EU AI Act: O que muda para quem desenvolve agentes de IA

Em 7 de maio de 2026, o Conselho Europeu e o Parlamento aprovaram o omnibus do EU AI Act, adiando o prazo para sistemas de alto risco de agosto de 2026 para dezembro de 2027 (+16 meses). O prazo original de 2 de agosto era o mais citado — e agora não é mais verdade. Mas as obrigações permanecem. Empresas que operam agentes de IA em decisões que afetam pessoas — crédito, saúde, emprego, segurança — continuam sujeitas às exigências do Art. 9 ao 15, apenas com mais tempo para implementar.

O que é considerado "alto risco"?

O Anexo III do EU AI Act lista os sistemas de alto risco. Agentes de IA que operam em:

• Infraestrutura crítica (energia, água, transporte)
• Concessão de crédito ou seguro
• Recrutamento e seleção de candidatos
• Serviços públicos essenciais
• Aplicação da lei e controle de fronteiras

…são automaticamente classificados como alto risco e precisam cumprir as exigências do Art. 9 ao 15.

As obrigações concretas

Para sistemas de alto risco, o EU AI Act exige:

• Sistema de gestão de qualidade (Art. 9): processos documentados de desenvolvimento, teste e monitoramento contínuo
• Documentação técnica (Art. 11): descrição do sistema, dados de treinamento, arquitetura, medidas de segurança
• Registro e logging (Art. 12): o sistema deve manter logs automáticos que permitam rastrear o funcionamento ao longo do ciclo de vida
• Transparência (Art. 13): os deployers devem receber informações suficientes para entender as capacidades e limitações do sistema
• Supervisão humana (Art. 14): o sistema deve ser projetado para permitir intervenção humana eficaz
• Avaliação de conformidade (Art. 43): antes de colocar no mercado
• Registro na base de dados europeia (Art. 49)

Por que logs comuns não bastam

O Art. 12 especifica que os logs devem permitir "monitoramento do funcionamento do sistema de IA durante o ciclo de vida". Um banco de dados append-only não é suficiente — qualquer administrador com acesso pode alterar registros retroativamente.

O X-Ledger da Orka usa cadeias de hashes SHA-256 onde cada entrada referencia criptograficamente a anterior. Qualquer adulteração quebra a cadeia matematicamente — verificável por qualquer auditor sem precisar confiar no operador do sistema.

Como classificar seus agentes

No dashboard da Orka, cada agente tem um campo eu_risk_classification com as categorias do EU AI Act:

• UNACCEPTABLE: Proibido. Use para identificar sistemas a desligar.
• HIGH: Exige compliance completo com Art. 9-15.
• LIMITED: Obrigações de transparência (Art. 50).
• MINIMAL: Sem obrigações mandatórias.

O endpoint GET /compliance/euaiact gera um relatório estruturado com status de conformidade, obrigações por agente e integridade da cadeia de auditoria — pronto para submissão a uma DPA.