Fintechs: Impacto da Regulamentação de AI para Fintechs

1. INTRODUÇÃO

Fintechs, de acordo com a definição do Banco Central do Brasil, são empresas que introduzem inovações nos mercados financeiros por meio do uso intenso de tecnologia, com potencial para criar novos modelos de negócios[1].

Tendo a inovação e a tecnologia como pilares, o uso da inteligência artificial já permeia o cotidiano das fintechs há muito tempo.

A inteligência artificial é utilizada pelas fintechs como recurso base para desenvolver novos produtos e otimizar serviços já existentes, como análises automatizadas sobre concessão de crédito, recomendação de gastos, adiantamento de recebíveis e identificação de fraudes.

Diante disso, é necessário estar atento aos projetos de lei que são propostos para regulamentar o uso de inteligência artificial no Brasil e no mundo, e entender como isso irá impactar cada setor.

2. PL 2.338/23 – ASPECTOS GERAIS

Em maio de 2023, foi apresentado para análise do Senado o mais recente projeto de lei que pretende regulamentar os sistemas de inteligência arti­ficial (“IA”) no Brasil, o Projeto de Lei nº 2.338/2023[2] (“PL 2.338/23”).

Inspirado na legislação europeia, o PL 2.338/23 estabelece direitos para pessoas afetadas pela tecnologia da inteligência artificial, determina que os sistemas de inteligência arti­ficial disponibilizados no Brasil deverão ser auto classi­ficados pelo desenvolvedor de acordo com o seu risco, além de definir parâmetros de supervisão e fiscalização da atividade.

O PL 2.338/23 inclui classi­ficações de risco excessivo[3], em que os sistemas de IA são proibidos, e classi­ficações de alto risco, em que os sistemas podem ser disponibilizados desde que observados alguns critérios.

O PL 2.338/23 lista como ferramentas de alto risco aquelas utilizadas para as seguintes atividades[4]:

• avaliação da capacidade de endividamento das pessoas naturais ou estabelecimento de sua classificação de crédito;
• sistemas biométricos de identificação;
• gestão de infraestruturas críticas, como controle de trânsito e redes de abastecimento de água e de eletricidade; e
• avaliação de estudantes e trabalhadores;
• tomada de decisões sobre acesso a emprego, a ensino, ou a serviços públicos e privados essenciais;
• administração da Justiça;
• implementação de veículos autônomos;
• diagnósticos e procedimentos médicos;
• investigação, estudo e avaliação individual de risco de cometimento de crimes e de traços de personalidade e de comportamento criminal;
• gestão da migração e controle de fronteiras.

3. IMPACTO DO PL 2.338/23 PARA FINTECHS NO BRASIL

Requisitos de conformidade

Considerando que o uso de IA para atividades de avaliação da capacidade de endividamento e estabelecimento de classificação de crédito de pessoas físicas, e em sistemas biométricos de identificação são classificadas como de alto risco pelo PL 2.338/23, a proposta de regulamentação de IA terá um impacto direto para fintechs.

De acordo com o PL 2.338/23, para serem utilizadas, ferramentas de alto risco devem observar requisitos especí­ficos de conformidade, além das medidas gerais de governança[5], como:

• elaboração de documentação a respeito do funcionamento do sistema e das decisões envolvidas em sua construção, implementação e uso, considerando todas as etapas relevantes no ciclo de vida do sistema;
• uso de ferramentas que permitam avaliar sua acurácia e robustez e apurar potenciais discriminatórios;
• realização de testes para avaliação de níveis apropriados de confiabilidade, incluindo testes de robustez, acurácia, precisão e cobertura;
• medidas de gestão de dados para mitigar e prevenir vieses discriminatórios;
• adoção de medidas técnicas para viabilizar a explicabilidade dos resultados dos sistemas de inteligência artificial e de medidas para disponibilizar aos operadores e potenciais impactados informações gerais sobre o funcionamento do modelo de inteligência artificial empregado, explicitando a lógica e os critérios relevantes para a produção e interpretação de resultados, respeitado o sigilo industrial e comercial;
• avaliação de impacto algorítmico.

O PL 2.338/23 também prevê que nos casos em que as decisões dos sistemas de IA tiverem impacto potencialmente irreversível ou puderem gerar riscos à vida ou à integridade física dos indivíduos, será obrigatório um alto grau de envolvimento humano no processo decisório da ferramenta.

Direitos de pessoas afetadas pela IA

Com relação às pessoas afetadas pelos sistemas de inteligência artificial, as fintechs que utilizam IA em suas operações precisariam se adequar e cumprir com os direitos estabelecidos pelo PL 2.338/23 em relação a estes titulares.

De acordo com o PL 2.338/23, qualquer pessoa afetada por uma IA tem direitos mínimos, como:

• informação prévia quanto às suas interações com sistemas de inteligência artificial;
• explicação sobre a decisão, recomendação ou previsão tomada por sistemas de inteligência arti­ficial;
• direito de contestar decisões ou previsões de sistemas de inteligência arti­ficial que produzam efeitos jurídicos ou que impactem de maneira signi­ficativa os interesses do afetado;
• direito à determinação e à participação humana em decisões de sistemas de inteligência artificial;
• direito à privacidade e de proteção de dados.

O PL ainda destaca o direito à não discriminação e à correção de vieses, vedando explicitamente a discriminação baseada em origem geográ­fica, raça, cor ou etnia, gênero, orientação sexual, classe socioeconômica, idade, de­ ciência, religião ou opiniões políticas. Por outro lado, ­ fica permitida a adoção de critérios de diferenciação de indivíduos ou grupos quando houver justi­ficativa razoável e legítima, à luz do direito à igualdade e dos demais direitos fundamentais.

Em caso de incidentes graves de segurança, como situações em que houver ameaça à vida ou à integridade física de pessoas, ou interrupção de funcionamento ou fornecimento de serviços essenciais, danos ao meio ambiente ou violação aos direitos fundamentais, é necessário que se comunique as autoridades competentes.

De acordo com o texto atual, os fornecedores e operadores de ferramentas de IA poderão adotar programas de governança alinhados à legislação. Apesar de não ser obrigatória, esse tipo de prática poderá demonstrar boa fé dos acusados e, consequentemente, ser levada em consideração em casos de aplicações de sanções administrativas, por exemplo.

Responsabilidade civil

O grau de risco do sistema determina ainda a responsabilidade civil em caso de dano patrimonial, moral, individual ou coletivo.

O fornecedor ou operador do sistema de IA que cause dano patrimonial, moral, individual ou coletivo é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema.

Quando se tratar de sistema de inteligência artificial de alto risco ou de risco excessivo (como, por exemplo, sistemas de IA que envolvam avaliação da capacidade de endividamento ou estabelecimento de sua classificação de crédito de pessoas naturais, ou sistemas biométricos de identificação), o fornecedor ou operador respondem objetivamente pelos danos causados, na medida de sua participação no dano.

Quando se tratar de IA que não seja de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.

Sanções administrativas

Além de estabelecer as regras de responsabilidade, o PL 2.338/23 estabelece sanções administrativas que podem ser aplicadas em razão das infrações cometidas às normas previstas na lei e incluem:

• advertência
• multa limitada 50 milhões de reais por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% do faturamento do grupo ou conglomerado da PJ no Brasil;
• publicização da infração;
• proibição ou restrição para participar de regime de sandbox regulatório previsto no PL, por até cinco anos;
• suspensão – parcial ou total, temporária ou definitiva – das atividades da empresa descumpridora;
• proibição de tratamento de determinadas bases de dados.

***

Vale notar que o Parlamento Europeu aprovou em junho seu projeto de regulamentação de Inteligência Artificial (IA) na União Europeia (UE), no qual o PL 2.338/23 se baseia. No entanto, antes de entrar em vigor, a norma aprovada (com 499 votos favoráveis, 28 contrários e 93 abstenções) ainda precisa ratificada pelos 27 países do bloco, para então virar uma lei. Segundo membros da própria EU, a regulamentação pode demorar alguns anos para entrar em vigor.

Enquanto isso, no Brasil, o PL 2.338/23 ainda está sendo analisado pelo Senado, sem nenhum tipo de urgência. Não há previsão nenhuma para sua votação e é provável que o país aguarde a implementação da regulação europeia antes de aprovar esse tipo de lei, assim como ocorreu com a GDPR (General Data Protection Regulation) e a Lei Geral de Proteção de Dados.

[1] https://www.bcb.gov.br/estabilidadefinanceira/fintechs

[2] https://www25.senado.leg.br/web/atividade/materias/-/materia/157233

[3] De acordo com o PL 2.338/23, “são vedadas a implementação e o uso de sistemas de inteligência artificial: I – que empreguem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos desta Lei; II – que explorem quaisquer vulnerabilidades de grupos específicos de pessoas naturais, tais como as associadas a sua idade ou deficiência física ou mental, de modo a induzi-las a se comportar de forma prejudicial a sua saúde ou segurança ou contra os fundamentos desta Lei; III – pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional.”

[4] Art. 17 do PL 2.338/23.

[5] Art. 19 do PL 2.338/23.

compartilhe