EU AI Act e mídia sintética: obrigações para empresas brasileiras 2026
O EU AI Act (Art. 50) impõe obrigações de transparência sobre mídia sintética a partir de agosto de 2026. Saiba o que muda para empresas brasileiras com operações na UE.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO Regulamento (UE) 2024/1689 — EU AI Act não se aplica diretamente ao Brasil, mas as empresas brasileiras que disponibilizam sistemas de IA a usuários localizados na União Europeia estão sujeitas às suas obrigações por força do seu âmbito territorial extraterritorial. A data-chave para as obrigações de transparência sobre mídia sintética é 2 de agosto de 2026 — e o prazo está próximo. Empresas brasileiras de tecnologia, fintechs, agências de marketing e plataformas de conteúdo que atendam mercados europeus precisam agir agora.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.
O EU AI Act aplica-se a empresas brasileiras?
Sim — nos casos em que a atividade tem impacto no mercado europeu.
O artigo 2º do EU AI Act estabelece o seu âmbito de aplicação com base em dois critérios alternativos: o sistema de IA é colocado no mercado da UE ou é utilizado na UE. Basta que uma dessas condições seja cumprida para que o regulamento se aplique, independentemente do local de estabelecimento do fornecedor ou operador.
Isso significa que uma fintech sediada em São Paulo que ofereça onboarding digital a clientes alemães, ou uma agência criativa paulistana que produza conteúdo sintético para campanhas europeias, está sujeita ao EU AI Act da mesma forma que uma empresa estabelecida em Lisboa ou Berlim.
Quais empresas brasileiras são alcançadas:
- Plataformas de conteúdo digital com usuários na UE (streaming, redes sociais, jogos)
- Fintechs com operações ou clientes europeus
- Agências de publicidade e marketing que produzam campanhas para o mercado europeu
- Empresas de SaaS que licenciem sistemas de IA a clientes na UE
- Desenvolvedores de aplicativos disponíveis na App Store ou Google Play em países da UE
- Prestadores de serviços de verificação de identidade com clientes europeus
A questão não é onde a empresa está registrada — é onde o sistema de IA produz efeitos. Uma empresa com CNPJ brasileiro que opere exclusivamente no mercado doméstico não precisa, em princípio, cumprir o EU AI Act. Mas qualquer exposição ao mercado europeu ativa as obrigações regulatórias.
O que o artigo 50 exige
O artigo 50 do EU AI Act é o pilar central das obrigações de transparência para sistemas de IA interativos e para a produção de mídia sintética. Entrou em aplicação plena em 2 de agosto de 2026.
Definição de mídia sintética
O regulamento define como mídia sintética qualquer conteúdo de texto, áudio, imagem ou vídeo gerado ou manipulado por IA de forma a parecer autêntico ou proveniente de uma pessoa real. Deepfakes são o caso mais evidente, mas o conceito abrange também:
- Áudios gerados ou clonados por IA que simulam a voz de uma pessoa real
- Imagens fotorrealistas geradas a partir de prompts sem base em fotografias reais
- Vídeos sintéticos com substituição de rosto ou corpo (face swap, body swap)
- Textos gerados por IA apresentados como declarações de pessoas reais
As quatro obrigações centrais do artigo 50
Art. 50(1) — Chatbots e agentes de IA: Sistemas que interagem com pessoas em linguagem natural devem informar ao utilizador, de forma clara e no momento da interação, que está comunicando com um sistema de IA — salvo se isso for evidente pelo contexto.
Art. 50(2) — Conteúdo de texto sintético: Quando IA for utilizada para gerar ou auxiliar na geração de textos sobre temas de interesse público — por exemplo, notícias, análises políticas ou informações de saúde —, o conteúdo deve ser identificado como gerado por IA.
Art. 50(3) — Deepfakes e mídia sintética audiovisual: Imagens, vídeos e áudios que representem pessoas reais de forma sintética devem conter marcação legível por máquina — metadados ou marca d'água — que permita identificar o conteúdo como sintético. O padrão técnico de referência é o C2PA (Coalition for Content Provenance and Authenticity).
Art. 50(4) — Exceções editoriais: Conteúdo criativo, satírico ou artístico pode estar isento da obrigação de marcação, desde que divulgue adequadamente a natureza sintética sem comprometer o propósito criativo.
Nossa plataforma detecta que 12% das tentativas de fraude documental envolvem conteúdo gerado por IA — o que evidencia que a falta de marcação adequada tem consequências práticas imediatas para processos de verificação de identidade e KYC, não apenas para plataformas de entretenimento.
Para saber mais sobre como documentos sintéticos alimentam fraudes de identidade, consulte nosso artigo sobre documentos de identidade sintéticos e deepfakes.
Quem deve cumprir
O EU AI Act distingue entre dois papéis principais: fornecedor (provider) e operador (deployer). A distinção é relevante porque os graus de obrigação diferem.
Fornecedor é quem desenvolve o sistema de IA e o disponibiliza no mercado. Operador é quem implanta e utiliza o sistema de IA num contexto específico — por exemplo, uma empresa que integre um modelo de geração de imagens de terceiros no seu produto.
| Ator | Obrigação principal | Prazo |
|---|---|---|
| Fornecedor de sistema de IA generativa | Implementar capacidades técnicas de marcação (C2PA ou equivalente); documentação técnica | 2 ago. 2026 |
| Operador que usa IA para produzir mídia sintética | Garantir que a marcação está ativa; divulgação ao usuário final | 2 ago. 2026 |
| Operador de chatbot ou agente de IA | Informar o utilizador da natureza do sistema no início da interação | 2 ago. 2026 |
| Plataforma que distribui conteúdo gerado por IA | Manter mecanismos de deteção e sinalização de conteúdo sintético | 2 ago. 2026 |
Uma empresa brasileira que licencie um modelo de IA de terceiros e o utilize para produzir vídeos promocionais destinados ao mercado europeu é operadora — e é inteiramente responsável pelas obrigações do artigo 50(3) no que diz respeito aos outputs que distribui.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoRequisitos técnicos: o padrão C2PA
O artigo 50(3) não prescreve um padrão técnico específico, mas remete para marcações legíveis por máquina (machine-readable). O padrão C2PA — desenvolvido pela Coalition for Content Provenance and Authenticity, que reúne empresas como Adobe, Microsoft, Google e BBC — é atualmente o único padrão amplamente adotado que cumpre este requisito.
O que o C2PA faz
O C2PA incorpora nos arquivos de imagem, vídeo e áudio um manifesto criptograficamente assinado que contém:
- A identidade (ou pseudónimo) do produtor do conteúdo
- O histórico de edições e ferramentas utilizadas
- A data e localização de criação
- Uma declaração de que o conteúdo foi total ou parcialmente gerado por IA
Esse manifesto é resistente a adulterações — qualquer modificação do arquivo invalida a assinatura — e pode ser verificado por plataformas, navegadores e ferramentas de moderação de conteúdo.
Requisitos práticos para empresas brasileiras
Para cumprir o artigo 50(3), uma empresa que produza mídia sintética destinada à UE deve:
- Verificar se as ferramentas de IA que utiliza suportam nativa ou via API a incorporação de metadados C2PA
- Configurar os fluxos de produção para que a marcação C2PA seja sempre incorporada nos outputs finais, sem possibilidade de omissão
- Manter registos dos metadados gerados para fins de auditoria regulatória
- Implementar controlos que evitem a distribuição de conteúdo sintético sem marcação adequada
A Adobe Content Authenticity Initiative e a C2PA specification são os recursos técnicos de referência para implementação.
Sanções e autoridades competentes
Penalidades previstas no EU AI Act
As penalidades por incumprimento do artigo 50 são substanciais:
| Tipo de infração | Penalidade máxima |
|---|---|
| Violação das obrigações do art. 50 (transparência) | €15 milhões ou 3% do volume de negócios mundial anual (o que for maior) |
| Fornecimento de informações incorretas às autoridades | €7,5 milhões ou 1% do volume de negócios mundial |
| Infrações por PMEs e startups | Calculadas de forma proporcionada ao tamanho e capacidade económica |
A autoridade competente para fiscalizar o cumprimento do EU AI Act numa dada empresa é determinada pelo Estado-Membro da UE onde o produto ou serviço é disponibilizado ou onde o operador está estabelecido na UE. Para empresas brasileiras sem estabelecimento na UE, o regulamento exige a designação de um representante autorizado (authorised representative) estabelecido num Estado-Membro.
Contexto regulatório no Brasil
O Brasil ainda não possui uma lei de IA específica em vigor. O PL 2338/2023 — Projeto de Lei de IA no Brasil — está pendente de votação no Senado e propõe obrigações de transparência similares às do EU AI Act, incluindo exigências de divulgação para sistemas de IA de alto risco.
A ANPD (Autoridade Nacional de Proteção de Dados) é atualmente a principal autoridade com competências relevantes. O artigo 20 da LGPD (Lei 13.709/2018) já exige que o titular dos dados possa solicitar revisão de decisões tomadas exclusivamente por sistemas automatizados — o que se alinha, parcialmente, com as exigências de transparência do EU AI Act.
O Bacen publicou orientações sobre uso de IA em serviços financeiros (Resolução 4.966/2021) e o COAF (Conselho de Controle de Atividades Financeiras) supervisiona o cumprimento das obrigações PLD/FT, incluindo processos que utilizem IA para verificação de identidade. O contexto das eleições também é relevante: o TSE proibiu o uso de conteúdo gerado por IA em campanhas eleitorais pela Resolução TSE 23.610/2019.
Para empresas que operam tanto no Brasil como na UE, o PL 2338/2023 — quando aprovado — deverá criar obrigações domésticas análogas. Preparar-se para o EU AI Act hoje significa estar à frente da regulamentação brasileira em desenvolvimento.
Calendário de conformidade
| Data | Marco |
|---|---|
| 2 ago. 2025 | Obrigações para sistemas de IA de uso geral (GPAI) entram em vigor |
| 2 ago. 2026 | Art. 50 — obrigações de transparência para mídia sintética entram em plena aplicação |
| 2 ago. 2026 | Obrigações de registo de operadores de sistemas de IA de alto risco |
| 2 ago. 2027 | Obrigações completas para sistemas de IA de alto risco (Anexo III) |
| Pendente | PL 2338/2023 — aprovação no Senado brasileiro e regulamentação pela ANPD |
O prazo de 2 de agosto de 2026 para o artigo 50 não admite períodos de transição adicionais para empresas de países terceiros. A obrigação aplica-se a partir dessa data a todos os operadores que disponibilizem sistemas cobertos pelo artigo 50 a utilizadores na UE.
Checklist prático para empresas brasileiras
Este checklist considera o quadro regulatório brasileiro e as obrigações do EU AI Act:
Identificação do âmbito de aplicação
- Identificar todos os produtos ou serviços de IA destinados a utilizadores na UE (incluindo apps disponíveis nas lojas europeias)
- Mapear quais outputs envolvem mídia sintética (imagens, vídeos, áudios, textos gerados por IA)
- Determinar se a empresa atua como fornecedor, operador ou em ambos os papéis
Obrigações técnicas (C2PA)
- Verificar suporte a C2PA nas ferramentas de IA utilizadas (Adobe Firefly, Stable Diffusion, Runway, etc.)
- Implementar pipeline de marcação automática em todos os outputs sintéticos destinados à UE
- Testar a integridade dos metadados antes da distribuição
- Documentar o processo de marcação para auditoria
Obrigações de divulgação
- Implementar avisos de IA em chatbots e agentes conversacionais (artigo 50(1))
- Criar templates de divulgação para conteúdo sintético publicado em canais europeus
- Assegurar que contratos com clientes europeus incluem cláusulas de conformidade com o EU AI Act
Representação na UE
- Verificar se é necessário designar representante autorizado (authorised representative) na UE
- Identificar o Estado-Membro relevante para fins de supervisão
Alinhamento com LGPD e PL 2338/2023
- Verificar conformidade com o artigo 20 da LGPD (decisões automatizadas)
- Acompanhar o estado de tramitação do PL 2338/2023 no Senado
- Documentar impactos de sistemas de IA sobre dados pessoais para fins de RIPD (Relatório de Impacto à Proteção de Dados Pessoais)
KYC e verificação documental
- Implementar deteção de mídia sintética nos fluxos de onboarding digital (face liveness, verificação de documentos)
- Consultar as orientações do Bacen sobre IA em serviços financeiros (Res. 4.966/2021) para instituições financeiras
- Registar incidentes de fraude por mídia sintética para reporte ao COAF, quando aplicável
Para uma visão completa das obrigações de conformidade documental, consulte o nosso guia de conformidade documental. Saiba também como a deteção de fraude documental por IA pode apoiar os seus processos de verificação.
CheckFile verifica mensalmente mais de 180.000 documentos com uma taxa de recall de deteção de fraude de 94,8%. Conheça nossas soluções de KYC e verificação documental adaptadas ao contexto regulatório brasileiro e europeu.
Perguntas frequentes
O EU AI Act aplica-se a uma empresa brasileira que não tem escritório na Europa?
Sim, se os seus produtos ou serviços de IA forem acessíveis a utilizadores na UE. O critério não é o local de estabelecimento, mas o mercado onde o sistema de IA produz efeitos. Uma app disponível nas lojas de aplicações europeias, um SaaS contratado por clientes europeus ou um serviço de marketing digital direcionado à Europa estão todos cobertos.
O que é exatamente "mídia sintética" para efeitos do artigo 50?
Qualquer conteúdo de imagem, vídeo, áudio ou texto gerado ou significativamente manipulado por IA de forma a parecer autêntico ou representar uma pessoa real. Inclui deepfakes, vozes clonadas, imagens fotorrealistas geradas por IA e textos apresentados como declarações de pessoas reais. Não inclui conteúdo claramente ficcional ou estilizado onde a natureza artificial é evidente.
A LGPD já cobre as obrigações do artigo 50?
Parcialmente. O artigo 20 da LGPD trata de decisões automatizadas e confere ao titular o direito de solicitar revisão — o que tem sobreposição temática com o EU AI Act. No entanto, a LGPD não estabelece obrigações específicas de marcação de mídia sintética comparáveis ao artigo 50(3). O PL 2338/2023, quando aprovado, deverá colmatar essa lacuna no quadro regulatório brasileiro.
Uma startup brasileira tem as mesmas obrigações que uma grande empresa?
As obrigações materiais são as mesmas. No entanto, o EU AI Act prevê que as penalidades sejam calculadas de forma proporcionada ao tamanho e capacidade económica da empresa, o que mitiga o impacto financeiro das coimas para PMEs. As obrigações técnicas de marcação e divulgação aplicam-se independentemente do tamanho da empresa.
É necessário contratar um representante autorizado na UE?
Se a empresa brasileira não tiver estabelecimento na UE mas disponibilizar sistemas de IA cobertos pelo EU AI Act no mercado europeu, o regulamento exige a designação de um representante autorizado (authorised representative) estabelecido num Estado-Membro da UE. Este representante serve de ponto de contacto com as autoridades nacionais competentes.
Para mais informações sobre segurança e conformidade na verificação documental, ou para conhecer os nossos preços, entre em contato com a CheckFile.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.