EU AI Act e credit scoring: o que muda para dados de risco no Brasil em 2026

O EU AI Act (Regulamento (UE) 2024/1689, a lei europeia de inteligência artificial) classifica credit scoring de pessoas físicas como sistema de alto risco: permitido, porém condicionado a governança, documentação e supervisão humana. As obrigações entrariam em vigor em 2 de agosto de 2026, mas o Digital Omnibus, acordado politicamente em maio de 2026, propõe adiar sistemas autônomos para 2 de dezembro de 2027. Para quem opera dados de risco no Brasil, o sinal é direto: governança de modelos de crédito deixa de ser diferencial e vira condição de operar, mesmo antes de a ANPD fechar a regulação local.

O que o EU AI Act faz com credit scoring

O EU AI Act adota uma arquitetura por níveis de risco. No topo, práticas proibidas. Abaixo, uma categoria que importa para o setor de dados: o alto risco, em que o sistema é permitido, mas só pode ser colocado no mercado e usado se cumprir um conjunto de obrigações de governança. O Anexo III (Annex III) lista os usos que recebem esse rótulo, e a avaliação de capacidade de crédito ou de pontuação de crédito de pessoas naturais está expressamente entre eles.

A exceção é cirúrgica: sistemas de IA usados para detectar fraude financeira não caem no rótulo de alto risco. Tudo o mais que serve para julgar a capacidade de pagamento de uma pessoa, definir score ou ranquear elegibilidade de crédito entra na categoria regulada. O ponto 5(b) do Anexo III trata da avaliação de crédito; o ponto 5(c), de precificação de risco em seguros de vida e saúde (fonte: EU Artificial Intelligence Act, 2026, artificialintelligenceact.eu).

O mesmo Anexo III classifica recrutamento e gestão de pessoas (emprego) como alto risco. Quem usa IA para triar currículos, ranquear candidatos ou decidir promoções carrega obrigações equivalentes às de quem pontua crédito. Não é coincidência: o legislador europeu agrupou os usos em que um modelo, mal calibrado, nega oportunidades concretas a pessoas reais.

Permitido sob governança: o que isso exige

Alto risco não significa proibido. Significa que o sistema só opera legalmente se o provedor (quem desenvolve) e o operador (quem usa) cumprirem deveres específicos. Para credit scoring, a lista é concreta e auditável.

1. Gestão de risco (Artigo 9). Processo documentado e contínuo de identificação, avaliação e mitigação de riscos do sistema ao longo do ciclo de vida.
2. Governança de dados (Artigo 10). Dados de treino, validação e teste relevantes, representativos, suficientemente livres de erros e completos, com atenção a vieses que possam gerar resultado discriminatório.
3. Documentação técnica (Artigo 11 e Anexo IV). Descrição do sistema, dados de treino, resultados de desempenho, capacidades e limitações, registrada antes do uso.
4. Registros automáticos (Artigo 12). Logs imutáveis que permitam rastrear a operação e identificar situações de risco a direitos fundamentais.
5. Transparência ao operador (Artigo 13). Instruções de uso com a interpretação correta dos resultados e a supervisão humana exigida.
6. Supervisão humana (Artigo 14). Pessoas capazes de entender, monitorar, interpretar e sobrepor ou interromper o sistema com segurança.

Há um detalhe que redefine responsabilidade. Para a maioria dos sistemas do Anexo III, a avaliação de conformidade pode ser feita por procedimento interno, sem terceiro certificador (fonte: Pinsent Masons / Out-Law, 2026, pinsentmasons.com). Mas o operador que usa um modelo de crédito comprado de fornecedor não transfere o seu dever. Pelo Artigo 27, o deployer precisa fazer a própria avaliação de impacto sobre direitos fundamentais (FRIA, na sigla em inglês), considerando seu contexto específico de uso.

Um banco que usa um sistema de credit scoring de terceiro não pode apontar para a avaliação de conformidade do fornecedor e declarar-se em conformidade. O banco deve conduzir a própria FRIA com base em como implementa o sistema, qual população afeta e quais salvaguardas aplica (fonte: AO Shearman, 2026, aoshearman.com).

A FRIA não é papelada interna. O Artigo 27 obriga o operador a notificar a autoridade de fiscalização sobre os resultados, criando um mecanismo externo de responsabilização. Para boa parte dos Estados-membros, a autoridade designada é a de proteção de dados ou uma autoridade de IA dedicada.

Prazos: agosto de 2026 e o adiamento do Digital Omnibus

O calendário sofreu uma reviravolta que muda o planejamento de quem opera dados de risco. A regra original previa aplicação das obrigações de alto risco do Anexo III a partir de 2 de agosto de 2026. Em 19 de novembro de 2025, a Comissão Europeia propôs o Digital Omnibus, pacote de simplificação que adia esses prazos (fonte: TechPolicy.Press, 2026, techpolicy.press).

Após uma primeira rodada de trílogo sem acordo em 28 de abril, as instituições retornaram à mesa e fecharam acordo político provisório em 6 de maio de 2026 (fonte: Conselho da UE, 2026, consilium.europa.eu). Pelo texto acordado, sistemas autônomos de alto risco passam a aplicar-se a partir de 2 de dezembro de 2027; sistemas embarcados em produtos, a partir de 2 de agosto de 2028.

Aqui está a armadilha de planejamento. O adiamento só produz efeito jurídico com a adoção formal e a publicação do Omnibus no Jornal Oficial, esperada antes de 2 de agosto de 2026 (fonte: Gibson Dunn, 2026, gibsondunn.com). Se o Omnibus não for adotado a tempo, o prazo original de agosto de 2026 permanece em vigor. Operadores prudentes planejam para a data original e tratam o adiamento como folga, não como dispensa.

O acordo de maio também recoloca duas exigências que haviam sido afrouxadas: o registro de sistemas no banco de dados europeu de alto risco, inclusive quando o provedor entende estar isento da classificação, e o padrão de estrita necessidade para o tratamento de categorias especiais de dados pessoais usado na detecção e correção de vieses.

Multas: quando governança vira condição de operar

Legiscope, 2026 / EU AI Act; PL 2338/2023, IALocus 2026

O regime sancionatório do EU AI Act é escalonado por tipo de violação e ancorado em faturamento mundial. Para o setor de dados de risco, a faixa relevante é a de descumprimento das obrigações de alto risco.

Vale o maior valor entre a quantia fixa e o percentual (fonte: Legiscope, 2026, legiscope.com). Para um conglomerado financeiro, 3% do faturamento global não é multa de prateleira: é número que entra na conversa do conselho. O AI Office europeu pode requisitar documentação, conduzir avaliações e impor medidas corretivas; autoridades nacionais de fiscalização de mercado podem suspender ou recolher sistemas não conformes do mercado europeu (fonte: VaaSBlock, 2026, vaasblock.com).

O EU AI Act não cria sanção autônoma para a ausência da FRIA do jeito que o GDPR sanciona a falta de DPIA. Mas o descumprimento das obrigações do operador já dispara a faixa de até EUR 15 milhões ou 3% do faturamento mundial. Em termos práticos, a governança que parecia custo administrativo passa a ser a licença para colocar o modelo em produção.

O efeito de referência sobre o Brasil

O Brasil não está esperando a Europa para regular IA, mas está se espelhando nela. O PL 2338/2023, o Marco Legal da Inteligência Artificial, foi aprovado por unanimidade no plenário do Senado Federal em 10 de dezembro de 2024 e tramita na Câmara dos Deputados para votação final, agora prevista para 2026 (fonte: Senado Federal, 2026, senado.leg.br).

A peça institucional decisiva é o papel da ANPD (Autoridade Nacional de Proteção de Dados). Em dezembro de 2025, a ANPD publicou o Mapa de Temas Prioritários para o biênio 2026-2027 e incluiu inteligência artificial e tecnologias emergentes como um dos quatro eixos de fiscalização (fonte: Confidata, 2026, confidata.com.br). Pelo projeto de lei complementar enviado pelo Executivo em dezembro de 2025, a ANPD foi posicionada como coordenadora do SIA, com competência para estabelecer regras gerais e supervisionar setores sem autoridade reguladora própria (fonte: gov.br/Gestão, 2025, gov.br).

Para credit scoring, há um trilho legal que já existe e não depende do PL 2338. A LGPD (Lei Geral de Proteção de Dados), no Artigo 20, dá ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluindo as que definem perfil de crédito. A Lei do Cadastro Positivo reforça esse direito no contexto de análise de crédito (fonte: Observatório da Privacidade, 2020, observatorioprivacidade.com.br). O EU AI Act não inventa o tema no Brasil; ele eleva o sarrafo do que se entende por governança suficiente.

Por que isso vale mesmo sem lei brasileira fechada

Três vetores fazem o EU AI Act chegar ao mercado brasileiro de dados antes de qualquer voto na Câmara.

• Extraterritorialidade. O Regulamento alcança operadores fora da União Europeia quando o resultado do sistema é usado dentro do bloco. Empresa brasileira que pontua crédito de cidadãos europeus, ou que vende modelo para cliente europeu, entra no escopo.
• Efeito Bruxelas. Multinacionais e bancos com operação europeia padronizam governança no nível mais exigente para não manter dois regimes. O Brasil herda o padrão por contágio operacional.
• Convergência regulatória. Como o PL 2338 copia a arquitetura de risco europeia, antecipar a governança do alto risco europeu é construir conformidade brasileira por antecipação, não por retrabalho.

O que um fornecedor de dados de risco precisa ter

A diferença entre operar e ser barrado se resume à capacidade de provar como o modelo decide. Quem fornece dado cadastral, score ou sinal de risco entra na cadeia de responsabilidade do cliente que vai usar aquele insumo para julgar pessoas. A governança deixa de ser do banco apenas e passa a ser exigida do fornecedor de dados que alimenta o modelo.

Para uma plataforma de dado cadastral institucional como a Datahub, do grupo Nuvini, o requisito prático é lastrear cada atributo entregue a uma trilha de proveniência: fonte, data, base legal e linhagem. O modelo de crédito do cliente só passa na governança do Artigo 10 se os dados que o alimentam forem relevantes, representativos e auditáveis. Dado sem proveniência vira passivo de conformidade no momento em que a autoridade pede a documentação técnica.

O cliente que constrói o score precisa da FRIA. Mas ele não consegue avaliar viés de uma base que recebe como caixa-preta. O fornecedor que entrega a documentação de proveniência e as limitações conhecidas do dado encurta o caminho de conformidade do cliente e se torna mais difícil de substituir. Governança, nesse arranjo, é argumento comercial, não custo regulatório.

O que fazer agora

O calendário admite duas leituras erradas: tratar agosto de 2026 como certo e correr sem necessidade, ou tratar dezembro de 2027 como certo e parar. Ambas custam caro. A leitura correta é planejar para a data mais próxima que ainda possa valer e usar o eventual adiamento como margem.

1. Mapeie quais sistemas próprios e de clientes fazem credit scoring de pessoas naturais e, portanto, caem no Anexo III.
2. Monte o inventário de proveniência dos dados que alimentam esses sistemas, com fonte, ano e base legal por atributo.
3. Documente capacidades, limitações e vieses conhecidos de cada insumo, no formato que o Artigo 11 exige.
4. Estruture logs imutáveis de consulta e versionamento, atendendo ao Artigo 12 desde já.
5. Acompanhe a publicação do Digital Omnibus no Jornal Oficial e a tramitação do PL 2338 na Câmara, ajustando o cronograma à data que efetivamente prevalecer.

Governança de modelos de risco passou de boa prática a condição de licença. No EU AI Act, ela é o que separa o sistema permitido do sistema barrado. No Brasil de 2026, é o que distingue o fornecedor de dados que continua na cadeia do que vira passivo do cliente. O custo de construir a trilha de proveniência hoje é menor que o de explicar, sob fiscalização, por que ela não existe.

Perguntas frequentes

O EU AI Act proíbe credit scoring?

Não. O Anexo III classifica a avaliação de capacidade de crédito e a pontuação de crédito de pessoas naturais como alto risco, o que significa permitido sob governança. O sistema pode operar desde que cumpra obrigações de gestão de risco, governança de dados, documentação, registros e supervisão humana. A única exclusão é para sistemas usados na detecção de fraude financeira, que não recebem o rótulo de alto risco.

O prazo de governança é agosto de 2026 ou dezembro de 2027?

Depende da adoção formal do Digital Omnibus. A regra original aplica as obrigações de alto risco autônomo em 2 de agosto de 2026. O acordo político de maio de 2026 propõe adiar para 2 de dezembro de 2027, mas isso só vale após publicação no Jornal Oficial da UE. Se o Omnibus não for adotado a tempo, agosto de 2026 permanece. O planejamento prudente mira a data mais próxima.

Quais são as multas por descumprir as obrigações de alto risco?

Para violação das obrigações de sistemas de alto risco, a multa chega a EUR 15 milhões ou 3% do faturamento mundial anual, o que for maior. Práticas proibidas chegam a EUR 35 milhões ou 7%, e informação incorreta às autoridades, a EUR 7,5 milhões ou 1%. Autoridades nacionais também podem suspender ou recolher do mercado europeu sistemas não conformes.

Um banco pode transferir a responsabilidade para o fornecedor do modelo?

Não. Pelo Artigo 27, o operador que usa credit scoring de alto risco deve conduzir a própria avaliação de impacto sobre direitos fundamentais (FRIA) e notificar a autoridade de fiscalização, mesmo que o sistema tenha sido comprado de terceiro. A avaliação de conformidade do fornecedor não dispensa o operador de avaliar o impacto no seu contexto específico de uso.

O EU AI Act se aplica a empresas brasileiras?

Pode se aplicar por extraterritorialidade, quando o resultado do sistema é usado dentro da União Europeia, e por efeito de padronização de multinacionais. Além disso, o PL 2338/2023 copia a arquitetura europeia de risco, e a ANPD foi posicionada como coordenadora do Sistema Nacional de Governança de IA, com inteligência artificial entre os eixos prioritários de fiscalização para 2026-2027.

O que muda para um fornecedor de dados cadastrais?

O fornecedor entra na cadeia de responsabilidade do cliente que usa seus dados para credit scoring. Para que o cliente cumpra a governança de dados do Artigo 10, cada atributo entregue precisa de proveniência, base legal e representatividade documentadas, além de logs de consulta e informação sobre limitações e vieses conhecidos. Dado sem trilha de proveniência vira passivo de conformidade quando a autoridade pede a documentação técnica.

Leia também no DataHub

• Open Finance PJ em 2026: o que muda para crédito e risco — Mercado 2026
• Due diligence de M&A com dados de risco: passivos ocultos no grafo societário — Compliance 2026
• ESG e risco reputacional de PJ: dados e mídia adversa em 2026 — Compliance 2026
• PLD-FT e COAF nas fintechs em 2026: o ano em que o reporte deixou de ser opcional — Compliance 2026
• Sanções, PEP e listas restritivas: o que checar em 2026 — Compliance 2026

Fontes

1. EU Artificial Intelligence Act — Annex III: High-Risk AI Systems (2026)
2. Conselho da UE — Artificial Intelligence: Council and Parliament agree to simplify and streamline rules (2026)
3. TechPolicy.Press — What the EU AI Omnibus Deal Changes for the AI Act (2026)
4. Gibson Dunn — EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines (2026)
5. Pinsent Masons / Out-Law — Rules on high-risk AI to be delayed under EU omnibus deal (2026)
6. Securiti — EU AI Act Article 27: Fundamental Rights Impact Assessment (2026)
7. AO Shearman — EU AI Act: Fundamental Rights Impact Assessment for High-Risk AI (2026)
8. Legiscope — EU AI Act Deadlines 2026-2027: Compliance Calendar + Fines (2026)
9. VaaSBlock — EU AI Act High-Risk Deadline August 2026: Operator Compliance Guide (2026)
10. Senado Federal — PL 2338/2023 (Marco Legal da IA) (2026)
11. gov.br/Gestão — PL do governo propõe sistema de governança para a inteligência artificial no país (2025)
12. Confidata — Como a ANPD vai regular a IA no Brasil 2026-2027 (2026)
13. Observatório da Privacidade — LGPD e Decisões Automatizadas (2020)
14. IALocus — Marco Legal da IA Brasil 2026 (PL 2338): Guia Definitivo (2026)