Este artigo focará nas principais mudanças regulatórias e nos passos práticos que as instituições financeiras devem adotar neste ambiente em rápida evolução.

Autor do artigo e fonte: Xiao Naiying, Fei Si, Yu LeiMin, Estudos King & Wood Mallesons

A IA generativa está acelerando a adoção — os reguladores se concentram na prática

À medida que as instituições financeiras continuam a adotar a inteligência artificial generativa (“IA generativa”), o foco dos reguladores está passando de declarações políticas de princípio para aplicações práticas. O nosso Guia para Instituições Financeiras sobre IA Generativa, publicado em janeiro de 2025 [1], já indicou que o cenário regulatório da IA generativa está se formando, embora os respectivos quadros ainda fossem predominantemente baseados em princípios [2].

Desde então, o foco regulatório passou de princípios macro para governança operacional. Hong Kong, China, está transitando da fase de teste para uma aplicação responsável, enquanto a regulamentação no continente torna-se cada vez mais detalhada, especialmente em relação à governança de conteúdo, processamento de dados, obrigações de registro e regulamentação de modelos. Este artigo destacará as principais dinâmicas regulatórias e os passos práticos que as instituições financeiras devem adotar neste ambiente em rápida evolução.

Hong Kong: Da experimentação para aplicações estruturadas

O desenvolvimento recente em Hong Kong indica que o setor de serviços financeiros está impulsionando a aplicação de IA generativa de forma mais madura e pragmática. A ênfase regulatória está em saber se as instituições financeiras podem implantar essas tecnologias de maneira responsável, controlável, voltada para a proteção do investidor e capaz de resistir à fiscalização regulatória.

O relatório da Autoridade Monetária de Hong Kong (“AMH”) intitulado “A Nova Era da GenA.I.: Promovendo a Aplicação Responsável da Inteligência Artificial nos Serviços Financeiros”, publicado em abril de 2025 [3], indica que a percepção de Hong Kong sobre a IA generativa está mudando — 75% das instituições financeiras entrevistadas já implementaram ou estão desenvolvendo aplicações de IA, com previsão de alcançar 87% nos próximos três a cinco anos.

Ao mesmo tempo, as diretrizes práticas estão se tornando cada vez mais específicas. Por exemplo, o Escritório do Comissário para a Privacidade de Dados Pessoais de Hong Kong, em março de 2025, publicou a “Lista de Verificação de Diretrizes para o Uso de IA Generativa por Funcionários”[4], convertendo preocupações relacionadas à privacidade e governança em medidas operacionais concretas. A lista recomenda a elaboração de políticas claras sobre o uso de ferramentas, entrada de dados, armazenamento e retenção de saídas, verificação, correção e relatório de vieses, marca-d’água e rotulagem, acesso a dispositivos e notificação de eventos.

O Guia de Tecnologia e Aplicações de Inteligência Artificial Generativa de Hong Kong, lançado pela primeira vez em abril de 2025 e atualizado em dezembro do mesmo ano pelo Escritório de Políticas Digitais de Hong Kong [5], fornece orientações adicionais sobre melhores práticas, enfatizando princípios como equidade, transparência, direito à escolha do usuário e correção de viés. Instituições financeiras que utilizam IA generativa para interação com clientes, motores de recomendação, suporte à adequação, classificação interna ou triagem de risco devem considerar esse guia como parte integral do seu quadro de conformidade.

Um avanço particularmente importante é a expansão contínua do quadro regulatório de IA generativa de Hong Kong. Conforme mencionado em nosso artigo de janeiro de 2025, o Monetary Authority em parceria com the Hong Kong Science and Technology Parks Corporation lançou, em 2024, o GenA.I. Sandbox, oferecendo às instituições aprovadas um ambiente controlado para desenvolver e testar casos de uso inovadores de IA generativa no setor bancário.

Em outubro de 2025, a Autoridade Monetária divulgou o Relatório do Sandbox GenA.I. Fase 1 [6], apontando gestão de riscos, medidas anti-fraude e experiência do cliente como os três principais domínios de teste, além de identificar desafios técnicos e de governança, como ilusões de conteúdo e erros informativos. Isso marca uma mudança no foco regulatório, passando de incentivar a inovação para compreender como integrar com segurança a IA generativa nas operações bancárias.

Além disso, o segundo programa GenA.I. Sandbox, lançado em outubro do mesmo ano, reflete uma mudança significativa da experimentação de capacidades de IA para a implementação segura e confiável. O MAS selecionou 27 casos de uso envolvendo 20 bancos e 14 parceiros tecnológicos, enfatizando fortemente governança ativa de IA, detecção automática de qualidade e simulação adversarial para melhorar a prevenção de fraudes por deepfake. Isso marca uma transição clara para prontidão para implantação, eficácia de controle e mitigação de riscos impulsionada por IA.

Em março de 2026, a Autoridade Monetária, em conjunto com a Comissão de Valores Mobiliários e Administração de Derivados, a Autoridade de Regulação de Seguros e a Autoridade de Gestão do Plano de Provisão Obrigatória, lançou o GenA.I. Sandbox++, expandindo o quadro para os setores de valores mobiliários, gestão de ativos e riqueza, seguros, plano de provisão obrigatória e instrumentos de pagamento armazenado. Mantém os três domínios centrais de gestão de risco, anti-fraude e experiência do cliente, enquanto reafirma a continuação da estratégia regulatória “IA contra IA”, ou seja, o uso de IA para gerenciar riscos relacionados à IA.

Em novembro de 2025, a Autoridade Monetária lançou a estratégia "FinTech 2030", que inclui a estratégia "Inteligência Artificial x Instituições Reconhecidas", visando promover a aplicação abrangente e responsável da inteligência artificial no setor financeiro e fomentar o desenvolvimento de infraestruturas compartilhadas e escaláveis, bem como modelos setoriais. Do ponto de vista legal e regulatório, essa estratégia reforça uma mensagem importante: a governança da IA não é mais uma questão isolada de inovação, mas deve ser integrada à arquitetura corporativa, à resiliência operacional, à proteção ao cliente e à prontidão regulatória.

Em março de 2026, a Autoridade Monetária emitiu uma circular a todas as instituições aprovadas sobre modelos de negócio no contexto da transformação digital[7], destacando que novas tecnologias, incluindo inteligência artificial agentiva, estão acelerando a transformação digital. A circular esclarece as expectativas da Autoridade Monetária em relação a todas as instituições aprovadas — avaliar e ajustar proativamente seus modelos de negócio de longo prazo para enfrentar as mudanças tecnológicas. Entre outros itens, a circular exige que o conselho de cada instituição aprovada supervise e aprovem, até 9 de setembro de 2026, um plano estratégico formal sobre transformação digital e digitalização financeira. Esse plano estratégico deve identificar oportunidades de ajuste ou transformação em relação à oferta de produtos, modelos de receita, interação com clientes, gestão de riscos e operações. Para mais informações sobre a circular da Autoridade Monetária sobre transformação digital, consulte nossa infografia.[8]

As tendências regulatórias recentes em Hong Kong indicam que as instituições financeiras devem estabelecer um quadro abrangente que abranja dados, resiliência tecnológica, governança e responsabilização, gerenciando de forma rigorosa e documentável a utilização da IA generativa ao longo de todo o seu ciclo de vida.

Na prática, isso inclui os seguintes pontos:

(Distinção de cenários de aplicação) É necessário distinguir cuidadosamente diferentes cenários de implantação. Ferramentas internas, aplicações de clientes, ferramentas de monitoramento e detecção, casos de uso de suporte à decisão e modelos de terceiros podem gerar considerações legais e de risco distintas; classificá-los genericamente como uma única categoria de “uso de IA” pode não ser suficiente para atender aos requisitos;

(Governaça focada) As instituições devem incluir na governança questões geralmente descritas como puramente técnicas, como design de prompts, mecanismos de busca, processamento de saída, validação de modelos, limiares de relatório e revisão humana;

(Alinhamento de políticas) As instituições devem alinhar suas políticas internas com os termos e pontos de atenção atualmente visíveis nas diretrizes de Hong Kong, incluindo aplicação responsável, equidade, precisão, transparência, privacidade, prestação de contas e resposta a incidentes;

(Equilíbrio regulatório) As instituições devem se preparar para o espaço entre suporte à inovação e revisão regulatória se estreitar. Embora a participação em sandboxes e outras interações regulatórias possam acelerar a implementação, também significam requisitos de governança mais elevados; e

(Comunicação regulatória) Participar em programas de sandbox e piloto deve ser considerado uma atividade de preparação regulatória, e não apenas uma oportunidade de inovação. Antes de se comunicar com as autoridades regulatórias, as instituições devem garantir responsabilidades e aprovações claras, testes e validações documentáveis (incluindo controle de desvios e ilusões), revisão humana explícita e condições de acionamento de relatórios, além de um conjunto completo de documentos de evidência para revisão.

China mainland: caminhando em direção a um enquadramento regulatório operacional e baseado em regras

O quadro regulatório da China continental para IA generativa continua a evoluir em direção a uma abordagem mais operacional, regulamentar e orientada para a supervisão. Para instituições financeiras, as questões práticas já não se resumem apenas a saber se uma determinada ferramenta de IA é permitida, mas sim se a instituição pode demonstrar que os casos de uso relevantes foram adequadamente classificados, registrados quando necessário, acompanhados por controles de dados adequados e monitorados ao longo de todo o seu ciclo de vida.

Isso é extremamente importante, pois os limites regulatórios estão se tornando mais refinados. Os recentes avanços na rotulagem de conteúdo gerado por IA, registro de algoritmos e modelos, avaliação de segurança, normas nacionais e governança de dados no setor financeiro apontam todos na mesma direção: a conformidade da IA na China está cada vez mais focada na implementação de evidências.

O Método de Identificação de Conteúdo Gerado e Sintetizado por Inteligência Artificial, emitido conjuntamente pelo Escritório de Informação da Internet do Estado, o Ministério da Indústria e da Tecnologia da Informação, o Ministério da Segurança Pública e a Administração Nacional de Rádio e Televisão, traduz preocupações de transparência e governança em níveis elevados em requisitos específicos e operacionais de marcação de conteúdo e metadados.

O núcleo deste método é o sistema de dupla rotulagem, que exige a implementação simultânea:

a) Rótulo explícito visível ao usuário; e

b) Anotação implícita com metadados incorporados para rastreabilidade.

Esse método de dupla marcação reflete expectativas regulatórias claras de que a transparência voltada ao usuário e a rastreabilidade de back-end para fins regulatórios, de aplicação da lei e de prestação de contas devem operar em paralelo. Importante, o método também amplia a responsabilidade para toda a cadeia de valor do conteúdo de IA. Em resumo:

O provedor de serviços de geração de conteúdo deve implementar marcação de conteúdo (incluindo marcação explícita e implícita) durante a fase de geração de conteúdo, garantindo a precisão e a persistência da marcação, e suportar rastreabilidade e responsabilidade quando o conteúdo gerado por IA for submetido a inspeção ou investigação regulatória;

A plataforma de disseminação de conteúdo deve identificar, manter e exibir as marcações existentes aplicadas ao conteúdo gerado por IA, prevenir e tratar comportamentos intencionais de remoção, falsificação ou abuso de marcações, e colaborar com as autoridades regulatórias na fiscalização, incluindo a fiscalização em relação à rastreabilidade e traçabilidade do conteúdo; e

Os usuários não devem remover, alterar, ocultar ou falsificar intencionalmente marcas explícitas, nem alterar intencionalmente marcas implícitas ou identificadores técnicos, nem apresentar de forma enganosa conteúdo gerado por IA como se fosse criado por humanos, nem utilizar conteúdo sintético de maneira a contornar rastreabilidade ou regulamentação.

O método classifica adicionalmente o conteúdo gerado por IA como confirmado, possível ou suspeito, a fim de apoiar a governança e a regulamentação adequadas. Essas categorias não impõem obrigação geral de detecção de IA às plataformas de disseminação ou aos usuários. Pelo contrário, reconhecem diferentes níveis de certeza quanto à origem do conteúdo, e a obrigação de marcação se aplica apenas ao conteúdo gerado por IA confirmado produzido por provedores de serviços de geração de conteúdo por IA regulamentados.

Em geral, o método marca uma transição para um modelo de governança baseado na responsabilidade compartilhada e no ciclo de vida, com rotulagem e rastreabilidade posicionadas como controles de conformidade básicos para a gestão de riscos de conteúdo sintético no contexto em evolução do quadro regulatório da China continental.

Apesar da crescente atenção operacional à rotulagem e rastreabilidade de conteúdo, o registro de algoritmos e modelos permanece como pilar central da estrutura regulatória de IA na China continental. Embora não tenham ocorrido revisões significativas nas leis e regulamentos relacionados recentemente, as práticas e a implementação regulatórias continuam em desenvolvimento.

As seguintes observações merecem atenção especial das instituições financeiras:

1. O registro de algoritmos e o registro de modelos são dois procedimentos regulatórios independentes e que podem se sobrepor. Sob certas condições, alguns provedores de serviços de IA generativa podem precisar cumprir a obrigação de “registro duplo”, abrangendo tanto o nível de algoritmo quanto o nível de modelo.
2. Algumas aplicações de serviços financeiros enfrentam maior incerteza regulatória. A abordagem regulatória para o registro de modelos envolvendo casos de uso específicos de serviços financeiros ainda está em desenvolvimento. Com base nos registros de registro publicamente disponíveis, há poucos casos bem-sucedidos de aprovação de algoritmos ou modelos diretamente utilizados em funções como avaliação de risco financeiro, decisões de crédito ou empréstimo ou atividades de negociação impulsionadas por IA. Dado seu potencial impacto sobre a estabilidade do mercado e a proteção do consumidor, esses casos de uso parecem estar sujeitos a uma análise mais rigorosa.
3. Certos casos de uso voltados para clientes apresentam tendências de registro mais amadurecidas. Informações de registro acessíveis ao público indicam que diversos registros de algoritmos e modelos relacionados a aplicações voltadas para clientes já foram aprovados, como atendentes e assistentes de IA, bem como certas ferramentas de análise financeira ou de títulos apoiadas por IA. É importante notar que tais casos de uso geralmente se caracterizam por funções de geração de conteúdo ou suporte à informação, e não por atividades diretas de tomada de decisão ou assumir riscos.

As recent enforcement activities indicate that regulatory approval or registration completion is not considered a final or static outcome. For institutions providing algorithmic recommendation services or generative AI services, expectations extend throughout the entire system lifecycle. When statutory or regulatory triggering conditions arise (e.g., changes in use cases, model functionality, data sources, user coverage, or distribution channels), institutions may need to conduct supplementary security assessments, update existing registrations, or proactively communicate with regulatory authorities as appropriate.

Essa tendência foi reforçada por iniciativas de fiscalização mais amplas. Em abril de 2025, o Escritório Nacional de Informação da Internet lançou uma campanha nacional de três meses intitulada "Limpo · Combate ao Abuso de Tecnologia de IA", durante a qual as autoridades regulatórias tomaram medidas contra um grande número de produtos de IA e conteúdos não conformes. Isso demonstra claramente que a conformidade com a IA agora está firmemente integrada às atividades regulatórias e de fiscalização rotineiras, e não é mais vista como um problema excepcional ou transitório. A falha em manter a conformidade contínua pode aumentar a exposição a riscos de notificações regulatórias, advertências públicas, ordens de correção, sanções administrativas e riscos reputacionais correspondentes.

Além da marcação de conteúdo, registro e avaliação de segurança, o escopo e a precisão da regulamentação mais ampla da IA generativa na China continental continuam a se expandir. Ferramentas e iniciativas regulatórias recentes indicam que os reguladores estão gradualmente ampliando seu foco da segurança de conteúdo e conformidade técnica para impactos comportamentais, governança ética e gestão de riscos contextualizada, especialmente em cenários de maior risco.

Uma dimensão importante dessa evolução é a interação crescente entre a governança da IA generativa, os quadros de revisão ética e tecnológica e os requisitos de proteção de informações pessoais sob a Lei de Proteção de Informações Pessoais. Embora esses dois sistemas não sejam novos, sua aplicação em casos de uso de IA está se tornando mais visível e operacional. Em particular, quando sistemas de IA envolvem processamento de informações pessoais, tomada de decisão automatizada ou funções que possam afetar significativamente os direitos individuais, as autoridades reguladoras esperam cada vez mais que as instituições avaliem não apenas a legalidade e a segurança, mas também a equidade, a explicabilidade e os riscos éticos.

O “Método de Revisão Ética e Serviço para Tecnologias de Inteligência Artificial (Provisório)”, emitido conjuntamente por vários departamentos em abril de 2026, indica que certos desenvolvimentos e aplicações de IA de risco mais elevado — particularmente aqueles envolvendo dados pessoais sensíveis, intervenção comportamental ou impacto social em larga escala — podem exigir revisão ética estruturada ou avaliação por especialistas dentro de um quadro de conformidade mais amplo. A necessidade desse tipo de revisão dependerá do caso específico, dos dados envolvidos e do ambiente de implantação, devendo ser avaliada caso a caso.

Para instituições financeiras, o impacto direto de conformidade dessas medidas pode ser limitado. No entanto, como sinal da direção regulatória, esses desenvolvimentos são significativos. Eles indicam que a regulamentação da IA na China está evoluindo de obrigações gerais para requisitos baseados em cenários, funções e impacto sobre o usuário, e espera-se que a governança da IA generativa vá além da robustez técnica, abrangendo o design da interação humano-máquina, medidas de proteção e mecanismos de atualização.

Além das medidas legais e administrativas formais, os padrões nacionais desempenham um papel cada vez mais importante na definição das expectativas de conformidade práticas em IA. No campo da IA generativa, as autoridades reguladoras já emitiram diversos padrões nacionais que fornecem orientações sobre avaliação de segurança de aprendizado de máquina, rotulagem de conteúdo sintético, segurança de dados de treinamento e requisitos básicos de serviço. Outros padrões nacionais relacionados à segurança de IA como serviço, avaliação da capacidade de operação segura ao longo do ciclo de vida e aplicações de IA baseadas em agentes estão em desenvolvimento.

Esses padrões nacionais desempenham a função de referência regulatória, fornecendo orientação sobre como as autoridades reguladoras devem avaliar, na prática, a adequação das medidas de segurança, arranjos de governança e controles operacionais. Ao longo do tempo, eles podem exercer influência cada vez maior no campo regulatório e de aplicação da lei, moldando as expectativas sobre o que constitui medidas "adequadas" para sistemas de IA.

Paralelamente às medidas específicas de IA, a regulamentação do setor financeiro na China continental está intensificando cada vez mais as expectativas em relação à governança de dados e modelos, impactando diretamente a implementação de IA generativa. Especificamente:

a) Os requisitos de segurança de dados e governança do ciclo de vida estão sendo reforçados. O Banco Popular da China, em 1º de maio de 2025, publicou o "Método de Gestão da Segurança de Dados no Âmbito das Operações do Banco Popular da China", exigindo que instituições financeiras implementem classificação e níveis de dados, estabeleçam e atualizem periodicamente listas de dados, identifiquem dados pessoais, sensíveis e importantes, atribuam responsabilidades internas e adotem medidas de gestão de segurança de dados em todo o ciclo de vida; e

b) A governança de modelos e a regulamentação centralizada estão se tornando prioridades regulatórias. O Governo Nacional de Supervisão Financeira emitiu, em dezembro de 2025, o "Plano de Implementação para o Desenvolvimento de Alta Qualidade da Finança Digital no Setor Bancário e de Seguros", incentivando as instituições a construírem plataformas corporativas de IA e gestão de modelos para apoiar o desenvolvimento, implantação e monitoramento centralizados de modelos.

Em geral, essas tendências regulatórias indicam que a aplicação de IA no setor financeiro é cada vez mais esperada com governança baseada em modelos de ciclo de vida estruturados, pontos claros de intervenção humana e regulamentação reforçada de fornecedores e prestadores de tecnologia terceirizados. Assim, a conformidade com IA na China continental está se alinhando às normas estabelecidas de controle do setor financeiro, enfatizando cada vez mais a maturidade da governança, a qualidade da documentação e a prontidão regulatória.

Desenvolvimentos recentes indicam que a China continental está aprofundando a implementação da regulamentação de IA. Conceitos macro como segurança, transparência e uso responsável de dados ainda são importantes, mas a pressão regulatória está cada vez mais concentrada em como as instituições registram, provam e operacionalizam esses conceitos na prática.

Para instituições financeiras, a adoção de IA na China continental deve ser acompanhada por governança estruturada, controle de ciclo de vida e registros defensíveis. Instituições financeiras que incorporam desde o início análise de registro, governança de dados, avaliação de segurança, gerenciamento de riscos de modelo e supervisão de fornecedores no design e operação de sistemas de IA terão maior capacidade de expandir responsavelmente a escala da aplicação de IA.

Perspectiva global: Monitoramento, concentração e dependência

Além de Hong Kong e da China continental, o Relatório do Conselho de Estabilidade Financeira de outubro de 2025, “Monitoramento da Aplicação da IA no Setor Financeiro e Vulnerabilidades Associadas” [9], enfatiza que a IA no setor financeiro não é apenas um problema comportamental ou técnico, mas também uma questão de estabilidade financeira. O relatório destaca especialmente o ritmo acelerado do desenvolvimento de modelos de IA, a crescente dependência de provedores terceirizados e as cadeias de suprimento em constante evolução, bem como a necessidade das autoridades de monitorar aplicações, preencher lacunas de dados e compreender vulnerabilidades relacionadas à dependência e ao risco de concentração de terceiros. As implicações para as instituições são que a governança da IA deve ir além de políticas éticas e documentação de modelos, abrangendo também terceirização, resiliência operacional e riscos do ecossistema. Por exemplo: dependência de poucos provedores de modelos básicos, plataformas em nuvem, fornecedores de dados e camadas de integração de IA; visibilidade limitada sobre as fontes dos dados de treinamento e os ciclos de atualização dos modelos; e o risco de interrupção de um único fornecedor, alterações no modelo ou eventos de segurança afetarem simultaneamente várias instituições.

A atenção regulatória pode se estender da saída de um único modelo para um ambiente de controle mais amplo, incluindo contratos e direitos de auditoria, gerenciamento de mudanças e controle de lançamento, continuidade de negócios e planejamento alternativo, portabilidade de dados, notificação de eventos e monitoramento contínuo do desempenho e da exposição à concentração de terceiros.

Impacto prático sobre instituições financeiras

O cenário regulatório atual não gerou uma lista única e universal. As expectativas legais e regulatórias variarão conforme a indústria, o modelo de negócios, os casos de uso, a presença operacional e o design de implantação. Mesmo assim, desenvolvimentos recentes apontam para uma agenda prática que muitas instituições financeiras agora devem considerar.

1. (Governaça e Supervisão) O conselho e a alta administração devem garantir a implementação de responsabilidade clara, caminhos de relatório e estrutura de aprovação para casos de uso significativos de IA;
2. (Evaluação de casos de uso) As instituições devem garantir que os casos de uso de maior impacto recebam revisões aprimoradas de legalidade, conformidade, risco de modelo e tecnologia;
3. (Dados e privacidade) Os fluxos de trabalho de prompts, recuperação e treinamento devem ser revisados em conjunto com as obrigações mais amplas de governança de dados e confidencialidade;
4. (Transparência e processamento de saída) As instituições devem revisar se as divulgações aos clientes, orientações aos funcionários, marcação de saídas e processos de controle de qualidade são adequados;
5. (Riscos de terceiros e terceirização) A due diligence dos fornecedores, o controle contratual, o planejamento de alternativas e o monitoramento contínuo devem ser fortalecidos; e
6. (Testes, monitoramento e relato de eventos) Os agendamentos de testes, registro, monitoramento de modelos e relato de eventos devem ser proporcionais aos casos de uso.

A implementação única de IA generativa pode envolver diversos aspectos, como dados pessoais, sigilo bancário, propriedade intelectual, comunicação com clientes, validação de modelos, resiliência operacional, terceirização e armazenamento de registros. Por isso, geralmente não é suficiente delegar essas questões a uma única equipe de inovação ou tecnologia.

A supervisão humana também é crucial. Para casos de uso de maior risco, mencionar genericamente “ciclo de participação humana” pode não ser convincente, a menos que a instituição especifique quando a revisão é necessária, quem é responsável pela revisão, o que os revisores devem verificar, como a revisão é documentada e quando acionar uma suspensão ou interrupção.

Observação das práticas de governança de IA em instituições financeiras globais

Com base em uma revisão seletiva e não exaustiva das práticas de governança de IA de determinadas instituições financeiras globais, fazemos as seguintes observações gerais. Observe que essas observações são de alto nível e ilustrativas. Não existe um método universal para a governança de IA; o quadro de cada instituição financeira geralmente reflete uma combinação de fatores, incluindo regulamentações e expectativas regulatórias aplicáveis na jurisdição relevante, estrutura organizacional, preferência por risco, estágio de maturidade tecnológica e natureza dos casos de uso de IA.

Está-se formando uma estrutura de governança em três níveis: muitas instituições adotam o modelo de "três linhas de defesa/três níveis" personalizado para IA. No nível operacional, os casos de uso de IA são geralmente propostos e desenvolvidos de forma descentralizada por diversos departamentos de negócios. No nível intermediário, as instituições geralmente estabelecem comitês interfuncionais (como o Comitê de Governança de IA ou o Conselho de IA Responsável), compostos por representantes sênior das equipes de risco, conformidade, dados, tecnologia e negócios, responsáveis por revisar, aprovar e monitorar os casos de uso de IA. No nível mais elevado, o conselho ou um comitê de nível conselho (geralmente um comitê existente de risco ou tecnologia, e não um novo comitê de nível conselho dedicado à IA) mantém a supervisão final sobre a estratégia, os riscos e a governança da IA.

As instituições geralmente não tratam a governança de IA como um framework independente: em vez disso, a IA é frequentemente integrada às estruturas de governança existentes, especialmente aos frameworks de gestão de risco de modelo, risco operacional, governança tecnológica e governança de dados. Muitas instituições consideram modelos de IA como uma extensão do framework de risco de modelo, submetendo-os a processos de validação, monitoramento e revisão periódica semelhantes aos dos modelos tradicionais, enquanto ajustam esses processos para lidar com riscos específicos da IA, como explicabilidade, viés e deriva do modelo.

Grande ênfase nos princípios internos de "IA responsável": muitas instituições estabeleceram princípios ou padrões internos de governança de IA como requisitos básicos para todos os casos de uso de IA. Embora os termos variem, esses princípios geralmente convergem em torno dos seguintes temas comuns:

• Equidade e evitação de resultados enviesados ou discriminatórios;
• Transparência e explicabilidade das saídas e limitações do modelo;
• Governação de dados, confidencialidade e proteção de privacidade; e
• Testing contínuo, monitoramento e validação do desempenho do modelo.

Esses princípios estão sendo cada vez mais operacionalizados por meio de políticas internas, estruturas de controle e fluxos de aprovação, em vez de permanecerem apenas em declarações meramente declarativas.

A governança interfuncional é uma característica central: a governança de IA raramente se limita a uma única função. As organizações geralmente envolvem múltiplos stakeholders das equipes de dados, tecnologia, jurídico, conformidade, risco e negócios. Comitês especializados de governança de IA ou centros de excelência são comumente utilizados para coordenar essas funções, estabelecer padrões comuns e garantir consistência entre os casos de uso. Em algumas organizações, uma função centralizada de IA define políticas e ferramentas para todo o grupo, enquanto os departamentos de negócios mantêm a responsabilidade pela implementação.

O comitê de aprovação por caso de uso não segue uma prática padronizada: embora algumas instituições tenham estabelecido comitês formais para aprovar casos de uso individuais de IA, outras dependem de processos de aprovação existentes (como comitês de risco de modelo ou fóruns de mudança tecnológica). Em grandes instituições globais, há geralmente uma tendência de integrar a IA à infraestrutura de governança existente, em vez de criar novas entidades de aprovação, refletindo a ideia de que os riscos da IA devem ser gerenciados como parte de um quadro mais amplo de riscos corporativos.

A governança do ciclo de vida está recebendo cada vez mais atenção: a governança de IA não se limita à aprovação inicial. As instituições estão dando mais ênfase ao controle de ponta a ponta do ciclo de vida, incluindo:

• Classificação de casos e níveis de risco;
• Teste e validação antes da implantação;
• Monitoramento contínuo de desempenho e detecção de deriva;
• Limiares claros de intervenção humana e relato; e
• Processos regulares de revisão, re-treinamento e aposentadoria.

Isso reflete uma transição mais ampla do controle estático para a supervisão contínua.

A supervisão humana ainda é o mecanismo de controle central: as instituições reconhecem amplamente que a supervisão humana é essencial, especialmente para casos de uso de maior risco. No entanto, frameworks mais maduros já ultrapassaram o conceito genérico de "ciclo de participação humana", buscando definir com mais precisão quando a revisão é necessária, quem é responsável por realizá-la, quais padrões devem ser aplicados e como documentar e provar essas ações.

A governança de dados e a explicabilidade dos modelos são áreas de prioridade: as instituições enfatizam universalmente os desafios relacionados à qualidade, origem e controle de acesso aos dados, bem como à explicabilidade de modelos complexos. Esses aspectos são frequentemente considerados questões centrais de governança, e não meramente considerações técnicas, especialmente em ambientes de serviços financeiros regulamentados, onde a explicabilidade e a auditabilidade estão intimamente ligadas às expectativas regulatórias.

O quadro de governança evolui continuamente com os casos de uso e as expectativas regulatórias: a maioria das instituições ainda está iterando seus quadros de governança de IA. À medida que os casos de uso de IA se expandem — especialmente nos campos de interação com clientes, suporte à decisão e gestão de riscos — os quadros de governança estão sendo aprimorados para enfrentar novos riscos, desenvolvimentos regulatórios e lições operacionais. Portanto, a governança de IA deve ser vista como uma disciplina dinâmica e em constante evolução, e não como um quadro fixo.

Em geral, essas observações indicam que o mundo está convergindo para quadros de governança da IA integrados, baseados em princípios e orientados pelo ciclo de vida, que se fundamentam nas infraestruturas existentes de risco e controle, mas que se adaptam cada vez mais para enfrentar as características e riscos únicos dos sistemas de IA.

Neste artigo, "Hong Kong" refere-se à Região Administrativa Especial de Hong Kong da República Popular da China.