AI Act europeu vira caça-multas em 2 de agosto: até 3% do faturamento ou €15 milhões para provedores de modelos GPAI

Resumo: a partir de 2 de agosto de 2026, a Comissão Europeia e o AI Office podem, pela primeira vez, aplicar multas do AI Act aos provedores de modelos de propósito geral (GPAI). O teto sobe para 3% do faturamento global anual ou €15 milhões — o que for maior — sob o artigo 101. As obrigações materiais para GPAI estão em vigor desde agosto de 2025; o que muda agora é o interruptor da fiscalização, com poderes para exigir documentação, executar avaliações técnicas, restringir a distribuição e retirar modelos do mercado europeu.

O que vira exigível na próxima semana

O AI Act criou uma trilha específica para provedores de GPAI — modelos treinados em bases massivas, capazes de tarefas gerais, que servem de fundação para produtos downstream. As obrigações passam por três blocos: transparência (documentação técnica, sumário do treinamento, política de direitos autorais), segurança e mitigação sistêmica para modelos considerados de risco sistêmico (aqueles acima de 10^25 FLOPs, com registro obrigatório junto à Comissão), e cooperação com autoridades, incluindo entrega de artefatos, acesso ao modelo para testes e resposta a solicitações formais em prazo definido.

O que estava mudando desde agosto de 2025 era o cronograma: os deveres já valiam, mas Bruxelas se comprometeu a não abrir procedimentos sancionatórios durante os primeiros doze meses, período usado para estabilizar o Code of Practice for General-Purpose AI e as diretrizes do AI Office. Esse período de graça termina em 2 de agosto — daí a corrida das últimas semanas por parte das grandes labs para atualizar model cards, publicar sumários de treinamento e revisar contratos com autoridades europeias.

Como as multas funcionam na prática

O Artigo 101 dá ao AI Office competência exclusiva para punir provedores de GPAI. O limite geral é o maior dos dois: 3% do faturamento global do ano anterior ou €15 milhões. Multas por informações falsas, incompletas ou enganosas em resposta a pedidos oficiais têm teto próprio — até 1% do faturamento ou €7,5 milhões. E há penalidades diárias progressivas para forçar cumprimento de decisões, algo que já apareceu em antitruste europeu.

Antes de multar, o AI Office passa por etapas escalonadas: pedido de documentação, avaliação técnica do modelo (potencialmente com red team externo), notificação de descumprimento com prazo para correção, e — se persistir — restrição, recall ou banimento do mercado europeu. Multas ficam para os casos em que essas etapas falham ou em que houve má-fé documentada.

Por que importa (e o que muda no Brasil)

Para empresas brasileiras que usam modelos de fronteira via API, o efeito é indireto mas real. Provedores como OpenAI, Anthropic, Google e Meta vão apertar cláusulas contratuais de propósito de uso, exigir mais telemetria e restringir automações que antes eram silenciosas — tudo para manter argumentos defensáveis diante do AI Office. Em serviços SaaS de IA, a fatura pode subir e algumas features vão passar a exigir opt-in explícito.

Do outro lado, o AI Act cria uma bússola inevitável para o PL 2338/2023 e para o desenho de fiscalização da ANPD sob o SIA: quem já se organiza para atender Bruxelas terá vida mais fácil quando os artigos brasileiros começarem a exigir Avaliação de Impacto Algorítmico obrigatória. Isto é: o custo de compliance corta mais fundo em quem vende, mas oferece um template maduro que provavelmente vai ser reciclado pelo regulador brasileiro.

Riscos e limitações

O primeiro risco é operacional. O AI Office ainda tem uma equipe pequena e a estrutura de auditoria técnica externa não está pronta em escala — o que abre espaço para enforcement seletivo, focado nos grandes provedores americanos e chineses, e menos pressão sobre modelos europeus ou open weights menores. O segundo é jurídico: o próprio conceito de “risco sistêmico” depende de um limiar em FLOPs que pode ficar defasado à medida que arquiteturas mudam.

Há também a questão do chilling effect. Startups de IA sediadas fora da Europa podem simplesmente deixar de disponibilizar modelos experimentais no bloco, como já aconteceu com produtos individuais nos últimos meses. Em outra frente, provedores de modelos abertos temem que a documentação exigida vaze detalhes competitivos — daí a briga em torno do training data summary, que ainda precisa ser refinado.

Forças

  • Regime jurídico maduro e previsível.
  • Reforça posição da UE como referência regulatória global.
  • Estimula ecossistema europeu de auditoria e compliance de IA.

Fraquezas

  • AI Office subdimensionado para volume esperado.
  • Definição de risco sistêmico presa a limiar em FLOPs.
  • Custo alto para provedores pequenos e open weights.

Oportunidades

  • Consultorias, big four e escritórios ganham nova linha de receita.
  • Modelo europeu vira template para Brasil, Reino Unido e Coreia.
  • Empresas com compliance forte se destacam em concorrências públicas.

Ameaças

  • Fragmentação regulatória global.
  • Grandes labs restringem features na UE.
  • Pressão inflacionária no preço de APIs de IA para clientes europeus.

O que muda no dia a dia de quem usa IA

Para o time jurídico da sua empresa, três frentes práticas: (1) atualizar o inventário de sistemas de IA em uso, distinguindo GPAI de sistemas de alto risco; (2) revisar os contratos com provedores de modelos e checar se novas cláusulas de compliance foram enviadas; (3) preparar um procedimento interno para pedidos de informação — se algum provedor solicitar dados de uso para responder ao AI Office, a resposta precisa ser rápida.

Para o time de produto e engenharia, o recado é começar a exigir do fornecedor uma model card atualizada, com sumário do treinamento e política de direitos autorais compatível com a Diretiva 2019/790. Se você desenvolve um sistema em cima de modelo de fronteira, mantenha logs de prompt-e-resposta e a base de fine-tuning organizada — isso vira o seu material de defesa caso a fiscalização suba a cadeia até você.

Conclusão prática

2 de agosto de 2026 não é o “dia da chegada” do AI Act — é o dia em que as consequências deixam de ser hipotéticas. Provedores globais têm 15 dias para arrumar a documentação; empresas que consomem esses modelos têm o mesmo prazo para revisar contratos e alinhar seu inventário. Para quem opera dos dois lados do Atlântico, a nova fase é menos sobre discutir se a regulação é boa e mais sobre montar o processo de resposta antes que o primeiro pedido oficial bata na porta.

Fonte: Comissão Europeia — AI Act e EU AI Act — Code of Practice for GPAI.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

GhostApproval, Friendly Fire e HalluSquatting: a nova safra de ataques contra agentes de IA e como a cadeia de dev se blindou em julho

GhostApproval, Friendly Fire e HalluSquatting: três ataques novos contra agentes de IA — patches, riscos…

3 horas ago

Sanofi renova aposta com Owkin: cinco anos, K Pro e agentes de IA para reengenharia farmacêutica de ponta a ponta

Sanofi renova parceria com a Owkin por cinco anos, licenciando o K Pro para desenvolver…

3 horas ago

Kimi K3: Moonshot AI abre modelo de 2,8 trilhões de parâmetros e destrona Claude Fable 5 no Frontend Code Arena

Moonshot AI lança Kimi K3 com 2,8T parâmetros MoE, 1M de contexto, Kimi Delta Attention…

3 horas ago

CISA inclui duas falhas críticas no FortiSandbox (CVE-2026-39808 e CVE-2026-25089) no catálogo KEV; prazo para federais é 19/07

CISA adicionou ao KEV duas vulnerabilidades críticas (CVSS 9.1) no FortiSandbox com exploração ativa. Uma…

23 horas ago

Ciberataque à Nichirei paralisa cadeia frigorificada do Japão e desabastece 1.300 restaurantes do KFC

Invasão a servidores da maior operadora de logística refrigerada do Japão causou desabastecimento em mais…

23 horas ago