1. Introdução:

O Regulamento Europeu da Inteligência Artificial (“AI Act”) representa o primeiro quadro jurídico dedicado exclusivamente à utilização de sistemas de Inteligência Artificial (IA). Publicado em 2024, o diploma resulta de um longo processo legislativo e visa estabelecer um regime uniforme na União Europeia, garantindo padrões comuns de confiança, segurança e transparência no uso destas tecnologias.

Sendo um regulamento europeu, o AI Act é diretamente aplicável em todos os Estados-Membros, sem necessidade de transposição para a ordem jurídica nacional. Compete, contudo, a cada país designar as respetivas autoridades nacionais de supervisão.

Em Portugal, essa designação ocorreu em 19 de setembro de 2025, com o Governo a indicar a ANACOM como entidade responsável pela fiscalização e supervisão do cumprimento do AI Act, em cooperação estreita com outras autoridades nacionais relevantes, como o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e a Comissão do Mercado de Valores Mobiliários (CMVM). Esta articulação visa evitar lacunas regulatórias e assegurar uma fiscalização coerente em setores como o financeiro e segurador.

Esta decisão encerra o período de indefinição institucional que subsistia desde a entrada em vigor do diploma e inaugura uma nova fase de fiscalização efetiva do uso de IA em território nacional.

2. Enquadramento europeu e prazos de aplicação:

O AI Act entrou em vigor em 1 de agosto de 2024, mas a sua aplicação é faseada, permitindo uma adaptação progressiva:

• 2 de fevereiro de 2025: aplicam-se as proibições a práticas de IA inaceitáveis, como mecanismos de social scoring por autoridades públicas, manipulação subliminar de comportamentos ou reconhecimento de emoções em contexto laboral ou educacional.
• 2 de agosto de 2025: entram em vigor as regras aplicáveis a modelos de IA de finalidade geral (GPAI), incluindo grandes modelos de linguagem (LLMs), bem como o regime sancionatório. Para GPAI já existentes no mercado antes desta data, prevê-se um período transitório até 2 de agosto de 2027 para adaptação plena.
• 2 de agosto de 2026: inicia-se a aplicação das regras para sistemas de alto risco, abrangendo, entre outros, o scoring de crédito, a subscrição de seguros de vida e saúde e a gestão de infraestruturas críticas em setores como telecomunicações e energia.

Estes constituem os prazos mais relevantes. No entanto, o regulamento prevê outras etapas / fases posteriores — designadamente a adaptação de sistemas pré-existentes, obrigações adicionais para certos produtos regulados e relatórios de avaliação da Comissão — que se estendem até 2030 e 2031.

Estas fases não impõem novas obrigações imediatas, mas constituem pontos críticos de monitorização e eventual reforço legislativo, pelo que as instituições devem acompanhar de perto a respetiva evolução regulatória.

3. Destinatários:

O AI Act aplica-se a fornecedores, importadores, distribuidores e utilizadores de sistemas de IA estabelecidos na União Europeia, bem como a entidades de países terceiros sempre que os respetivos sistemas sejam colocados no mercado ou utilizados no espaço europeu.

No contexto nacional, assumem particular relevância os seguintes setores:

• Instituições de crédito e sociedades financeiras: são classificados como de alto risco os sistemas de IA destinados a avaliar a solvabilidade ou a determinar o scoring de crédito de pessoas singulares. A partir de agosto de 2026, estas entidades terão de garantir supervisão humana sobre decisões automatizadas, manutenção de registos auditáveis, elaboração de documentação técnica completa e mecanismos de mitigação desvios e decisões discriminatórias.
• Seguradoras e resseguradoras: são considerados de alto risco os sistemas de IA utilizados na subscrição e definição de prémios em seguros de vida e saúde. Este enquadramento implica requisitos acrescidos de transparência, conservação de datasets e logs, e capacidade de justificar perante clientes, reguladores e tribunais a lógica subjacente aos modelos utilizados.
• Operadores de telecomunicações e utilities: são considerados como de alto risco os sistemas de IA aplicados à gestão e operação de infraestruturas críticas, incluindo redes de telecomunicações, energia, água, gás e transportes.
• Fundos de investimento e sociedades gestoras: embora não expressamente referidos, é expetável que venham a ser enquadrados em futuras revisões do regulamento, considerando que certas utilizações de IA em trading algorítmico, profiling de clientes ou modelos de análise de risco são considerados como de alto risco, sempre que tenham impacto significativo sobre a proteção do investidor ou sobre a estabilidade dos mercados financeiros.

4. Impactos jurídicos e de compliance

Embora frequentemente apresentado como um diploma de natureza tecnológica, o AI Act aporta consequências diretas no plano jurídico e de compliance. As entidades abrangidas passam a estar sujeitas a um quadro sancionatório particularmente exigente, a mecanismos de supervisão mais intrusivos e, sobretudo, à obrigação de assegurar que toda as decisões suportadas por sistemas de IA encontram-se devidamente documentadas, sustentadas e defensáveis perante autoridades de supervisão, clientes ou, em última linha, tribunais.

Com a designação da ANACOM como autoridade nacional de supervisão, inicia-se um novo período de enforcement efetivo em Portugal. As instituições já não enfrentam apenas obrigações abstratas: passam a estar expostas a auditorias concretas, pedidos formais de informação e potenciais processos sancionatórios. Este novo enquadramento exige uma abordagem preventiva e estruturada, capaz de reduzir riscos jurídicos, evitar litígios e salvaguardar a reputação institucional.

5. Áreas críticas de impacto:

• Contratos de outsourcing e fornecimento tecnológico: um número significativo de modelos de IA são desenvolvidos ou geridos efetivamente por terceiros. Sem cláusulas contratuais robustas e específicas sobre documentação, auditorias e responsabilidade por incumprimento, as instituições ficam expostas sem mecanismos de proteção eficaz.
• Transparência e fundamentação de decisões: decisões baseadas em IA devem ser justificáveis perante clientes, reguladores e tribunais. A ausência de registos ou logs auditáveis pode invalidar decisões, fragilizar processos judiciais e abrir espaço a litígios.
• Governance: o regulamento impõe a criação de mecanismos internos de governação robustos, com responsabilidades claramente atribuídas aos órgãos de administração e direção. O simples incumprimento destas obrigações organizacionais pode ser objeto de sanção, independentemente da ocorrência de qualquer incidente específico. O AI Act obriga os fornecedores e utilizadores de sistemas de IA de alto risco a implementar mecanismos internos de governação robustos, incluindo sistemas de gestão da qualidade e de atribuição clara de responsabilidades. Embora o Regulamento não preveja formalmente a figura de um “compliance officer em IA”, é expectável / desejável que, na prática, muitas entidades venham a designar responsáveis internos para assegurar a supervisão contínua da conformidade e a articulação com as autoridades de supervisão.
• Sanções e risco reputacional: o AI Act prevê coimas até €35 milhões ou 7% do volume de negócios global. Para além da dimensão financeira, é expectável que as primeiras fiscalizações assumam carácter exemplar, com impacto reputacional significativo para os operadores envolvidos.
• Interação com regimes existentes: o AI Act não opera isoladamente; cruza-se com o RGPD, com a regulação financeira (Banco de Portugal, ASF, CMVM) e com regimes setoriais como Solvência II ou MiFID II. Esta sobreposição normativa aumenta a complexidade e potencia o risco de interpretações divergentes ou até de dupla fiscalização, criando incerteza adicional para as instituições.
• Responsabilidade civil e contratual: decisões suportadas por sistemas de IA que resultem em prejuízos para clientes ou terceiros podem desencadear responsabilidade civil relevante. A delimitação entre a responsabilidade do fornecedor e a do utilizador destes sistemas constitui uma das áreas mais sensíveis do novo regime, com elevado potencial de litígios complexos;
• Proteção do consumidor: clientes de crédito, seguros e utilities passam a dispor de novos fundamentos para contestar decisões automatizadas, designadamente quando não exista documentação suficiente ou explicação clara do processo decisório. Isto pode traduzir-se em aumento de reclamações junto das autoridades de supervisão, em litígios individuais e na invalidação de decisões contratuais relevantes.

Conclusão:

Com a designação da ANACOM como autoridade nacional de supervisão, inicia-se uma nova etapa em que as obrigações do AI Act deixam de ser meramente programáticas e passam a gerar consequências imediatas no plano regulatório.

Para os setores mais expostos — banca, seguros, telecomunicações e utilities — a conformidade deixa de ser apenas um requisito legal e torna-se um elemento essencial de gestão prudencial, de prevenção de litígios e de salvaguarda da reputação institucional. O quadro que agora se abre distingue-se pela exigência de transparência, pela necessidade de estruturas internas sólidas de governação e pela responsabilidade direta dos órgãos de administração no cumprimento do regime.

Pode ler o documento completo aquí.

Para qualquer dúvida ou esclarecimento adicional, por favor contactar:

Diogo Matos Oliveira | Sócio
diogo.oliveira@pt.andersen.com

Teresa Tavares Ferreira | Advogada Associada
teresa.ferreira@pt.andersen.com