Não Regule Modelos de IA. Regule o Uso de IA
Às vezes, parece que os esforços para regular e conter a IA estão em toda parte ao mesmo tempo. A China emitiu as primeiras regulamentações específicas para IA em 2021, com foco nos provedores e na governança de conteúdo, aplicadas por meio de controle de plataformas e requisitos de manutenção de registros.
Na Europa, a Lei da IA da UE entrará em vigor em 2024, mas a Comissão Europeia já está propondo atualizações e simplificações. A Índia encarregou seus assessores técnicos seniores de criar um sistema de governança para IA, que foi divulgado em novembro de 2025. Nos Estados Unidos, os estados estão legislando e aplicando suas próprias regras de IA, mesmo enquanto o governo federal, em 2025, se move para impedir ações estaduais e afrouxar as rédeas.
Isso leva a uma pergunta crítica para engenheiros e formuladores de políticas americanas: O que os EUA realmente podem aplicar de uma forma que reduza danos no mundo real? Minha resposta: regule o uso de IA, não os modelos subjacentes.
Por que a regulamentação centrada em modelos falha
Propostas para licenciar “execuções de treinamento de fronteira”, restringir pesos abertos ou exigir permissão antes de publicar modelos, como a Lei de Transparência em Inteligência Artificial da Califórnia, prometem controle, mas entregam apenas teatro. Os pesos e o código dos modelos são artefatos digitais; uma vez liberados, seja por um laboratório, um vazamento ou um concorrente estrangeiro, eles se replicam a custo quase zero. Você não pode “despublicar” pesos, estabelecer geofencing para pesquisa ou impedir a destilação em modelos menores. Tentar engarrafar artefatos resulta em dois desfechos ruins: empresas conformes se afogam em papelada enquanto atores imprudentes burlam as regras em locais offshore, subterrâneos ou ambos.
Nos EUA, o licenciamento de publicação de modelos também provavelmente colide com a lei de liberdade de expressão. Os tribunais federais trataram código-fonte de software como expressão protegida, então qualquer sistema que impeça a publicação de modelos de IA estaria vulnerável a desafios legais.
“Não fazer nada” também não é uma opção. Sem guardrails, continuaremos vendo fraudes automatizadas, fraudes com deepfake e campanhas de persuasão em massa até que uma catástrofe nas manchetes desencadeie uma resposta contundente otimizada para a aparência, não para os resultados.
Uma alternativa prática: Regule o uso, proporcional ao risco
Um regime baseado no uso classifica implementações por risco e escala obrigações de acordo. Aqui está um modelo viável focado em manter a aplicação onde os sistemas realmente tocam as pessoas:
- Base: Interação geral com o consumidor (bate-papo aberto, redação criativa, assistência ao aprendizado, produtividade casual).
Conformidade regulatória: divulgação clara de IA no ponto de interação, políticas de uso aceitável publicadas, salvaguardas técnicas que evitam escalonamento para níveis de maior risco e um mecanismo para os usuários sinalizarem saídas problemáticas. - Assistência de baixo risco (redação, resumo, produtividade básica).
Conformidade regulatória: divulgação simples, higiene de dados básica. - Suporte à decisão de risco moderado afetando indivíduos (triagem de contratação, triagem de benefícios, pré-qualificação de empréstimos).
Conformidade regulatória: avaliação de risco documentada, supervisão humana significativa e um “registro de materiais de IA” consistindo pelo menos da linhagem do modelo, avaliações-chave e mitigação. - Usos de alto impacto em contextos críticos de segurança (suporte à decisão clínica, operações de infraestrutura crítica).
Conformidade regulatória: testes rigorosos antes da implantação atrelados ao uso específico, monitoramento contínuo, relatórios de incidentes e, quando necessário, autorização vinculada ao desempenho validado. - Funções de uso duplo perigosas (por exemplo, ferramentas para fabricar impressões de voz biométricas para vencer autenticação).
Conformidade regulatória: confinar a instalações licenciadas e operadores verificados; proibir capacidades cujo objetivo principal seja ilegal.
Sistemas habilitados para IA tornam-se reais quando estão conectados a usuários, dinheiro, infraestrutura e instituições, e é aí que os reguladores devem focar a aplicação: nos pontos de distribuição (lojas de aplicativos e marketplaces empresariais), acesso a capacidades (plataformas de nuvem e IA), monetização (sistemas de pagamento e redes de anúncios) e transferência de risco (seguradoras e contrapartes contratuais).
Para usos de alto risco, precisamos exigir vinculação de identidade para operadores, controle de capacidade alinhado ao nível de risco e registro à prova de adulteração para auditorias e revisão pós-incidente, juntamente com proteções de privacidade. Precisamos exigir evidências para as alegações dos implementadores, manter planos de resposta a incidentes, relatar falhas materiais e fornecer alternativas humanas. Quando o uso de IA causa danos, as empresas devem ter que mostrar seu trabalho e enfrentar responsabilidades por danos.
Essa abordagem cria dinâmicas de mercado que aceleram a conformidade. Se operações empresariais cruciais, como aquisição, acesso a serviços de nuvem e seguros, dependem da prova de que você está seguindo as regras, os desenvolvedores de modelos de IA construirão de acordo com especificações que os compradores podem verificar. Isso eleva o nível de segurança para todos os participantes da indústria, incluindo startups, sem conceder vantagem a alguns grandes incumbentes licenciados.
Implicações e Conclusão
Esse modelo se alinha com a Lei de IA da UE em duas maneiras importantes. Primeiro, centra-se no risco no ponto de impacto: as categorias “de alto risco” da lei incluem emprego, educação, acesso a serviços essenciais e infraestrutura crítica, com obrigações de ciclo de vida e direitos de reclamação. Também reconhece tratamento especial para sistemas amplamente capazes sem fingir que o controle de publicação é uma estratégia de segurança. Minha proposta para os EUA difere em três maneiras principais.
Primeiro, os EUA devem ser projetados para durabilidade constitucional. Os tribunais trataram código-fonte como discurso protegido, e um regime que exige permissão para publicar pesos ou treinar uma classe de modelos começa a se assemelhar a uma restrição prévia. Um regime baseado no uso de regras que governam o que os operadores de IA podem fazer em configurações sensíveis, e sob quais condições, se encaixa mais naturalmente na doutrina da Primeira Emenda dos EUA do que esquemas de licenciamento baseados em oradores.
Segundo, a UE pode contar com plataformas adaptando-se às regras de precaução que escreve para seu mercado único unificado. Os EUA devem aceitar que modelos existirão globalmente, tanto abertos quanto fechados, e focar onde a IA se torna acionável: lojas de aplicativos, plataformas empresariais, provedores de nuvem, camadas de identidade empresarial, trilhas de pagamento, seguradoras e guardiões de setores regulamentados. Esses são pontos aplicáveis onde identidade, registro, controle de capacidade e responsabilidade pós-incidente podem ser exigidos sem fingir que podemos “conter” software. Eles também abrangem as muitas agências especializadas dos EUA que podem não conseguir redigir regras de nível superior amplas o suficiente para afetar todo o ecossistema de IA. Em vez disso, os EUA devem regular pontos críticos de serviço de IA de forma mais explícita do que a Europa, para acomodar a forma diferente de seu governo e administração pública.
Terceiro, os EUA devem adicionar um nível explícito de “perigo de uso duplo”. A Lei de IA da UE é principalmente um regime de direitos fundamentais e segurança do produto. Os EUA também têm uma realidade de segurança nacional: certas capacidades são perigosas porque ampliam o dano. Um quadro coerente dos EUA deve nomear essa categoria e regulá-la diretamente, em vez de tentar encaixá-la em licenciamento genérico de “modelos de fronteira”.
Não podemos regular significativamente o desenvolvimento de IA em um mundo onde artefatos se copiam em tempo real e a pesquisa flui fluidamente através das fronteiras. Mas podemos manter sistemas não verificados fora de hospitais, sistemas de pagamento e infraestrutura crítica, regulando usos, não modelos; aplicando em pontos críticos; e aplicando obrigações que escalam com o risco.
