Bolt42

O conjunto de regras baseado em risco da União Europeia para inteligência artificial — também conhecido como AI Act da UE — está em desenvolvimento há anos. Mas espere ouvir muito mais sobre essa regulamentação nos próximos meses (e anos) à medida que os prazos de conformidade críticos se aproximam. Enquanto isso, continue lendo para obter uma visão geral da lei e seus objetivos.

Então, o que a UE está tentando alcançar? Volte no tempo até abril de 2021, quando a Comissão publicou a proposta original e os legisladores a enquadraram como uma lei para fortalecer a capacidade do bloco de inovar em IA, promovendo confiança entre os cidadãos. A estrutura garantiria que as tecnologias de IA permanecessem “centradas no ser humano”, ao mesmo tempo em que forneceria regras claras para que as empresas pudessem usar sua mágica de aprendizado de máquina, sugeriu a UE.

A crescente adoção da automação em diversas indústrias e na sociedade tem o potencial de aumentar a produtividade em várias áreas. Mas também apresenta riscos de danos rápidos, se os resultados forem ruins e/ou quando a IA intersecta com os direitos individuais e não os respeita.

O objetivo do bloco com o AI Act é, portanto, estimular a adoção de IA e crescer um ecossistema local de IA, estabelecendo condições destinadas a reduzir os riscos de que as coisas possam dar terrivelmente errado. Os legisladores acreditam que ter salvaguardas em vigor aumentará a confiança dos cidadãos e a adoção de IA.

Essa ideia de fomentar um ecossistema através da confiança era bastante não controversa no início da década, quando a lei estava sendo discutida e redigida. No entanto, foram levantadas objeções em alguns setores, de que era simplesmente cedo demais para regulamentar a IA e que a inovação e a competitividade europeias poderiam sofrer.

Poucos provavelmente diriam que é cedo demais agora, é claro, dado o quanto a tecnologia explodiu na consciência mainstream, graças ao boom nas ferramentas de IA generativa. Mas ainda há objeções de que a lei pode prejudicar as perspectivas dos empreendedores de IA locais, apesar da inclusão de medidas de apoio como “caixas de areia regulatórias”.

Ainda assim, o grande debate para muitos legisladores agora é sobre como regular a IA, e com o AI Act, a UE definiu seu curso. Os próximos anos serão dedicados à execução do plano do bloco.

O que o AI Act exige?

A maioria dos usos de IA não é regulamentada pelo AI Act, pois cai fora do escopo das regras baseadas em risco. (Vale ressaltar que os usos militares de IA estão totalmente fora do escopo, pois a segurança nacional é uma competência legal do Estado-membro, e não da UE.)

Para usos de IA dentro do escopo, a abordagem baseada em risco da Lei estabelece uma hierarquia onde um pequeno número de casos de uso potencial (por exemplo, “técnicas subliminares, manipulativas e enganosas prejudiciais” ou “pontuação social inaceitável”) são considerados como carregando “risco inaceitável” e, portanto, são banidos. No entanto, a lista de usos banidos está repleta de exceções, ou seja, mesmo o pequeno número de proibições da lei carrega muitas ressalvas.

Por exemplo, uma proibição sobre o uso da identificação biométrica remota em tempo real pela aplicação da lei em espaços públicos não é a proibição total que alguns parlamentares e muitos grupos da sociedade civil haviam solicitado, com exceções permitindo seu uso para certos crimes.

O próximo nível abaixo de risco inaceitável/usos proibidos são os casos de uso de “alto risco” — como aplicativos de IA usados para infraestrutura crítica; aplicação da lei; educação e treinamento profissional; saúde; e mais — onde os desenvolvedores devem realizar avaliações de conformidade antes da implantação no mercado, e de forma contínua (como quando fazem atualizações substanciais nos modelos).

Isso significa que o desenvolvedor deve ser capaz de demonstrar que está cumprindo os requisitos da lei em áreas como qualidade dos dados, documentação e rastreabilidade, transparência, supervisão humana, precisão, cibersegurança e robustez. Eles devem implementar sistemas de qualidade e gestão de risco para que possam demonstrar conformidade caso uma autoridade de fiscalização venha fazer uma auditoria.

Sistemas de alto risco que são implantados por entidades públicas também devem ser registrados em um banco de dados público da UE.

Há também uma terceira categoria de “risco médio”, que aplica obrigações de transparência a sistemas de IA, como chatbots ou outras ferramentas que podem ser usadas para produzir mídia sintética. Aqui, a preocupação é que esse tipo de tecnologia pode ser usada para manipular pessoas, portanto, esse tipo de tecnologia exige que os usuários sejam informados de que estão interagindo ou visualizando conteúdo produzido por IA.

Todos os outros usos de IA são automaticamente considerados de baixo/mínimo risco e não são regulamentados. Isso significa que, por exemplo, o uso de IA para classificar e recomendar conteúdo em redes sociais ou direcionar publicidade não tem obrigações sob essas regras. Mas o bloco incentiva todos os desenvolvedores de IA a seguir voluntariamente as melhores práticas para aumentar a confiança do usuário.

Esse conjunto de regras baseadas em risco em camadas compõe a maior parte do AI Act. Mas também existem alguns requisitos dedicados aos modelos multifacetados que sustentam tecnologias de IA generativa — que o AI Act se refere como modelos de “IA de propósito geral” (ou GPAIs).

Esse subconjunto de tecnologias de IA, que a indústria às vezes chama de “modelos fundamentais”, normalmente se sitúa a montante de muitos aplicativos que implementam inteligência artificial. Os desenvolvedores estão aproveitando APIs dos GPAIs para implantar as capacidades desses modelos em seu próprio software, muitas vezes ajustados para um caso de uso específico para adicionar valor. Tudo isso significa que os GPAIs rapidamente ganharam uma posição poderosa no mercado, com o potencial de influenciar resultados de IA em larga escala.

A IA generativa entrou na conversa…

A ascensão da IA generativa remodelou mais do que apenas a conversa em torno do AI Act da UE; levou a mudanças no próprio conjunto de regras, já que o longo processo legislativo do bloco coincidiu com o entusiasmo em torno de ferramentas de IA generativa como o ChatGPT. Os legisladores do parlamento europeu aproveitaram a oportunidade para responder.

Os eurodeputados propuseram adicionar regras adicionais para os GPAIs — ou seja, os modelos que sustentam ferramentas de IA generativa. Isso, por sua vez, aguçou a atenção da indústria de tecnologia sobre o que a UE estava fazendo com a lei, levando a um intenso lobby por uma exclusão para os GPAIs.

A empresa francesa de IA Mistral foi uma das vozes mais altas, argumentando que regras sobre fabricantes de modelos impediriam a capacidade da Europa de competir com gigantes da IA dos EUA e da China. Sam Altman, da OpenAI, também contribuiu, sugerindo, em uma observação ao lado para jornalistas, que poderia retirar sua tecnologia da Europa se as leis se mostrassem muito onerosas, antes de rapidamente voltar a fazer lobby tradicionalmente para influenciar os poderosos regionais após a UE chamá-lo por essa ameaça desajeitada.

Altman recebendo uma aula sobre diplomacia europeia foi um dos efeitos colaterais mais visíveis do AI Act.

O resultado de todo esse barulho foi uma corrida para concluir o processo legislativo. Levou meses e uma maratona de negociações finais entre o parlamento europeu, o Conselho e a Comissão para que o projeto avançasse no ano passado. O acordo político foi fechado em dezembro de 2023, abrindo caminho para a adoção do texto final em maio de 2024.

A UE proclamou o AI Act como um “primeiro global”. Mas ser o primeiro nesse contexto de tecnologia de ponta significa que ainda há muitos detalhes a serem trabalhados, como estabelecer os padrões específicos pelos quais a lei se aplicará e produzir orientações detalhadas de conformidade (Códigos de Prática) para que o regime de supervisão e construção de ecossistemas que a Lei prevê funcione.

Portanto, em termos de avaliar seu sucesso, a lei permanece um trabalho em andamento — e continuará sendo por um longo tempo.

Para os GPAIs, o AI Act continua a abordagem baseada em risco, com (apenas) requisitos mais leves para a maioria desses modelos.

Para os GPAIs comerciais, isso significa regras de transparência (incluindo requisitos de documentação técnica e divulgações sobre o uso de material protegido por direitos autorais usado para treinar modelos). Essas disposições destinam-se a ajudar os desenvolvedores a jusante com sua própria conformidade com o AI Act.

Há também um segundo nível — para os GPAIs mais poderosos (e potencialmente arriscados) — onde a Lei aumenta as obrigações sobre os fabricantes de modelos ao exigir avaliação de riscos proativa e mitigação de riscos para GPAIs com “risco sistêmico”.

Aqui, a UE está preocupada com modelos de IA muito poderosos que possam representar riscos à vida humana, por exemplo, ou até mesmo riscos de que os fabricantes de tecnologia percam o controle sobre o desenvolvimento contínuo de IAs autoaperfeiçoadas.

Os legisladores decidiram contar com um limite de computação para o treinamento de modelos como um classificador para este nível de risco sistêmico. GPAIs se enquadrarão nessa categoria com base na quantidade cumulativa de computação utilizada para seu treinamento medida em operações de ponto flutuante (FLOPs) maior que 1025.

Até agora, nenhum modelo é considerado em escopo, mas é claro que isso pode mudar à medida que a IA generativa continua a se desenvolver.

Há também certa margem para os especialistas em segurança de IA, envolvidos na supervisão do AI Act, sinalizarem preocupações sobre riscos sistêmicos que possam surgir em outro lugar. (Para mais informações sobre a estrutura de governança que o bloco elaborou para o AI Act — incluindo os vários papéis do AI Office — consulte nosso relatório anterior.)

O lobby de Mistral e outros resultou em um abrandamento das regras para GPAIs, com requisitos mais leves sobre provedores de código aberto, por exemplo (sortudos Mistral!). Pesquisa e desenvolvimento também receberam uma exclusão, significando que GPAIs que não foram comercializados ainda estão totalmente fora do escopo da Lei, sem que sequer as exigências de transparência se apliquem.

Uma longa marcha em direção à conformidade

O AI Act entrou oficialmente em vigor em toda a UE em 1º de agosto de 2024. Essa data essencialmente disparou um sinal de partida, já que os prazos para a conformidade com diferentes componentes devem ser atingidos em diferentes intervalos, desde o início do próximo ano até cerca de meados de 2027.

Alguns dos principais prazos de conformidade são seis meses após a entrada em vigor, quando as regras sobre casos de uso proibidos entram em vigor; nove meses após quando os Códigos de Prática começam a se aplicar; 12 meses para requisitos de transparência e governança; 24 meses para outros requisitos de IA, incluindo obrigações para alguns sistemas de alto risco; e 36 meses para outros sistemas de alto risco.

Parte da razão para essa abordagem escalonada às disposições legais é dar às empresas tempo suficiente para organizar suas operações. Mas, mais do que isso, é claro que é necessário tempo para que os reguladores trabalhem em como a conformidade se parecerá nesse contexto inovador.

No momento da redação, o bloco está ocupado formulando orientações para vários aspectos da lei antes desses prazos, como Códigos de Prática para fabricantes de GPAIs. A UE também está consultando sobre a definição de “sistemas de IA” da lei (ou seja, quais softwares estarão dentro ou fora do escopo) e esclarecimentos relacionados a usos proibidos de IA.

A imagem completa do que o AI Act significará para as empresas dentro do escopo ainda está sendo moldada e detalhada. Mas detalhes-chave devem ser definidos nos próximos meses e ao longo do primeiro semestre do próximo ano.

Uma coisa a mais a considerar: Como consequência da velocidade de desenvolvimento no campo da IA, o que é necessário para ficar do lado certo da lei provavelmente continuará a mudar à medida que essas tecnologias (e seus riscos associados) continuem a evoluir também. Portanto, este é um conjunto de regras que pode muito bem precisar permanecer um documento vivo.

Aplicação das regras de IA

A supervisão dos GPAIs é centralizada a nível da UE, com o AI Office desempenhando um papel fundamental. As penalidades que a Comissão pode atingir para fazer cumprir essas regras podem chegar a até 3% do faturamento global dos fabricantes de modelos.

Em outros lugares, a aplicação das regras da Lei para sistemas de IA é descentralizada, o que significa que caberá às autoridades a nível do Estado-membro (plural, pois pode haver mais de um órgão de supervisão designado) avaliar e investigar questões de conformidade para a maioria dos aplicativos de IA. Quão viável essa estrutura será permanece a ser visto.

No papel, as penalidades podem chegar a até 7% do faturamento global (ou €35 milhões, o que for maior) por violações de usos proibidos. Violações de outras obrigações de IA podem ser sancionadas com multas de até 3% do faturamento global, ou até 1,5% por fornecer informações incorretas aos reguladores. Portanto, há uma escala deslizante de sanções que as autoridades de fiscalização podem aplicar.


    dezesseis − 3 =

    Bolt42