BACEN e Inteligência Artificial — O que o Banco Central exige das IFs

O BACEN não publicou um regulamento específico chamado "Lei de IA". Em vez disso, o framework regulatório existente — criado para gestão de riscos de modelos, prevenção à lavagem de dinheiro e governança de TI — já se aplica plenamente ao uso de IA em instituições financeiras. Qualquer IF que use IA em crédito, PLD, atendimento ou precificação está sujeita a exigências hoje.

1. Resolução CMN 4.557/2017 — Gestão de Riscos

CMN 4.557Obrigatória para IFs Seg. S1–S3

A resolução exige que as IFs mantenham estrutura de gerenciamento de riscos que abranja o risco de modelos. Com a adoção de IA, os "modelos" passam a incluir algoritmos de machine learning, LLMs e motores de decisão automatizados.

As exigências práticas incluem:

• Documentação formal do modelo: propósito, metodologia, dados de treinamento, limitações conhecidas
• Processo de validação independente: a equipe que valida o modelo não pode ser a mesma que o desenvolveu
• Backtesting periódico: comparação entre previsões do modelo e resultados reais
• Monitoramento contínuo de performance e drift
• Plano de contingência para falha ou degradação do modelo
• Inventário atualizado de todos os modelos em produção

2. Circular BACEN 3.978/2020 — PLD-FT e IA

Circular 3.978PLD-FT

Para sistemas de IA usados em prevenção à lavagem de dinheiro (PLD) e financiamento ao terrorismo (FT), a Circular 3.978 exige que as IFs demonstrem que seus processos de detecção são eficazes, auditáveis e explicáveis.

Na prática, isso significa:

• O modelo de PLD precisa ter critérios documentados — uma "caixa-preta" não atende aos requisitos de auditoria do BACEN
• Cada alerta gerado pelo sistema deve ter a lógica registrada para fins de auditoria
• A IF precisa demonstrar que tem controle sobre o que o modelo faz — não pode simplesmente dizer "o fornecedor é responsável"

3. IA em concessão de crédito

Modelos de crédito são a aplicação mais regulada. O BACEN exige, via Resolução 4.557 e normas complementares:

• Documentação da política de crédito que o modelo implementa
• Testes de discriminação proibida: o modelo não pode usar variáveis-proxy que resultem em discriminação racial, de gênero ou por origem geográfica
• Reclamações de clientes que alegam decisão injusta devem ser investigadas — o que exige o log da decisão original
• Stress tests: o modelo precisa ser testado em cenários adversos (crise econômica, inadimplência em alta)

4. Open Finance e IA

Com o Open Finance, IFs que usam dados compartilhados para alimentar modelos de IA precisam garantir que:

• A base legal de tratamento dos dados (LGPD art. 7º) cobre o uso específico em IA
• O consentimento obtido para compartilhamento de dados no Open Finance não se estende automaticamente ao treinamento de modelos
• Dados de clientes de terceiras IFs usados como input de IA estejam documentados como tal nos processos de gestão de riscos

5. Checklist para IFs que usam IA

• Inventário completo de modelos de IA em produção (incluindo modelos de terceiros usados via API)
• Documentação de cada modelo: metodologia, dados, limitações, data do último retrain
• Processo de validação independente documentado
• Backtesting com frequência definida (trimestral para crédito é prática de mercado)
• Audit log das decisões automatizadas com retenção mínima de 5 anos
• Processo de revisão de reclamações de clientes relacionadas a decisões de IA
• Testes de bias/discriminação documentados para modelos de crédito
• Plano de contingência para falha dos principais modelos