FSB propõe 12 boas práticas para regulação de IA no setor financeiro

O Financial Stability Board (FSB), foro internacional de estabilidade financeira instituído após a crise de 2008 no âmbito do G20, submeteu a consulta pública em junho um conjunto de 12 boas práticas não vinculantes sobre o uso de inteligência artificial nas instituições financeiras. Embora o documento não tenha caráter normativo — as deliberações do FSB não vinculam seus membros —, sintetiza o entendimento consensual das autoridades reguladoras globais sobre os riscos críticos da adoção acelerada de IA no segmento bancário.

Contexto

O cenário brasileiro revela a intensidade da transição tecnológica. Conforme dados da Pesquisa Febraban de Tecnologia Bancária 2025, as instituições projetam ampliar em 61% os investimentos em inteligência artificial, analytics e big data naquele ano, atingindo aproximadamente R$ 1,8 bilhão. Mais de 80% dos bancos já empregam IA generativa em operações, com ganho médio de eficiência de 11,4%, e 38% reportam ganhos superiores a 20%.

A disseminação é particularmente abrangente: 94% das instituições utilizam a tecnologia para aprimorar a experiência do cliente, enquanto 80% a aplicam no combate a fraudes e à lavagem de dinheiro. Contudo, dados da Febraban repousam em amostra reduzida e autodeclarada — apenas 20 bancos, que responde por 85% dos ativos da indústria.

Um retrato mais completo emerge do Relatório de Estabilidade Financeira de novembro de 2025 do Banco Central, que incluiu levantamento com 606 instituições, equivalentes a cerca de 96% dos ativos do sistema financeiro nacional. O documento revela que a adoção de IA reflete a maturidade tecnológica e a capacidade de investimento: é integral nos maiores bancos (segmentos S1 e S2, com 100% de aderência) e decresce acentuadamente entre instituições menores.

As instituições identificam riscos em ordem de preocupação: legal ou de conformidade (66%), operacional (65%), má qualidade de dados (65%), reputacional (62%), de modelo (54%) e tecnológico (53%). Curiosamente, o risco associado a prestadores terceirizados figura por último com apenas 42% de percepção — divergência crítica, já que as autoridades regulatórias internacionais consideram a dependência de fornecedores de tecnologia um dos vetores mais críticos para a estabilidade financeira.

O que foi decidido

O FSB estruturou suas 12 boas práticas em dois eixos complementares. O primeiro trata da governança corporativa em toda a organização: as práticas 1 a 4 enfatizam que as decisões sobre adoção de IA devem ser do conselho de administração e da alta gestão, não da área de tecnologia isoladamente. Cabe a esses órgãos definir o apetite a risco, as responsabilidades e, especialmente, os usos vedados — como a automação integral de decisões em áreas críticas.

O segundo eixo abrange o ciclo de vida completo dos modelos. Seis práticas (5 a 10) incidem sobre etapas específicas: avaliação de materialidade e risco, seleção do modelo, governança de dados, explicabilidade, desempenho contínuo e supervisão humana. Duas práticas transversais (11 e 12) focam riscos cibernéticos e de TIC, bem como riscos derivados de terceiros — elementos que perpassam todas as fases.

O relatório adota abordagem proporcional: maior rigor para instituições grandes e interconectadas; menor para as de menor porte. A proposta também é neutra tecnologicamente, reconhecendo que diferentes arquiteturas de IA podem atender aos objetivos sem imposição de soluções específicas.

Acerca da explicabilidade, o FSB rejeita visão binária e adota conceito gradual. Admite reduzido grau de explicabilidade quando o ganho preditivo o justifica — como em certos sistemas antifraude. Mas exige maior transparência quando o impacto sobre o cliente é elevado, especialmente em concessão de crédito e subscrição de seguros. A sequência proposta é: incorporar explicabilidade desde a concepção, aplicar métodos de interpretação posteriores, adotar controles compensatórios e, se o risco não se enquadrar no apetite definido, substituir o modelo por outro mais explicável, ainda que de desempenho inferior.

Crucial: a responsabilidade não é transferível. A instituição responde pelos resultados ainda quando o modelo é desenvolvido por fornecedor externo.

Base normativa e precedentes

• Lei 13.709/2018 (LGPD) — Embora focada em proteção de dados, impõe responsabilidade sobre decisões automatizadas que afetem direitos, exigindo explicabilidade em contextos sensíveis.

• Lei 13.105/2015 (CPC) — Preza transparência em processos decisórios, com reflexos em questões contenciosas sobre IA.

• Resolução CMN 4.910/2021 — Estabelece diretrizes gerais de governança corporativa para instituições financeiras, base normativa sobre a qual a regulação de IA deve se assentar.

• Recomendações do Conselho de Estabilidade Financeira (FSB 2024) — Identificou quatro vetores de risco sistêmico: concentração em provedores de tecnologia, correlação de comportamentos, riscos cibernéticos e fragilidades de modelo, dados e governança.

• Basileia 3 — Framework internacional de adequação de capital; reguladores estudam incorporação de riscos específicos de IA.

Impacto prático

Para instituições financeiras:

• Estrutura de governança: adequação dos conselhos e alta gestão para deliberação sobre IA, separação clara entre decisão estratégica e execução tecnológica.

• Mapeamento de riscos: necessidade de avaliações robustas de materialidade e risco antes da implementação de qualquer modelo.

• Documentação e auditoria: expansão de registros, testes e trilhas de auditoria sobre desempenho de modelos em produção.

• Conformidade com terceiros: diligência intensificada sobre fornecedores de tecnologia, incluindo cláusulas contratuais sobre responsabilidade, segurança cibernética e acesso a dados.

Para advogados e compliance:

• Litigiosidade previsível: decisões de crédito negadas, rejeições em seguros e ações de fraude fundamentadas em IA gerarão demandas questionando explicabilidade e direitos do consumidor.

• Exposição regulatória: auditorias do Banco Central tenderão a verificar governança de IA; falhas expõem a instituição a sanções.

• Nexo com LGPD: a Lei de Proteção de Dados exige explicabilidade em decisões automatizadas; boas práticas do FSB convertem com esses requisitos.

Para consumidores e investidores:

• Direito à explicação: a tese da explicabilidade gradual equilibra eficiência com transparência, mas obriga instituições a revelar quando um modelo não é plenamente explicável.

• Responsabilidade clara: a instituição permanece responsável, impossibilitando transferência de culpa a fornecedores.

O que observar

O Banco Central mantém postura cautelosa: não editou ato normativo específico sobre IA e preserva o tema em estudo. Essa demora reflete dilema regulatório genuíno: normatizar cedo corre o risco de se fossilizar tecnologia em rápida evolução; normatizar tarde permite acúmulo de risco sistêmico.

Os agentes autônomos de IA — capazes de planejar e executar tarefas com intervenção humana reduzida — representam próxima fronteira de risco. Ações não autorizadas, decisões equivocadas por desalinhamento de objetivos e efeitos de reversão difícil ou impossível justificam atenção regulatória prioritária.

A percepção de risco das instituições diverge da das autoridades: o risco de terceiros, minimizado pelos bancos (42%), é crítico para reguladores. Isso sinaliza que a próxima onda regulatória focará a cadeia de terceirização de tecnologia, incluindo prestadores de cloud computing, desenvolvedores de modelos e fornecedores de dados.

A consulta pública do FSB encerra ciclo de estudos; em 12 a 18 meses, espera-se que autoridades nacionais (Banco Central, CVM, ANPD) incorporem as boas práticas em normativos vinculantes. O Brasil acompanhará esse movimento internacional, mas com possível delay. Instituições devem antecipar conformidade: estruturar governança de IA agora reduz custos de adaptação futura e demonstra boa-fé regulatória.