Log in
Sign up
Sumi-e ink wash painting of a traditional Japanese shoji screen door, half open, representing AI oversight modes

Sections

Human-in-the-Loop vs Human-on-the-Loop: guia de supervisão da IA

O essencial

  • Human-in-the-loop (HITL) suspende a execução do sistema de IA até que uma pessoa valide o passo seguinte. Human-on-the-loop (HOTL) deixa a IA agir e confere a um supervisor a capacidade de observar, intervir e interromper. Human-out-of-the-loop (HOOTL) retira qualquer presença humana do caminho de execução.
  • Os três rótulos não nasceram na aprendizagem automática. Vieram de um relatório da Human Rights Watch publicado em 2012 sobre sistemas de armas autónomas e foram codificados pouco depois na Directiva 3000.09 do Departamento de Defesa dos Estados Unidos.
  • O Regulamento europeu da IA não impõe nenhum destes modos. O artigo 14.º, n.º 3, exige que as medidas de supervisão sejam proporcionais aos riscos, ao nível de autonomia e ao contexto de utilização do sistema. É uma moldura, não uma imposição.
  • A escolha sólida assenta em sete eixos: orçamento de latência, reversibilidade da decisão, criticidade, tecto de autonomia, plano de recuo, granularidade de auditoria e nível de risco regulamentar. Deve adoptar-se a coluna mais à direita (a mais autónoma) que satisfaça as sete linhas, nunca a que minimize o esforço de engenharia.
  • Uma pessoa ao lado de um ecrã não constitui supervisão. Sem poder de invalidação, sem formação, sem taxa de override aferida, está-se perante o que a doutrina chama hoje um corpo quente no loop, uma postura de conformidade que cede ao primeiro auditor.

De onde vêm os termos (e porque a maioria dos artigos se engana)

A tricotomia in/on/out-of-the-loop não é uma invenção da aprendizagem automática. Foi cristalizada por Bonnie Docherty num relatório da Human Rights Watch publicado em 2012 sobre sistemas de armas autónomas, e adoptada logo depois pela Directiva DoD 3000.09 (publicada em 2012 e revista em 2023), que define os três modos operativos e exige aos comandantes a conservação de um nível adequado de julgamento humano sobre o emprego da força.

O vocabulário migrou para a aprendizagem automática civil entre 2018 e 2020, quando as plataformas MLOps precisaram de uma abreviatura para descrever filas de anotação e filas de excepção. Os blogues de fornecedores incorporaram os termos. Quando a IA agentiva se tornou o tema dominante em 2025, os rótulos estavam por toda a parte e raramente referenciados à fonte.

A filiação importa por duas razões. Em primeiro lugar, porque a taxonomia original lidava com decisões de cadeia de fogo, em que cada erro custa vidas humanas: transferir o vocabulário para uma fila de moderação sem o reconhecer esvazia as palavras. Em segundo, porque o legislador norte-americano já deu um passo: o National Defense Authorization Act FY2025 substituiu human in the loop por positive human actions no comando nuclear, precisamente por se invocar pertencer ao loop sem acção humana substantiva.

Mantenham-se os rótulos, são úteis. Mas devem ser entendidos como escolhas de concepção, não como slogans.

Três definições, lado a lado

Human-in-the-loop (HITL)

Um sistema HITL detém-se em um ou mais pontos de decisão e não avança sem autorização humana explícita. A IA carrega o trabalho cognitivo mais pesado (ordenação, extracção, pontuação) e a pessoa cumpre a função de porteiro.

Exemplos canónicos:

  • O sistema de combate Aegis da Marinha norte-americana em modo Auto SM: o sistema prepara a cadeia de engajamento, o disparo exige uma acção humana positiva.
  • O percurso de concessão de crédito: o modelo propõe, o quadro bancário autoriza. O artigo 22.º do RGPD impõe, na prática, este desenho para toda a decisão inteiramente automatizada com efeitos jurídicos sobre uma pessoa.
  • Um radiologista que confirma uma lesão suspeita pela IA antes da entrada no processo clínico.

Força: rastreabilidade e imputabilidade sólidas. Fraqueza: o débito desaba quando um humano tem de aprovar cada chamada. O HITL deixa de ser significativo logo que a fila de validação ultrapassa a capacidade de atenção do revisor (ver a secção sobre o carimbo automático).

Human-on-the-loop (HOTL)

Um sistema HOTL executa-se de forma autónoma e expõe a sua trajetória a um supervisor que pode intervir, sobrescrever ou interromper. A pessoa situa-se no caminho de alerta, não no caminho crítico.

Exemplos canónicos:

  • Moderação de conteúdo em escala numa plataforma social: os classificadores decidem sobre milhões de publicações por hora, os moderadores tratam os encaminhamentos e auditam uma amostra.
  • Detecção de fraude em redes de cartões: as transacções são decididas em dezenas de milissegundos, os analistas trabalham a fila de excepção e afinam o modelo.
  • Telemonitorização: o algoritmo sinaliza anomalias em tempo real, a equipa clínica confirma ou despromove.

Força: escala. Fraqueza: intervenção tardia. No tempo que um humano leva para reparar numa deriva, o sistema pode ter consolidado milhares de decisões. O HOTL vive da instrumentação: registos, alertas, objectivo de latência de override, dimensionamento da fila de revisão.

Human-out-of-the-loop (HOOTL) e Human-in-Command (HIC)

HOOTL significa que, em tempo de execução, nenhum humano participa. O designer fixou os parâmetros, o sistema corre. É o único modo de autonomia plena e só é sustentável para decisões de baixo impacto e elevadíssima frequência: ordenação de recomendações dentro de uma sessão, market-making sub-milissegundo logo que as barreiras de segurança sejam codificadas.

HIC é o inverso: a pessoa permanece o principal e a IA prolonga o gesto. O piloto em piloto automático, o cirurgião na consola robótica. A diferença em relação ao HITL reside na propriedade da decisão. Em HITL, a IA propõe e a pessoa valida. Em HIC, a pessoa decide e a IA executa com precisão.

A taxonomia não é exaustiva; a literatura académica propõe níveis intermédios (Human-in-the-Process, Human-Augmented Model), mas para efeitos de governança o esquema de quatro patamares basta.

A matriz de decisão de sete eixos

A maioria dos glossários fica pelas definições. Quem coloca o sistema em produção precisa de um selector. A matriz seguinte avalia um sistema ao longo de sete eixos, cada um ligado a uma restrição concreta de governança. Lê-se cada linha, pontua-se o sistema e escolhe-se a coluna mais à direita (a mais autónoma) que respeite toda a linha.

EixoHITL adequado se…HOTL adequado se…HOOTL adequado se…
Orçamento de latênciaA decisão pode esperar segundos ou minutos (crédito, diagnóstico clínico).A decisão tem de cair em milissegundos mas uma intervenção tardia preserva valor (fraude, moderação).A decisão ocorre em microssegundos e o override é impraticável (leilão publicitário, encaminhamento de pacotes).
ReversibilidadeDificilmente ou não reversível (sentença, gesto cirúrgico, disparo).Reversível com esforço (estorno, reposição de publicação).Trivialmente reversível ou de baixo impacto (cache, ordenação).
Criticidade (tecto de dano)O pior caso afecta a segurança, os direitos fundamentais ou um prejuízo financeiro relevante.O pior caso é uma perda financeira limitada ou uma fricção sanável.O pior caso é desprezível (UX).
Tecto de autonomiaO espaço de acção é estritamente delimitado e pré-aprovado.O espaço de acção é amplo, com interruptor e guardas activos em tempo de execução.O espaço de acção é pleno no domínio; apenas a política de design o constrange.
Plano de recuoUma pessoa formada está ao serviço e pode tratar a decisão sem a IA.Existe um modo degradado (resposta em cache, política por defeito).Não se exige recuo humano; o mínimo determinístico chega.
Granularidade de auditoriaCada decisão tem de ser atribuída a um aprovador humano nomeado.Cada decisão tem de ser ligada a uma versão de modelo; o override é a trilha de auditoria.Trilhas agregadas, estatística periódica.
Nível de risco regulamentarRisco elevado segundo o anexo III do Regulamento IA, dispositivos médicos classe IIa+, artigo 22.º do RGPD para decisões plenamente automatizadas.Risco limitado segundo o Regulamento IA, códigos sectoriais, política interna.Risco mínimo segundo o Regulamento IA, governança informal.

A regra que converte a tabela em ferramenta de design: escolher a coluna mais à direita que o sistema honra em todas as linhas, nunca a de menor esforço de engenharia. Um único eixo que peça HITL arrasta o caminho decisional inteiro para a esquerda; o sistema conserva HOTL noutros troncos do fluxo.

Leitura do artigo 14.º do Regulamento IA

O artigo 14.º do Regulamento IA é a âncora jurídica do debate. O n.º 1 fixa o patamar: os sistemas de IA de risco elevado são concebidos e desenvolvidos de modo a poderem ser efectivamente fiscalizados por pessoas singulares durante o período em que sejam utilizados. O n.º 3 contextualiza a escolha: as medidas de supervisão serão proporcionais aos riscos, ao nível de autonomia e ao contexto de utilização do sistema de IA de risco elevado.

O que o artigo 14.º não diz é igualmente revelador. Não exige que um humano aprove cada decisão. Não nomeia HITL nem HOTL. Exige que o sistema permita a uma pessoa compreender, vigiar, intervir e interromper, e que essas capacidades sejam proporcionais. É um caderno de encargos de concepção, não um modo de execução.

Tradução operativa:

  • Sistemas de risco elevado (anexo III): HITL ou HOTL reforçado, com autoridade de override nomeada. O artigo 14.º, n.º 4, alínea d), exige expressamente a capacidade de decidir ... não utilizar o sistema de IA de risco elevado ou ignorar, anular ou inverter o resultado. Se a arquitectura HOTL não demonstrar que o supervisor age a tempo, o artigo 14.º não está cumprido.
  • Sistemas de risco limitado: obrigações de transparência do artigo 50.º e, no mínimo, HOTL. O supervisor não aprova cada acção, mas tem de poder observar e parar.
  • Modelos de IA de uso geral (GPAI): a supervisão desloca-se para o ciclo de vida do modelo (artigos 51.º a 55.º: documentação técnica, política de direitos de autor, síntese dos dados de treino e, no risco sistémico, avaliação adversária e notificação de incidentes). HITL e HOTL voltam ao protagonismo na camada do deployer, quando o GPAI é integrado num produto a jusante de risco elevado.
  • Sistemas proibidos (artigo 5.º): a questão do modo de supervisão não se coloca.

A CNPD e o futuro centro nacional de IA estão a precisar progressivamente a sua leitura sectorial destas obrigações. O texto de Melanie Fink em SSRN merece leitura cuidada: argumenta que o artigo 14.º deixa ao deployer a maior parte da operacionalização, pelo que as escolhas de concepção se tornam a postura de conformidade de facto.

Articulação com a ISO/IEC 42001 e com o NIST AI RMF

Onde o Regulamento IA dá a âncora legal, a ISO/IEC 42001 constitui a espinha dorsal do sistema de gestão e o NIST AI RMF fornece o vocabulário de engenharia. As três encaixam:

  • ISO/IEC 42001 §6.1.4 (planeamento operacional) e anexo A.6.2.6 (supervisão humana) exigem que a organização defina, implemente e mantenha controlos de supervisão humana dentro do seu sistema de gestão de IA. A norma não prescreve HITL nem HOTL: exige a prova de que a escolha foi deliberada e testada.
  • NIST AI RMF GOVERN-1.4 (Existem processos para determinar o nível necessário de actividades de gestão de risco em função da tolerância da organização) e MANAGE-2.4 (mecanismos para substituir, desligar ou desactivar um sistema de IA cujo desempenho ou resultados sejam incompatíveis com o uso pretendido) são as contrapartes arquitectural e operacional do artigo 14.º.
  • O crosswalk oficial AIRC liga as duas normas linha a linha.

A postura prática: inscreve-se o modo de supervisão na declaração de aplicabilidade ISO 42001, justifica-se com a matriz de sete eixos, instrumenta-se conforme o MANAGE-2.4 e obtém-se uma resposta coerente para uma auditoria ao artigo 14.º, uma certificação ISO 42001 e um questionário de cliente alinhado com NIST.

A armadilha do carimbo automático

Um HITL excedente é pior do que um HITL bem doseado. Quando um revisor trata milhares de pedidos aprovar por turno, a atenção derruba-se e a validação torna-se reflexo. O Verfassungsblog fala já de um corpo quente no loop: supervisão nominal que satisfaz uma quadrícula e não constitui controlo real sobre o modelo. As autoridades de fiscalização reparam.

Quatro medidas de concepção são agora linha de base:

  1. Encaminhamento condicionado pela confiança. O revisor só vê os casos que o próprio modelo sinaliza como incertos ou a amostra de QA. A via de elevada confiança é auditada por lotes.
  2. Taxa de override como indicador-chave. Mede-se a proporção de decisões da IA revertidas pelos revisores ao longo do tempo. Um valor parado em zero indica carimbagem. Um valor estabilizado acima dos vinte por cento indica modelo a refazer. A banda aceitável depende do uso; o que conta é que a medida exista.
  3. Formação e rotação dos revisores. O artigo 14.º, n.º 4, alínea b), nomeia a formação. Os revisores têm de estar formados no domínio, em rotação para combater a fadiga e testados com erros semeados.
  4. Latência de override. Mede-se o tempo entre a anomalia e a acção humana. Se a mediana exceder o tempo de que a IA precisa para consolidar uma saída errada, o HOTL é cenário.

Estes quatro pontos separam temos um humano no loop de temos supervisão humana efectiva no sentido do artigo 14.º. Os auditores pedem cada vez mais a segunda formulação.

Supervisão por sector

O modo de supervisão que sobrevive a uma auditoria é sectorial, porque os níveis de risco o são.

  • Saúde: HITL por defeito para qualquer saída diagnóstica que entre no processo clínico. O artigo 14.º combina-se com o regulamento dos dispositivos médicos e, nos Estados Unidos, com a doutrina FDA Software-as-a-Medical-Device. HOTL é aceitável para triagem e monitorização quando a taxa de falsos negativos foi limitada por estudo clínico.
  • Serviços financeiros: HITL para decisões de crédito e subscrição sobre pessoas singulares (artigo 22.º do RGPD), HOTL para vigilância transaccional e detecção de fraude. O Banco de Portugal e a CMVM estão a precisar as suas expectativas sobre modelos internos.
  • Sector público e justiça: caso particular. O estudo Oxford IJLIT 2026 sobre juízes no loop sustenta que, em sistemas de apoio à decisão jurisdicional de risco elevado, a supervisão deve ser exercida pelo próprio decisor, não por terceiro, sob pena de não configurar controlo humano significativo.
  • Mobilidade autónoma: HOTL em operação corrente, com encaminhamento HITL gerido por um centro de operações remoto. HOOTL fica reservado aos lacetes de comando sub-segundo, onde a latência humana é fisicamente inexequível.
  • Conteúdo e pesquisa: HOTL com amostragem condicionada à confiança, hoje a norma. HITL volta a ser obrigatório sempre que a remoção toca discurso político ou outras categorias carregadas de direitos fundamentais.

Leitura transversal: quanto mais alto o tecto de dano, mais a matriz empurra para a esquerda; quanto mais apertado o orçamento de latência, mais empurra para a direita. Os sistemas reais vivem na intersecção.

Como implementar a supervisão

Uma rotina em cinco passos alinha a matriz com a documentação ISO 42001 e com a prova de auditoria exigida pelo artigo 14.º:

  1. Classificar o sistema quanto aos níveis de risco do Regulamento IA, ao artigo 22.º do RGPD, aos regimes sectoriais e às obrigações contratuais. Isto fixa a linha Nível de risco regulamentar.
  2. Pontuar o sistema nos restantes seis eixos. Anotam-se as pontuações. O modo decorre delas.
  3. Documentar a escolha na declaração de aplicabilidade ISO 42001 (anexo A.6.2.6), com referência à matriz e racional assinado.
  4. Instrumentar a execução. Caminho de override, objectivo de latência de override, trilha de auditoria por decisão (ou por versão de modelo, conforme a linha), registos de formação, painel da taxa de override.
  5. Rever trimestralmente. Taxa de override, taxa de falso carimbo (amostra de aprovados), sinais de fadiga dos revisores, evoluções regulamentares ou técnicas que desloquem uma linha.

O ciclo fecha quando o painel confirma a escolha inicial ou revela uma linha deslocada; nesse caso, repontua-se e actualiza-se a SoA. As equipas que governam IA à escala de portefólio adoptam rapidamente uma ferramenta dedicada. A AI Sigil foi construída em torno deste fluxo preciso.

Questões frequentes

Existe uma diferença real entre human-in-the-loop e human-on-the-loop? Sim. O HITL detém a IA e espera uma validação humana. O HOTL deixa a IA agir e confere a uma pessoa a capacidade de observar e sobrescrever. A diferença não é estética: muda o orçamento de latência, a trilha de auditoria, o modelo organizativo e a exposição regulamentar. Tratá-los como permutáveis é uma dívida de conformidade a prazo.

Como se explica human-on-the-loop em termos simples? A IA faz o trabalho, uma pessoa vigia, pode interromper e revisita uma amostra das saídas. É o ajuste certo quando não se pode aprovar cada decisão nem deixar o sistema correr sem olhar humano.

Quem cunhou o termo human-in-the-loop? A expressão existia já na literatura de modelação e simulação, mas a tricotomia moderna foi popularizada por Bonnie Docherty no relatório Losing Humanity da Human Rights Watch em 2012. O Departamento de Defesa dos Estados Unidos adoptou-a logo depois na Directiva 3000.09.

Onde o Regulamento IA cita o human-in-the-loop? Não o cita por nome. O artigo 14.º impõe uma fiscalização efectiva por pessoas singulares, enumera quatro capacidades (compreender, vigiar, intervir, interromper) e exige proporcionalidade face a riscos, autonomia e contexto. Os rótulos HITL e HOTL são as ferramentas com que o deployer cumpre esse caderno de encargos.

O human-in-the-loop basta para um sistema de risco elevado? Apenas se for genuíno. O artigo 14.º, n.º 4, exige que o supervisor possa compreender, vigiar, intervir, interromper e sobrescrever. Um aprovador nominal que carimba não ultrapassa o limiar. Taxa de override, latência de override e formação são as provas pedidas pelo auditor.

O que é human-in-command e em que difere? No HIC, a pessoa permanece o decisor principal e a IA prolonga o gesto: piloto no automático, cirurgião em consola robótica. A diferença face ao HITL está na propriedade da decisão: em HITL a IA propõe e a pessoa valida; em HIC a pessoa decide e a IA executa.

É possível combinar modos no mesmo sistema? Sim, é a regra em produção. Mantenha-se HOTL na pipeline de massa, encaminhem-se os casos de baixa confiança para uma fila HITL, reserve-se o HOOTL para os lacetes de retroalimentação que não toleram latência. A matriz aplica-se por caminho decisional, não por sistema.

Conclusão

Os rótulos do loop não são argumento de marketing. Condensam uma década de debate sobre a autonomia tolerável de uma máquina perante decisões de vida ou morte. A governança civil herdou o vocabulário em conjunto com a obrigação de o usar com precisão.

A postura sólida é estrutural. Pontua-se cada caminho decisional nos sete eixos. Escolhe-se o modo mais autónomo compatível. Inscreve-se o modo e o racional na SoA ISO 42001. Instrumenta-se o caminho de override com o rigor exigido pelo artigo 14.º, n.º 4, alínea d), e pelo MANAGE-2.4. Acompanha-se a taxa de override e a taxa de falso carimbo. Repontua-se quando o sistema, os dados ou a regulamentação mudam.

A alternativa, escolher um rótulo porque um blogue de fornecedor o usou, é a via curta para a quadrícula assinalada e depois para o achado de auditoria. A matriz é a forma de garantir que a placa afixada corresponde àquilo que o sistema faz na realidade.

Para aprofundar o artigo 14.º, a análise dedicada da AI Sigil é o complemento deste texto. Para a cartografia ISO 42001 dos controlos, o pilar dedicado à norma é o passo seguinte.

Sofia Almeida

Leis sobre inteligência artificial em 2026: o mapa global de conformidade

Fornecedor, responsavel pela implantação ou modelo GPAI? Eis como Regulamento IA europeu, leis dos EUA, NIST AI RMF e ISO 42001 articulam em 2026.

Estrutura de governança da IA: o guia completo

Compare NIST AI RMF, ISO 42001, o Regulamento IA e os princípios OCDE. Descubra qual estrutura se adequa à sua organização e como implementá-las em conjunto.

Human-in-the-Loop vs Human-on-the-Loop: guia de supervisão da IA

Escolher entre human-in-the-loop e human-on-the-loop: 7 eixos de decisão, leitura do artigo 14.º do Regulamento IA e ancoragem na ISO/IEC 42001.

Enquadramentos de governança de IA: NIST AI RMF, ISO 42001, Regulamento da IA e princípios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Regulamento da IA e princípios OCDE comparados, com mapeamento de controlos e árvore de decisão para escolher o enquadramento certo.

ISO 42001 não cobre o AI Act: a pilha de normas de que realmente precisa

Uma certificação ISO 42001 não garante a sua conformidade com o AI Act. Estas são as normas harmonizadas que contam mesmo e como as pôr em prática.