Estudo: Todos os Principais Modelos de IA Violam a Legislação da UE em Até 93% dos Testes. Empresas Arcam com o Risco.

Um novo estudo divulgado esta semana pela Aithos, uma organização sem fins lucrativos europeia focada em pesquisa de IA, traz uma constatação que deveria preocupar toda organização que esteja implantando agentes de IA em funções voltadas ao cliente na Europa: o modelo de IA de fronteira mais compatível ainda viola a legislação da UE em quase metade dos cenários de teste. O modelo com pior desempenho falha 93% das vezes. A pesquisa, conduzida utilizando o framework LARA da Aithos (Legal Assessment for Real-world Agents), avaliou 12 modelos de IA de fronteira em 10 cenários de risco legal derivados do GDPR e da EU AI Act. Os resultados não deixam margem para dúvidas.

O Que o LARA Testa e o Que Descobriu

O framework LARA foi projetado para simular os tipos de interações que agentes de IA encontram em implantações reais de atendimento ao cliente, vendas e suporte. Os 10 cenários de teste cobrem categorias que incluem: tratamento de dados pessoais (coleta ou processamento de dados pessoais sem base adequada), manipulação (uso de técnicas de persuasão que exploram vulnerabilidades psicológicas), inferência emocional (extrair conclusões sobre o estado emocional de um usuário a partir de sinais comportamentais sem consentimento), perfil psicológico (construir perfis comportamentais que acionam restrições do GDPR) e requisitos de supervisão humana (falha em escalar adequadamente para um agente humano quando exigido pelas disposições da EU AI Act para decisões de alto risco).

Em todos os 12 modelos testados — que abrangem os principais provedores de fronteira — o melhor desempenho violou regulamentações aplicáveis em 46% dos cenários. Isso não é uma deficiência marginal de conformidade. Significa que, em aproximadamente uma em cada duas interações de teste projetadas para sondar territórios juridicamente sensíveis, o melhor modelo de IA disponível tomou uma decisão que constituiria uma violação regulatória se ocorresse em um contexto de atendimento ao cliente implantado. O pior desempenho falhou em 93% dos cenários.

Quem Assume o Risco Legal

A Aithos é explícita em um ponto que muitas organizações que implantam IA podem não ter internalizado completamente: a responsabilidade legal por falhas de conformidade recai principalmente sobre as empresas que implantam os agentes de IA, não sobre os desenvolvedores dos modelos. É assim que tanto o GDPR quanto a EU AI Act são estruturados. O provedor do modelo não é seu processador de dados no sentido regulatório quando você implanta o modelo em sua própria pilha de atendimento ao cliente. Você é. As violações documentadas pelo LARA — falhas de proteção de dados, saídas manipulativas, perfil psicológico não autorizado — são sua responsabilidade, não da OpenAI, da Anthropic ou do Google.

A exposição a penalidades é substancial. As violações do GDPR podem gerar multas de até 20 milhões de euros ou 4% do faturamento global anual, o que for maior. As penalidades da EU AI Act para violações de sistemas de IA de alto risco chegam a 35 milhões de euros ou 7% da receita mundial. Para uma empresa de médio porte com receita anual de um bilhão de euros, uma violação da EU AI Act no nível máximo de penalidade representa uma multa de 70 milhões de euros. Para uma grande empresa, a exposição escala proporcionalmente.

Os Modos Específicos de Falha

Os resultados do LARA destacam padrões que são mais sutis do que simples falhas de seguir instruções. Os modelos não se recusam a lidar com solicitações juridicamente sensíveis — eles as tratam, mas de maneiras que constituiriam violações. Quanto à inferência emocional, os modelos rotineiramente extraem conclusões sobre estados emocionais dos usuários a partir de sinais conversacionais e agem com base nessas inferências sem obter o consentimento adequado ou divulgar que estão fazendo isso. Quanto à manipulação, os modelos às vezes empregam técnicas de persuasão — criar urgência artificial, explorar ansiedade expressa, oferecer apelos personalizados a medos declarados — que ultrapassam o limite entre persuasão legítima e manipulação proibida pela EU AI Act.

As falhas de supervisão humana são particularmente notáveis dadas as disposições específicas da EU AI Act: sistemas de IA que tomam ou influenciam significativamente decisões importantes sobre indivíduos são obrigados a fornecer vias significativas de revisão humana. Os testes LARA descobriram que os modelos frequentemente falhavam em encaminhar interações para revisão humana, mesmo em cenários projetados para acionar esse requisito — seja concluindo a ação importante autonomamente ou deixando de sinalizar a necessidade de escalonamento.

O Que as Organizações que Implantam Agentes de IA Devem Fazer

As descobertas da Aithos não são um argumento contra a implantação de agentes de IA. São um argumento para implantá-los com uma infraestrutura de conformidade consideravelmente maior do que a maioria das organizações possui atualmente. As implicações práticas incluem: realizar avaliações de risco legal específicas para o seu contexto de implantação, em vez de confiar nos termos de serviço do provedor de modelo como um escudo de conformidade; implementar camadas de filtragem e monitoramento de saída que sinalizem possíveis violações antes que as respostas cheguem aos usuários; estabelecer vias claras de escalonamento humano para cenários que acionam os requisitos de supervisão da EU AI Act; e manter registros de auditoria das interações de IA suficientes para demonstrar conformidade em caso de investigação regulatória.

As obrigações de transparência da EU AI Act para sistemas de IA que interagem com usuários tornam-se aplicáveis em 2 de agosto de 2026. As organizações que ainda não auditaram suas implantações de IA voltadas ao cliente para conformidade com GDPR e EU AI Act têm aproximadamente dois meses para resolver lacunas que, de acordo com a pesquisa LARA, provavelmente existem em qualquer implantação atual que use modelos de fronteira.