Desafios da Governança de IA Agencial sob a Lei de IA da UE de 2026

Com a entrada em vigor das disposições da Lei de IA da UE em agosto de 2025 — e com as obrigações de conformidade total se estendendo até 2026 — um novo e complexo problema está surgindo para os líderes de tecnologia na Europa e em outros continentes. Os sistemas de IA agéticos, que executam tarefas complexas de forma autônoma em ambientes corporativos, estão expondo profundas lacunas de governança que as estruturas de conformidade existentes nunca foram projetadas para abordar.

As consequências são enormes. Organizações que implementam esses agentes autônomos podem enfrentar multas de até € 35 milhões ou 7% do faturamento anual global pelas violações mais graves. E a realidade incômoda é que muitas empresas atualmente não têm uma maneira confiável de explicar o que seus agentes de IA estão fazendo, muito menos de provar que essas ações são legais.

O que está impulsionando a crise de governança?

Ao contrário dos modelos tradicionais de IA que respondem a um único comando e produzem uma única saída, os sistemas de IA com agentes operam com um grau de independência que altera fundamentalmente o cálculo de risco. Esses agentes podem mover dados entre plataformas, iniciar transações, comunicar-se com APIs externas e encadear sequências de decisões — frequentemente com supervisão humana mínima em cada etapa.

Essa autonomia é precisamente o que as torna valiosas. Empresas como Salesforce, Microsoft e Google fizeram apostas significativas em arquiteturas de agentes nos últimos dezoito meses. A plataforma Agentforce da Salesforce, os agentes Copilot da Microsoft e os agentes de IA Vertex do Google prometem automatizar fluxos de trabalho empresariais complexos que antes exigiam intervenção humana em todas as etapas.

Mas eis o desafio de governança: quando um agente toma uma decisão importante — por exemplo, rejeitar um pedido de indenização de seguro, priorizar os dados médicos de um paciente ou sinalizar um funcionário para avaliação de desempenho — a organização que o implementou precisa de um registro completo de auditoria. Quem autorizou o escopo de ação do agente? Quais dados embasaram a decisão? Houve supervisão humana significativa? De acordo com os requisitos da Lei de IA da UE para sistemas de alto risco, essas perguntas não são opcionais. Elas são legalmente obrigatórias.

Por que a Lei de IA da UE torna isso urgente

A Lei de IA da UE categoriza as aplicações de IA em níveis de risco, e as obrigações mais rigorosas recaem sobre os casos de uso de alto risco — incluindo decisões de emprego, avaliação de crédito, aplicação da lei, gestão de migração e infraestrutura crítica. Para uma compreensão mais aprofundada dessas categorias, consulte nossa visão geral de 5 Arquiteturas de Computação de IA que Todo Engenheiro Deve Conhecer em 2025 .

Eis o que as organizações que implementam sistemas de agentes nesses domínios devem demonstrar:

• Rastreabilidade: Registro completo das ações, entradas e saídas do agente ao longo de todo o seu ciclo de vida operacional.
• Supervisão humana: Mecanismos que permitem que indivíduos qualificados intervenham, anulem ou desliguem o sistema a qualquer momento.
• Gestão de riscos: Avaliação contínua de como o comportamento autônomo do agente pode produzir resultados prejudiciais ou discriminatórios.
• Transparência: Documentação clara que permite aos reguladores e às pessoas afetadas compreender como as decisões foram tomadas.

O problema é que muitas implementações de IA com agentes confundem as linhas de responsabilidade. Quando um agente orquestra ações em vários sistemas — extraindo dados de um banco de dados, executando inferências em outro modelo e enviando um resultado para um terceiro aplicativo — a cadeia de decisão torna-se opaca. Mesmo os engenheiros que construíram o sistema podem ter dificuldade em reconstruir a lógica precisa por trás de um resultado específico.

A lacuna de responsabilidade que os líderes precisam preencher.

Os líderes empresariais têm a responsabilidade final pelos sistemas que implementam, independentemente do grau de autonomia que esses sistemas alcancem. Este é um princípio que a Lei de IA da UE reforça explicitamente. Os responsáveis pela implementação de sistemas de IA de alto risco — e não apenas os desenvolvedores — têm obrigações substanciais de conformidade.

No entanto, uma pesquisa da McKinsey do início de 2025 constatou que, embora 72% das organizações tivessem adotado alguma forma de IA em suas operações, menos da metade havia implementado estruturas formais de governança para essas implementações. Para sistemas de agentes especificamente, a lacuna provavelmente é ainda maior, visto que muitas empresas ainda estão em fases de teste e tratam a governança como um problema a ser resolvido posteriormente.

Essa abordagem está se tornando rapidamente insustentável. Analistas do setor alertam que as organizações precisam tratar a governança de agentes de IA com o mesmo rigor que aplicam aos controles financeiros ou à proteção de dados sob o GDPR. Se você não pode auditar, não pode defender — e os órgãos reguladores eventualmente virão cobrar.

O que dizem os especialistas

Diversas vozes proeminentes na política de IA têm apontado os sistemas de agentes como um ponto cego regulatório. Pesquisadores do Instituto Ada Lovelace argumentam que as estruturas de governança de IA existentes pressupõem uma relação relativamente estática entre entrada e saída — uma premissa que se desfaz quando os agentes encadeiam múltiplas decisões autônomas ao longo do tempo.

A Gartner, por sua vez, previu no final de 2024 que, até 2028, pelo menos 15% das decisões empresariais diárias seriam tomadas autonomamente por agentes de IA — um aumento significativo em relação a praticamente zero em 2023. Essa trajetória sugere que o problema de governança só se intensificará à medida que a implementação se expandir.

Para os líderes de TI, a mensagem é clara: esperar que as diretrizes regulatórias se tornem prescritivas antes de agir é uma estratégia fadada ao fracasso. A Lei de IA da UE estabelece amplas obrigações, e caberá às organizações demonstrar que as cumpriram por meio de práticas de governança documentadas e defensáveis. Os interessados em construir programas robustos de supervisão de IA devem explorar nosso guia sobre o Microsoft Open-Source Toolkit Secures AI Agents at Runtime (Kit de Ferramentas de Código Aberto da Microsoft Protege Agentes de IA em Tempo de Execução ).

O que acontece a seguir?

Diversos desenvolvimentos merecem atenção especial durante o restante de 2025 e em 2026:

1. Documentos de orientação regulamentar: O Gabinete Europeu de IA deverá publicar orientações detalhadas sobre a conformidade em situações de alto risco, que poderão abordar especificamente sistemas multiagentes e agentes.
2. Recursos de responsabilização do fornecedor: É provável que os principais provedores de nuvem lancem recursos aprimorados de registro, explicabilidade e controle para suas plataformas de agentes, à medida que a pressão por conformidade aumenta.
3. Mudanças nos seguros e na responsabilidade civil: espere o surgimento de produtos de seguro de responsabilidade civil específicos para IA, à medida que as empresas buscam transferir parte do risco regulatório associado aos sistemas autônomos.
4. Tensões transfronteiriças em matéria de fiscalização: Empresas com sede fora da UE, mas que prestam serviços a clientes europeus, enfrentarão questões jurisdicionais complexas sobre como a governança de agentes se aplica às suas operações.

Conclusão

A IA agética representa uma das mudanças mais significativas na tecnologia empresarial desde o surgimento da computação em nuvem. Mas a mesma autonomia que torna esses sistemas poderosos também os torna difíceis de governar — e o cronograma de implementação da Lei de IA da UE não deixa espaço para complacência.

Líderes que tratam a governança como uma reflexão tardia correm o risco não apenas de sofrer penalidades regulatórias, mas também de perder a confiança de clientes, funcionários e parceiros. As organizações que prosperarão sob essas novas regras serão aquelas que incorporarem a responsabilidade em seus sistemas de atuação desde a base, em vez de adaptá-la posteriormente, após uma crise de conformidade que as obrigue a agir dessa forma.