração profunda dos seus sistemas internos: identificação e mapeamento de sistemas de IA, construção de matrizes de risco, integração de controlos jurídicos e técnicos, formação contínua e desenvolvimento de mecanismos de monitorização dinâmica. A conformidade deixa, assim, de ser um estado transitório ou pontual e passa a assumir a natureza de um processo contínuo, exigindo uma articulação estreita entre funções jurídicas, tecnológicas e de governação.

2.3 Aplicação à Banca

No sector bancário, a aplicação do AI Act assume particular densidade regulatória, na medida em que múltiplos casos de uso típicos se reconduzem, em regra, à categoria de sistemas de risco elevado, nos termos do seu Anexo III — em especial aqueles que afetam o acesso a serviços financeiros essenciais, a avaliação de risco de crédito ou a deteção de comportamentos potencialmente ilícitos.

Desde logo, os sistemas de avaliação de solvabilidade e scoring de crédito — com particular incidência no crédito à habitação — podem enquadrar-se na tipologia de sistemas de IA utilizados para avaliação de elegibilidade para serviços essenciais e, nesse sentido, ficar na fronteira da classificação como sistemas de risco elevado. A utilização de modelos preditivos para definição de perfis de risco, condições contratuais ou decisões de concessão implica um impacto direto na esfera jurídica e económica dos clientes.

Neste contexto, o AI Act exige não apenas robustez técnica, mas um nível elevado de explicabilidade e rastreabilidade, impondo que as instituições consigam justificar decisões algorítmicas com base em critérios verificáveis e suscetíveis de escrutínio. A tradicional opacidade dos modelos (black box) torna-se, assim, dificilmente compatível com o novo paradigma regulatório.

Particularmente crítica é a utilização de IA na prevenção do branqueamento de capitais e financiamento do terrorismo (AML/CFT). No domínio do KYC e onboarding digital, a utilização de sistemas de IA — designadamente para verificação automatizada de identidade, análise documental ou reconhecimento biométrico remoto — pode igualmente integrar a categoria de risco elevado, sobretudo quando estejam em causa os mencionados mecanismos de identificação biométrica.

Por outro lado, sistemas de monitorização de transações suspeitas, deteção de padrões anómalos ou scoring de risco de clientes recorrem frequentemente a modelos de machine learning com lógica probabilística e capacidade de adaptação dinâmica. Embora essenciais para a eficácia dos mecanismos de controlo, estes sistemas levantam desafios relevantes ao nível da governabilidade do modelo, exigindo validação contínua, revisão periódica, controlo de falsos positivos e negativos e capacidade de explicação das decisões perante autoridades de supervisão (v.g., Banco de Portugal, EBA).

Para além das exigências do AI Act, estes sistemas operam numa zona de interseção particularmente sensível com o RGPD, impondo obrigações reforçadas ao nível da qualidade e minimização de dados, prevenção de enviesamentos e garantia de controlo humano efetivo, naquilo que é um equilíbrio difícil de alcançar.

Acresce a utilização de IA em processos de segmentação e gestão de relacionamento com clientes, incluindo personalização de produtos financeiros, definição de perfis comerciais e automatização de interações através de chatbots ou assistentes virtuais (por exemplo, a utilização de sistemas de IA em canais de denúncia). Ainda que muitos destes sistemas se enquadrem em categorias de risco limitado, permanecem sujeitos a obrigações de transparência, exigindo que os clientes sejam informados da natureza automatizada da interação e do grau de intervenção humana subjacente.

Em termos operacionais, esta realidade impõe às instituições financeiras uma reconfiguração profunda dos seus modelos de governação. Torna-se necessário, na prática, proceder a um mapeamento exaustivo dos sistemas de IA, à sua qualificação regulatória e à integração de controlos ao longo de todo o ciclo de vida — desde o desenvolvimento e validação até à monitorização contínua e eventual descontinuação. Este esforço deve ser articulado com os frameworks prudenciais existentes, assegurando coerência entre risco tecnológico e risco global da instituição.

Em última análise, o AI Act não se limita a impor requisitos técnicos; introduz uma verdadeira reconfiguração do modelo decisório bancário, exigindo que a eficiência algorítmica seja permanentemente compatibilizada com princípios de transparência, accountability e controlo efetivo.

2.4 Tensões e desafios na banca

A arquitetura do AI Act, assente numa lógica de classificação de risco, não elimina — antes condensa — um conjunto de tensões estruturais que, no sector bancário, assumem particular intensidade.

Desde logo, (1) a tensão entre inovação e conformidade. A densidade dos requisitos aplicáveis aos sistemas de risco elevado — designadamente em matéria de documentação, validação e monitorização contínua — introduz fricções relevantes nos ciclos de desenvolvimento e implementação, podendo traduzir-se num fator de desaceleração operacional. No contexto bancário, onde a utilização de IA está frequentemente associada a processos críticos (v.g., concessão de crédito, KYC ou AML/CFT), esta exigência implica um aumento significativo da complexidade organizacional e dos custos de compliance.

Em segundo lugar, a (2) incerteza na qualificação regulatória. A aplicação das categorias do Anexo III a sistemas híbridos, evolutivos ou multifuncionais não é linear, gerando risco de divergência interpretativa e impacto direto na delimitação do perímetro de compliance. Para as instituições financeiras, esta incerteza traduz-se na necessidadede adotar abordagens prudenciais — frequentemente mais conservadoras — com potencial efeito de overcompliance.

Acresce o (3) problema da governabilidade e imputação de responsabilidade em sistemas multipartidários. A fragmentação do ciclo de vida da IA — envolvendo fornecedores, integradores e utilizadores e outros — dificulta a identificação do sujeito responsável por decisões algorítmicas com impacto jurídico relevante. No sector bancário, onde a responsabilidade perante clientes e autoridades é particularmente exigente, esta dissociação entre controlo técnico e accountability jurídica constitui um ponto crítico.

No plano sistémico, a (4) sobreposição com outros regimes regulatórios, em particular o RGPD e o quadro AML/CFT, intensifica a complexidade operacional. A necessidade de assegurar simultaneamente explicabilidade, proteção de dados, eficácia na deteção de risco e cumprimento prudencial potencia redundâncias, incoerências e custos acrescidos, exigindo uma abordagem integrada de governação assente num princípio de camadas regulatórias, nem sempre facilmente articuláveis.

Paralelamente, a implementação dos requisitos do AI Act implica (5) custos relevantes, quer ao nível da infraestrutura tecnológica, quer da adaptação organizacional, acentuando as assimetrias entre instituições, favorecendo operadores com maior capacidade de investimento e potenciando riscos de concentração tecnológica no sector.

Por fim, subsiste uma (6) tensão estrutural entre eficiência algorítmica e controlo humano. A exigência de supervisão, explicabilidade e validação limita a opacidade dos modelos (human in the loop), mas não elimina o risco de formalização excessiva, em que a conformidade se reduz a um exercício documental, desprovido de eficácia material. No sector bancário, este risco é particularmente sensível, na medida em que a confiança dos clientes e a estabilidade do sistema dependem da qualidade e transparência dos processos decisórios.

Em síntese, o AI Act densifica o controlo sobre a utilização de IA na banca, mas o seu sucesso dependerá da capacidade das instituições em converter exigências normativas em mecanismos operacionais efetivos, evitando a dissociação entre forma e substância e assegurando uma integração coerente no modelo global de governação.

Artigo escrito por João Luz Soares e publicado originalmente na Revista InforBanca.