Em 2026, governança deixou de ser custo de conformidade e virou diferencial comercial. A tese é direta: quem documenta o agente — com human-in-the-loop, AI System Card pública e mapeamento por nível de risco — fecha negócio que o concorrente sem rastro perde. A Gartner projeta que mais de 40% dos projetos de IA agêntica serão cancelados até o fim de 2027 por custo, valor incerto e controles de risco inadequados. A governança é o que separa o agente que entra em produção do experimento que morre na prova de conceito.

A tese em uma frase

Gartner e McKinsey, 2026

A capacidade técnica de construir um agente autônomo deixou de ser escassa. O que é escasso, e portanto valioso, é a capacidade de provar que esse agente é seguro, auditável e reversível. Em um mercado de risco PJ, crédito e compliance — onde o comprador é diretor de risco, de fraude ou de dados —, a empresa que entrega o agente com o caderno de governança aberto vence a que entrega apenas a demonstração impressionante.

Isto não é retórica. É o que os dados de 2026 mostram. A McKinsey, em sua pesquisa de maturidade de confiança em IA conduzida entre dezembro de 2025 e janeiro de 2026 com cerca de 500 organizações, encontrou que apenas um terço delas atingiu maturidade de governança adequada para os agentes autônomos que já estão operando (fonte: McKinsey, 2026, mckinsey.com). O descompasso entre o que se implanta e o que se controla é a abertura competitiva.

Em IA agêntica, o ativo defensável não é o modelo. É a evidência de que você sabe o que o modelo fez, por quê, e como pará-lo.

O que é IA agêntica — e por que ela muda o risco

IA agêntica (do inglês agentic AI) é a classe de sistemas que não apenas respondem a um comando, mas planejam, decidem e executam ações em múltiplos passos para atingir um objetivo, frequentemente acionando ferramentas externas — APIs, bancos de dados, sistemas de pagamento — sem intervenção humana a cada passo. A diferença em relação a um chatbot é a agência: o sistema age no mundo.

O que é IA agêntica — definição em 1 frase. Sistema de inteligência artificial capaz de planejar e executar sequências de ações com autonomia para cumprir um objetivo, usando ferramentas e dados sem aprovação humana a cada etapa.

Essa autonomia desloca o perfil de risco. Um modelo que erra uma resposta gera uma resposta ruim. Um agente que erra pode tomar uma ação irreversível: aprovar um crédito indevido, bloquear um cliente legítimo, disparar uma transferência, comunicar um dado errado a um órgão. A McKinsey resume o problema de 2026 como sistemas que fazem a coisa errada — tomando ações não pretendidas, usando ferramentas indevidamente ou operando além das barreiras apropriadas (fonte: McKinsey, 2026, mckinsey.com). Segurança e risco são o principal obstáculo para escalar agentes, segundo a mesma pesquisa.

Para o ecossistema brasileiro de dados cadastrais, risco PJ e compliance, isso é concreto. Um agente que consulta bureaus — Serasa, Boa Vista, Quod, SPC —, cruza dados, calcula score e decide sobre uma operação está, do ponto de vista regulatório, tomando uma decisão automatizada com efeito sobre uma pessoa. E aí a lei brasileira já tem o que dizer.

Human-in-the-loop: a barreira que não é opcional

Três níveis de circuito humano por grau de risco

  1. 1
    Human-in-the-loop

    O humano aprova antes de a ação ter efeito; usado quando o erro é caro ou irreversível, como crédito alto e bloqueio de conta.

  2. 2
    Human-on-the-loop

    O sistema age, mas o humano monitora em tempo real e pode interromper; usado em volume alto com risco médio, como triagem de fraude.

  3. 3
    Human-out-of-the-loop

    Totalmente autônomo com auditoria posterior; aceitável apenas para ações de baixo risco e reversíveis.

EU AI Act e McKinsey, 2026

Human-in-the-loop (HITL, "humano no circuito") é o desenho de processo em que uma pessoa qualificada revisa, aprova ou pode reverter uma decisão do sistema antes que ela produza efeito sobre o titular. Não é um botão de "aprovar tudo": é supervisão com autoridade real para discordar.

O que é human-in-the-loop — definição em 1 frase. Mecanismo de governança em que um humano com competência e autoridade revisa ou pode reverter a decisão de um sistema automatizado antes ou depois de ela afetar uma pessoa.

O EU AI Act, regulamento da União Europeia, exige supervisão humana (human oversight) como requisito formal para sistemas de alto risco a partir de 2 de agosto de 2026 (fonte: artificialintelligenceact.eu, 2026). Mas há uma armadilha que a pesquisa acadêmica de 2026 expôs: colocar um humano no circuito aumenta a adoção e a confiança percebida, mas pode reduzir a acurácia da decisão quando o humano apenas referenda o que a máquina sugeriu (fonte: NCBI/PMC, 2026, ncbi.nlm.nih.gov). HITL teatral — em que a "revisão" repete a saída do sistema — é pior que inútil: cria a ilusão de controle.

A governança séria distingue três níveis de circuito humano, e a escolha entre eles é uma decisão de risco:

  1. Human-in-the-loop: o humano aprova antes de a ação ter efeito. Usado quando o erro é caro ou irreversível — concessão de crédito alto, bloqueio de conta, comunicação a órgão regulador.
  2. Human-on-the-loop: o sistema age, mas o humano monitora em tempo real e pode interromper. Usado em volume alto com risco médio — triagem de fraude, priorização de fila.
  3. Human-out-of-the-loop: totalmente autônomo, com auditoria posterior. Aceitável apenas para ações de baixo risco e reversíveis.

A McKinsey recomenda, para 2026, construir agentes de controle dentro do fluxo: agentes-crítico que desafiam a saída antes da ação, agentes-barreira que impõem a política e agentes-conformidade que monitoram a regulação em tempo real (fonte: McKinsey, 2026, mckinsey.com). É HITL operacionalizado em arquitetura, não em PowerPoint.

AI System Card: o caderno de governança como argumento de venda

Um AI System Card (ou model card, "cartão de modelo") é o documento público ou semipúblico que descreve, de forma padronizada, o que um sistema de IA faz, com que dados foi treinado, quais são seus limites conhecidos, como é monitorado e como o erro é tratado. É a ficha técnica auditável do agente.

O que é AI System Card — definição em 1 frase. Ficha técnica padronizada de um sistema de IA que documenta finalidade, dados, métricas de desempenho, limites, riscos conhecidos e mecanismos de supervisão humana.

Em 2026, o System Card deixou de ser cortesia e virou exigência implícita do comprador. Reguladores querem logs, métricas e linhagem de dados — não promessas de intenção (fonte: jenstirrup.com, 2026). E há um dado prático: entre 60% e 70% da documentação exigida pelo EU AI Act mapeia diretamente para os controles da norma ISO/IEC 42001, o padrão internacional de sistema de gestão de IA (fonte: TechAhead, 2026, techaheadcorp.com). Quem produz o System Card já está, sem custo adicional, a dois terços do caminho da conformidade europeia e da certificação internacional.

Elemento do System CardO que documentaPor que o comprador valoriza
Finalidade e escopoO que o agente decide e o que não decideDefine a fronteira de responsabilidade legal
Dados e linhagemOrigem, base legal LGPD, atualizaçãoReduz risco de dado ilícito ou desatualizado
Métricas de desempenhoAcurácia, viés por grupo, taxa de erroPermite auditoria independente
Supervisão humanaOnde há HITL, quem revisa, como reverterAtende EU AI Act e LGPD Art. 20
Limites conhecidosCenários em que o agente falhaHonestidade que sobrevive à due diligence
Plano de incidenteComo parar e corrigir o agenteReversibilidade comprovada

O efeito comercial é mensurável no ciclo de venda. Em uma compra B2B de risco, a etapa de vendor risk assessment — a avaliação de risco do fornecedor pela área de compliance do cliente — é onde a venda trava. O System Card pré-resolve metade do questionário. Em vez de o cliente perguntar e esperar, a evidência chega antes da pergunta.

EU AI Act por nível de risco: o mapa que o Brasil vai copiar

Sanção máxima por descumprimento das regras de IA

EU AI Act (alto risco)35 milhões de euros ou 7% do faturamento globalPL 2338 (Brasil)Até R$ 50 milhões por infração
dataguard.com e Senado Federal, 2026

O EU AI Act classifica sistemas em quatro níveis de risco, e a obrigação cresce com o risco. Entender essa pirâmide importa no Brasil por dois motivos: empresas brasileiras que atendem clientes ou cidadãos europeus já estão sujeitas a ela, e o PL 2338/2023 — o Marco Legal da IA brasileiro — adota explicitamente o mesmo modelo europeu de classificação por risco.

Nível de riscoExemplosObrigação principalMarco temporal
InaceitávelPontuação social, manipulação subliminarProibidoEm vigor desde fev/2025
Alto riscoCrédito, emprego, biometria, infraestruturaGestão de risco, governança de dados, logging, supervisão humana, registro2 de agosto de 2026
Risco limitadoChatbots, geração de conteúdoTransparência (informar que é IA)Em vigor
Risco mínimoFiltros de spam, jogosSem obrigação específica

A data de 2 de agosto de 2026 é o ponto de virada. A partir dela, sistemas de alto risco autônomos nas áreas do Anexo III — incluindo crédito e emprego — precisam estar avaliados em conformidade, registrados e operando com gestão de risco, governança de dados, registro de logs e supervisão humana (fonte: artificialintelligenceact.eu, 2026; kennedyslaw.com, 2026). A multa máxima chega a 35 milhões de euros ou 7% do faturamento global — superior à do GDPR (fonte: dataguard.com, 2026). Modelos de IA de propósito geral (GPAI) já têm obrigações em vigor desde 2 de agosto de 2025.

No Brasil, o PL 2338 foi aprovado por unanimidade no plenário do Senado em 10 de dezembro de 2024 e tramita na Câmara dos Deputados em 2026. Ele classifica sistemas por nível de risco — excessivo, alto, baixo/moderado —, cria direitos dos afetados (transparência, explicação, contestação), institui o Sistema Nacional de Regulação e Governança da IA (SIA) e prevê sanções de até R$ 50 milhões por infração (fonte: Senado Federal, 2026, senado.leg.br; Exame, 2026). A votação, prevista para 2026, ainda enfrenta impasses, mas a direção é clara: o modelo europeu por risco é o que o Brasil adota.

LGPD Art. 20: o Brasil já regula a decisão automatizada

Antes mesmo do Marco Legal da IA, o Brasil já possui uma âncora regulatória direta para agentes que decidem sobre pessoas: o Artigo 20 da LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018). Ele garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses — incluindo perfis de consumo e de crédito.

O que é o direito de revisão (LGPD Art. 20) — definição em 1 frase. Direito do titular de pedir reavaliação de uma decisão tomada exclusivamente por sistema automatizado que afete seus interesses, com informação clara sobre os critérios usados.

O dispositivo também obriga o controlador a fornecer, quando solicitado, informações claras sobre os critérios e procedimentos da decisão automatizada, respeitados segredos comercial e industrial. Em 2026, a ANPD (Autoridade Nacional de Proteção de Dados) avançou na regulamentação: a Nota Técnica nº 12/2025 sinalizou que a regulamentação deverá definir o grau de explicabilidade exigível por tipo de decisão, e a Tomada de Subsídios sobre IA e revisão de decisões automatizadas — etapa da Agenda Regulatória 2025/2026 — recebeu 124 contribuições, com consenso sobre a necessidade de salvaguardas (fonte: Conjur, 2026, conjur.com.br; Leonardi Advogados, 2026).

O risco prático para quem opera agentes é este: na ausência de regulamentação detalhada, muitas empresas adotam protocolos vagos em que a "revisão" apenas repete a decisão do sistema, sem reconsideração real (fonte: Lefosse, 2026). É o mesmo HITL teatral que a academia condenou. Quando a ANPD regulamentar o explicável por tipo de decisão, a empresa que já documentou critérios no System Card não terá retrabalho. A que terceirizou a decisão para uma caixa-preta terá.

No Brasil, o agente que decide sobre crédito sem trilha de revisão humana não é apenas mal-governado. Ele já está na fronteira do Art. 20 da LGPD — e a ANPD está regulamentando exatamente esse ponto em 2026.

Agent-washing: por que a maioria dos "agentes" não é agente

Agent-washing é a prática de rebatizar produtos existentes — assistentes, automação de processos (RPA), chatbots — como "agentes de IA" sem capacidade agêntica substantiva. É o equivalente do greenwashing aplicado à inteligência artificial: marketing à frente da substância.

O que é agent-washing — definição em 1 frase. Rebatizar como "IA agêntica" um produto que é, na verdade, um chatbot, um RPA ou um assistente, sem real capacidade de planejar e executar ações autônomas.

A escala do fenômeno é o dado mais revelador de 2026. A Gartner estima que, dos milhares de fornecedores que se anunciam como agênticos, apenas cerca de 130 são reais (fonte: Gartner, 2026, gartner.com). É a maior parte do mercado vendendo etiqueta sem produto. E é por isso que a mesma Gartner projeta o cancelamento de mais de 40% dos projetos de IA agêntica até o fim de 2027 — baseada em consulta a mais de 3.400 organizações (fonte: Gartner, 2025-2026, gartner.com).

Para o comprador de risco e compliance, agent-washing é um filtro. A pergunta que separa o agente real do rebatizado é simples e governança a responde: mostre o System Card, mostre onde está o humano no circuito, mostre o log da última decisão revertida. Quem tem governança documentada passa. Quem fez agent-washing não tem o que mostrar, porque não há mecanismo agêntico real para documentar.

Isto inverte a lógica de mercado de 2025. No ano passado, a demonstração impressionante vendia. Em 2026, com 40% dos projetos rumando ao cancelamento e o comprador escaldado, é a documentação que vende. Governança virou o teste de autenticidade.

Por que governança vira vantagem competitiva

Reúna os fios. O EU AI Act torna a supervisão humana e o registro obrigatórios para alto risco a partir de agosto de 2026. A LGPD Art. 20, regulamentada pela ANPD ao longo de 2026, exige revisão humana e explicabilidade da decisão automatizada. O PL 2338 importa o modelo europeu por risco com sanções de até R$ 50 milhões. A Gartner mostra que 40% dos projetos morrerão por falta de controle. A McKinsey mostra que só um terço das empresas tem governança madura para os agentes que já operam.

O resultado é uma assimetria de mercado. A maioria das empresas trata governança como freio — algo que atrasa o lançamento. A minoria que a trata como capacidade de negócio fica melhor posicionada para escalar a adoção de IA ao seu pleno potencial, como conclui a McKinsey (fonte: McKinsey, 2026, mckinsey.com). Essa minoria colhe três vantagens concretas:

  1. Ciclo de venda mais curto. O System Card pré-resolve o questionário de risco do comprador. Menos atrito no vendor risk assessment, fechamento mais rápido.
  2. Acesso a clientes regulados. Bancos, seguradoras e instituições de pagamento — sob BACEN, CVM, COAF — só compram de fornecedores que provam controle. A governança é a chave da porta.
  3. Custo de conformidade já amortizado. Quem documentou para o System Card já cobriu 60% a 70% do EU AI Act e da ISO 42001. Quando a regra brasileira fechar, não há retrabalho.

A tese, então, fecha onde começou. Em IA agêntica, construir o agente é a parte fácil. Provar que ele é seguro, reversível e explicável é a parte escassa — e o escasso é o que tem valor de mercado. Em um setor de dados cadastrais, risco PJ e compliance, onde a confiança é o produto, a empresa que abre o caderno de governança não está cumprindo uma obrigação. Está exibindo seu diferencial.

Perguntas frequentes

O que diferencia IA agêntica de um chatbot comum?

Um chatbot responde a comandos com texto. A IA agêntica planeja e executa ações em múltiplos passos para atingir um objetivo, acionando ferramentas externas — APIs, bancos de dados, sistemas de pagamento — frequentemente sem aprovação humana a cada etapa. A diferença é a agência: o agente age no mundo, e por isso seu erro pode ser irreversível. A Gartner estima que, dos milhares de fornecedores que se dizem agênticos, apenas cerca de 130 são reais (fonte: Gartner, 2026).

O EU AI Act se aplica a empresas brasileiras?

Sim, em duas situações: quando a empresa brasileira coloca um sistema de IA no mercado europeu, ou quando a saída do sistema é usada na União Europeia. A partir de 2 de agosto de 2026, sistemas de alto risco — incluindo crédito e emprego — precisam de gestão de risco, supervisão humana, registro de logs e conformidade, sob multa de até 35 milhões de euros ou 7% do faturamento global (fonte: artificialintelligenceact.eu, 2026). Além disso, o PL 2338 brasileiro adota o mesmo modelo por risco.

O Art. 20 da LGPD obriga revisão humana de toda decisão automatizada?

O Art. 20 garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, como perfis de crédito e consumo. Em 2026, a ANPD avança na regulamentação: a Nota Técnica nº 12/2025 indica que o grau de explicabilidade exigível variará por tipo de decisão, e a Tomada de Subsídios recebeu 124 contribuições com consenso sobre a necessidade de salvaguardas (fonte: Conjur, 2026; Leonardi Advogados, 2026). A revisão precisa ser real, não uma repetição da decisão do sistema.

O que é agent-washing e como identificá-lo?

Agent-washing é rebatizar chatbots, RPA ou assistentes como "agentes de IA" sem capacidade agêntica real. A Gartner estima que apenas cerca de 130 dos milhares de fornecedores autodeclarados agênticos são reais (fonte: Gartner, 2026). Para identificar, peça três provas: o AI System Card do produto, a indicação clara de onde há supervisão humana no circuito, e o log de uma decisão real que tenha sido revertida. Quem fez agent-washing não tem o que mostrar.

Por que governança vira vantagem competitiva e não apenas custo?

Porque o comprador de risco e compliance — banco, seguradora, instituição de pagamento — só fecha com quem prova controle. O AI System Card pré-resolve o questionário de avaliação de risco do fornecedor, encurtando o ciclo de venda. Entre 60% e 70% dessa documentação já mapeia o EU AI Act e a ISO 42001 (fonte: TechAhead, 2026). A McKinsey mostra que apenas um terço das empresas tem governança madura para os agentes que já operam (fonte: McKinsey, 2026), o que cria uma vantagem para a minoria preparada.

O que é human-in-the-loop e quando ele falha?

Human-in-the-loop é o desenho em que um humano qualificado revisa ou pode reverter a decisão do sistema antes de ela ter efeito. É exigido pelo EU AI Act para alto risco a partir de agosto de 2026. Ele falha quando vira teatro: pesquisa de 2026 mostra que colocar um humano no circuito aumenta a confiança percebida, mas pode reduzir a acurácia quando o humano apenas referenda a sugestão da máquina sem reconsideração real (fonte: NCBI/PMC, 2026). A solução é supervisão com autoridade efetiva para discordar, documentada no System Card.

Leia também no DataHub

Fontes

  1. EU Artificial Intelligence Act — Implementation Timeline (2026)
  2. Gartner — Over 40% of Agentic AI Projects Will Be Canceled by End of 2027 (2026)
  3. McKinsey — State of AI trust in 2026: Shifting to the agentic era (2026)
  4. Conjur — Da norma à fiscalização: como a ANPD aplica princípios da LGPD (2026)
  5. Leonardi Advogados — ANPD divulga resultados da Tomada de Subsídios sobre IA e revisão de decisões automatizadas (2026)
  6. Senado Federal — PL 2338/2023 (2026)
  7. TechAhead — AI Model Cards & Data Provenance: 2026 Compliance (2026)
  8. Kennedys Law — The EU AI Act implementation timeline: next deadline (2026)
  9. Exame — Marco Legal da IA (PL 2338): o que muda para empresas (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos