AI Act Destaques Legislação

AI Act: Sumário Executivo — Regulação da Inteligência Artificial e Impacto na Cibersegurança

17 horas ago
Ciberseguranca.PT

O AI Act (Regulamento da IA) é o primeiro quadro legal abrangente do mundo para a regulação de sistemas de inteligência artificial. Aprovado pela União Europeia em 2024, classifica os sistemas de IA por nível de risco e impõe obrigações proporcionais a fornecedores, operadores e utilizadores. Para as organizações de cibersegurança, o AI Act é duplamente relevante: como regulamento a cumprir quando se utilizam ou desenvolvem sistemas de IA, e como novo vetor de risco — a IA está a transformar tanto as capacidades de ataque como as de defesa.

O que é o AI Act

O Regulamento (UE) 2024/1689 — AI Act — foi publicado em julho de 2024 e entrou em vigor em agosto de 2024, com uma aplicação faseada que se estende até agosto de 2026. É o primeiro regulamento horizontal de IA do mundo, aplicando-se a sistemas de IA desenvolvidos, comercializados ou utilizados na UE, independentemente de onde se encontra o fornecedor. A supervisão em Portugal caberá ao CNCS e à CNPD, consoante o domínio de aplicação.

A quem se aplica

PapelDefiniçãoObrigações principais
FornecedorQuem desenvolve ou coloca no mercado da UE um sistema de IA com o seu próprio nome ou marcaConformidade por design, marcação CE, registo em base de dados UE, documentação técnica
Operador (deployer)Organização ou pessoa que utiliza um sistema de IA no contexto profissionalMonitorização do uso, avaliações de impacto, transparência com utilizadores afetados
ImportadorEmpresa que coloca no mercado da UE sistemas de IA de fornecedores de países terceirosVerificar conformidade do fornecedor, manter documentação
DistribuidorEmpresa da cadeia de distribuição que disponibiliza sistemas de IA no mercado da UEVerificar marcação CE e documentação

Classificação por nível de risco

  • Risco inaceitável (proibido) — Sistemas de IA que representam ameaça clara aos direitos fundamentais: manipulação subliminar, pontuação social por autoridades públicas, identificação biométrica em tempo real em espaços públicos (com exceções), sistemas que exploram vulnerabilidades de grupos específicos.
  • Risco elevado — Sistemas de IA em domínios críticos: infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, gestão de fronteiras, administração da justiça. Obrigações rigorosas de conformidade, incluindo avaliação de conformidade, registo, transparência e supervisão humana.
  • Risco limitado — Chatbots, sistemas de geração de conteúdos. Obrigação principal: transparência — os utilizadores devem saber que estão a interagir com IA.
  • Risco mínimo — A maioria dos sistemas de IA (filtros de spam, IA em videojogos). Sem obrigações específicas, mas incentivo a códigos de conduta voluntários.

Impacto na cibersegurança

  • Sistemas de detecção de ameaças com IA — Os sistemas de SIEM, EDR e SOAR que utilizam IA para detetar ameaças devem ser avaliados quanto ao nível de risco; se classificados como risco elevado, ficam sujeitos a obrigações de conformidade.
  • IA generativa (modelos de uso geral) — Os grandes modelos de linguagem (LLMs) estão sujeitos a obrigações específicas de transparência, política de uso aceitável e avaliação de riscos sistémicos (para modelos com capacidade computacional acima de 10^25 FLOPs).
  • IA em ciberataques — O AI Act não regula diretamente o uso malicioso da IA, mas os sistemas de IA usados para fins de cibersegurança ofensiva não autorizada são ilegais ao abrigo de outros instrumentos legais.
  • Avaliações de impacto — Operadores de sistemas de IA de risco elevado devem realizar avaliações de impacto sobre direitos fundamentais antes da implementação.

Calendário de aplicação

DataMarco
Fevereiro 2025Proibições de sistemas de IA de risco inaceitável tornam-se aplicáveis
Agosto 2025Obrigações para modelos de IA de uso geral (GPAI) tornam-se aplicáveis
Agosto 2026Maioria das obrigações do AI Act plenamente aplicáveis, incluindo sistemas de IA de risco elevado
Agosto 2027Aplicação a sistemas de IA de risco elevado embutidos em produtos regulados por outra legislação

Estado atual

O AI Act está em vigor e a sua aplicação é faseada até 2027. O Gabinete de IA Europeu (AI Office), criado no âmbito da Comissão Europeia, é o principal supervisor dos modelos de IA de uso geral. Em Portugal, o CNCS e a CNPD estão a preparar-se para os papéis de supervisão. As organizações devem iniciar já o mapeamento dos sistemas de IA que utilizam ou desenvolvem, classificando-os por nível de risco.

Recursos úteis

  • AI Office (Comissão Europeia) — Gabinete de IA Europeu: supervisão dos modelos de IA de uso geral e orientações de conformidade
  • ENISA — Orientações sobre cibersegurança de sistemas de IA e intersecção AI Act/NIS2
  • CNPD — Orientações sobre RGPD e IA; papel de autoridade de supervisão em Portugal
  • Regulamento (UE) 2024/1689 — Texto oficial do AI Act no EUR-Lex

Related Posts

Destaques Legislação

Incidentes de Cibersegurança: Sumário Executivo — Resposta, notificação e recuperação

16 horas ago
Jose Santos
Destaques Legislação Threat Intelligence

Threat Intelligence: Sumário Executivo — Conhecer o adversário para antecipar ataques

16 horas ago
Jose Santos
Destaques Legislação Vulnerabilidades & CVEs

Vulnerabilidades & CVEs: Sumário Executivo — Gestão e mitigação de vulnerabilidades

16 horas ago
Jose Santos
Destaques Legislação Phishing & Engenharia Social

Phishing & Engenharia Social: Sumário Executivo — Como reconhecer e resistir

16 horas ago
Jose Santos