Illinois aprova projeto de lei histórico de segurança em IA, tornando-se o primeiro estado a exigir auditorias de modelos de fronteira

Na quarta-feira, os legisladores de Illinois enviaram ao governador J.B. Pritzker um projeto de lei histórico de segurança em IA, após ele ser aprovado na Câmara por 110 a 0 e no Senado por 52 a 5 — e Pritzker já declarou publicamente que pretende sancioná-lo. Com isso, Illinois se tornará o primeiro estado do país a exigir auditorias independentes de terceiros sobre as práticas de segurança de grandes desenvolvedores de IA de fronteira.

O que o projeto exige

O Senate Bill 315, formalmente intitulado Artificial Intelligence Safety Measures Act, se aplica a desenvolvedores de IA com receita bruta anual superior a US$ 500 milhões. O escopo inclui Anthropic, OpenAI, Google DeepMind e Meta AI, entre outros.

As empresas cobertas devem criar e atualizar anualmente um framework publicado que abranja avaliação de risco catastrófico, estratégias de mitigação de riscos, práticas de cibersegurança, governança interna e avaliações de terceiros. Além de publicar os frameworks, elas devem divulgar como identificam e respondem a "incidentes críticos de segurança" — e relatar esses incidentes à Illinois Emergency Management Agency e ao Procurador-Geral dentro de 72 horas após terem motivos suficientes para acreditar que um deles ocorreu. Se o incidente representar risco iminente de morte ou dano físico grave, esse prazo se reduz para 24 horas.

O requisito de auditoria é a disposição mais significativa do projeto. A partir de 1º de janeiro de 2028, grandes desenvolvedores devem se submeter a auditorias anuais independentes de terceiros sobre suas práticas de segurança — um requisito que não existe no nível federal nem em nenhuma outra lei estadual.

A legislação também inclui proteções a denunciantes (whistleblowers) para funcionários que levantem preocupações de segurança, exigindo que as empresas mantenham um processo anônimo de denúncia interna. O Procurador-Geral de Illinois recebe autoridade de execução civil sobre empresas não conformes.

A política por trás da votação

O principal patrocinador do projeto no Senado, o senador estadual democrata Mary Edly-Allen, de Grayslake, descreveu o atual cenário regulatório da IA como "o Velho Oeste" (Wild Wild West). O deputado estadual Daniel Didech, patrocinador na Câmara, disse aos colegas no plenário que a IA "tem o potencial de melhorar drasticamente a qualidade de vida das pessoas em todo o mundo, mas apenas se for implantada e desenvolvida de forma responsável."

A votação quase unânime na Câmara (110 a 0) reflete um acordo bipartidário excepcionalmente amplo. Os democratas de Illinois estão promovendo um pacote de projetos de lei relacionados à IA nesta sessão, enquadrando-os explicitamente como uma resposta à inação federal na regulamentação da IA. Illinois está modelando sua abordagem com base em legislações semelhantes em Nova York e Califórnia, com o objetivo de criar um padrão nacional de facto para os estados que optarem por adotá-lo.

O que isso significa para a indústria

Uma janela de 72 horas para relatar incidentes é notavelmente agressiva — mais rigorosa, por exemplo, do que a regra de notificação de 72 horas do GDPR e comparável às regras de divulgação de incidentes de cibersegurança da SEC. Para as empresas de IA, definir o que constitui um "incidente crítico de segurança" será um grande desafio de implementação.

O requisito obrigatório de auditoria anual representa um ônus significativo de conformidade. Atualmente, não existe um ecossistema de auditoria estabelecido para práticas de segurança de IA de fronteira, o que significa que empresas e auditores terceirizados precisarão definir metodologias do zero antes da data de vigência em 2028. Essa lacuna será um foco imediato para organismos de padronização, firmas de auditoria e a própria indústria.

O projeto foi aprovado com apoio de várias empresas de IA, sugerindo que a indústria vê a regulamentação estadual como preferível a um mosaico de leis locais mais restritivas — ou como uma proteção contra uma legislação federal menos previsível. Conforme noticiado pelo Capitol News Illinois, os defensores descrevem o SB 315 como "apenas o primeiro passo."