IRCNF

Illinois acabou de aprovar a primeira lei dos EUA exigindo auditorias anuais de segurança para Modelos de AI de Fronteira.

Capitol News Illinois
Compartilhar:
Illinois acabou de aprovar a primeira lei dos EUA exigindo auditorias anuais de segurança para Modelos de AI de Fronteira.

Illinois tornou-se o primeiro estado dos Estados Unidos a exigir legalmente auditorias de segurança independentes anuais para modelos de IA de fronteira — um marco histórico alcançado exatamente no momento em que a regulamentação federal de IA estagnou. A Lei de Medidas de Segurança de Inteligência Artificial de Illinois (Illinois Artificial Intelligence Safety Measures Act), conduzida pelo Projeto de Lei 315 (Senate Bill 315), foi aprovada na Câmara estadual por 110 a 0 e no Senado por 52 a 5 em maio de 2026. O governador J.B. Pritzker sinalizou sua intenção de sancioná-la.

As margens de votação dizem muito. Uma votação de 110 a 0 na Câmara não é uma decisão apertada — é uma declaração. Independentemente das discordâncias entre os legisladores de Illinois, eles encontraram um consenso quase unânime de que os desenvolvedores de IA de fronteira precisam ser responsabilizados pela lei estadual.

O que a Lei Exige

O SB 315 cria cinco obrigações interligadas para as empresas cobertas, com vigência em 1º de janeiro de 2027, sendo que o requisito mais rigoroso — auditorias obrigatórias de terceiros — entra em vigor em 1º de janeiro de 2028:

  1. Estrutura de Segurança para IA de Fronteira: As empresas cobertas devem publicar anualmente uma estrutura de segurança abrangente documentando avaliações de risco catastrófico, estratégias de mitigação, protocolos de cibersegurança, estruturas de governança e resumos de avaliações de terceiros. Isso não é um mero exercício burocrático — exige que as empresas articulem publicamente o que pode dar errado com seus modelos mais poderosos e o que estão fazendo a respeito.
  2. Relatórios de Transparência: Antes de implantar um novo modelo de fronteira ou modificar significativamente um existente, as empresas devem publicar um relatório de transparência. Isso cria uma camada de responsabilidade pré-implantação que atualmente não existe no nível federal.
  3. Auditorias Anuais Obrigatórias e Independentes de Segurança por Terceiros: Esta é a disposição que torna o SB 315 historicamente significativo. Nenhum estado dos EUA jamais exigiu auditorias externas independentes de sistemas de IA neste nível. A partir de 2028, as empresas cobertas devem se submeter a auditorias anuais conduzidas por terceiros qualificados — não revisões internas, não autocertificação, mas escrutínio externo independente.
  4. Relato de Incidentes: Incidentes críticos de segurança devem ser relatados às autoridades competentes. Isso espelha as estruturas de relato de incidentes que já existem nas indústrias de aviação, nuclear e farmacêutica — setores onde as consequências de falhas podem ser catastróficas.
  5. Proteções a Denunciantes: Funcionários que identificam e relatam riscos à segurança pública relacionados aos sistemas de IA de sua empresa são protegidos contra retaliação. Esta disposição reconhece o que os insiders da indústria já sabem: as pessoas com conhecimento mais direto dos riscos de segurança da IA são frequentemente as menos capazes de falar publicamente sobre eles.

A aplicação cabe à Agência de Gerenciamento de Emergências de Illinois (Illinois Emergency Management Agency) e ao Escritório de Segurança Interna (Office of Homeland Security), em consulta com o Procurador-Geral do estado. As violações acarretam penalidades civis.

Quem Está Coberto

A lei tem como alvo "grandes desenvolvedores de IA de fronteira" — uma categoria definida por aproximadamente US$ 500 milhões ou mais em receita anual e limites computacionais significativos. Na prática, isso significa que empresas como OpenAI e Anthropic estão explicitamente no escopo.

O que torna a história legislativa do SB 315 genuinamente incomum é que tanto OpenAI quanto Anthropic apoiaram publicamente o projeto. Isso é notável. O padrão dominante na regulamentação de tecnologia é que a indústria regulada faz lobby vigorosamente contra a supervisão, financiando coalizões, movendo ações judiciais e alertando sobre consequências que matam a inovação. Aqui, duas das empresas de IA mais relevantes do mundo disseram, em efeito: esta lei é razoável, e nós a apoiamos.

Existem várias interpretações possíveis para esse apoio. Uma é o compromisso genuíno com a responsabilidade pela segurança. Outra é um cálculo estratégico — grandes incumbentes com recursos podem absorver custos de conformidade que esmagariam concorrentes menores, usando efetivamente a regulamentação como um fosso. Provavelmente, é uma mistura de ambos. De qualquer forma, a ótica política foi significativa: é difícil argumentar que um mandato de segurança é um exagero irracional quando as empresas que ele cobre o endossam.

Por que os Estados Estão Agindo Enquanto Washington Estagna

O momento da aprovação do SB 315 não é coincidência. Em 21 de maio de 2026, a administração Trump adiou uma ordem executiva federal sobre segurança de IA, deixando um vácuo regulatório explícito em nível nacional. Os estados estão preenchendo esse vácuo.

Illinois não está agindo isoladamente. O SB 315 foi modelado com base na legislação de segurança de IA aprovada por New York e California em 2025. O padrão é familiar para quem acompanhou o desenvolvimento das leis ambientais, de privacidade ou de proteção ao consumidor nos Estados Unidos: quando a ação federal estagna, California age primeiro, outros estados seguem e, eventualmente, Washington adota um padrão nacional ou aprova legislação federal de preempção para retomar o controle.

As obrigações de transparência da EU AI Act para conteúdo gerado por IA entram em vigor em 2 de dezembro de 2026. O SB 315 de Illinois, com vigência em 1º de janeiro de 2027, coloca os Estados Unidos — no nível estadual — em alinhamento aproximado com o cronograma regulatório internacional. Se esse alinhamento é deliberado ou casual, significa que os desenvolvedores de IA sediados nos EUA enfrentarão prazos de conformidade convergentes de várias jurisdições na mesma janela de 12 meses.

O Problema da Auditoria

A NetChoice, grupo de defesa da indústria de tecnologia, levantou objeções ao SB 315 que merecem atenção séria — não porque sejam razões para se opor à lei, mas porque identificam desafios reais de implementação que precisarão ser resolvidos.

A crítica central: não existem auditores de segurança de IA certificados. Não existem estruturas padronizadas reconhecidas para auditar modelos de IA de fronteira. A lei exige auditorias anuais de terceiros a partir de 2028 para sistemas — modelos da classe GPT, modelos da classe Claude — que nenhuma infraestrutura de auditoria existente está equipada para avaliar.

Quem auditará o GPT-6? Quais credenciais eles terão? Qual metodologia usarão? O que significa "passar" ou "reprovar" em uma auditoria de segurança de IA? Essas perguntas ainda não têm respostas, e a lei não as responde. Ela cria a obrigação sem criar a infraestrutura.

A NetChoice também destacou a vagueza do padrão de "risco catastrófico irracional" — uma frase que soa intuitiva, mas é legalmente imprecisa. Que nível de risco é irracional? Comparado a qual linha de base? Essas lacunas de definição quase certamente gerarão litígios.

Essas críticas são válidas. Elas também são o tipo de problema que tende a ser resolvido precisamente porque um prazo legal as torna inevitáveis. Organismos de padronização, associações profissionais e empresas especializadas normalmente não desenvolvem metodologias de auditoria de IA porque seria bom tê-las. Elas as desenvolvem porque uma lei diz que as auditorias devem ocorrer até uma data específica.

O Que Isso Significa para as Empresas de IA

Para as empresas no escopo, o cronograma de conformidade é apertado e os requisitos são substanciais. O requisito de publicação da estrutura de segurança começa em 1º de janeiro de 2027 — menos de sete meses a partir de agora. Isso significa que as empresas cobertas devem, em questão de meses, produzir e divulgar publicamente uma avaliação abrangente de risco catastrófico para seus modelos mais poderosos.

Na prática, uma "avaliação de risco catastrófico" exige que as empresas documentem formalmente cenários em que seus modelos possam causar danos graves e em larga escala — e especifiquem quais controles possuem para prevenir ou mitigar esses cenários. Para empresas que já realizam esse trabalho internamente, o desafio é principalmente de divulgação. Para empresas que não o fazem, o desafio é tanto substantivo quanto reputacional.

O requisito do relatório de transparência — publicação antes de cada nova implantação de modelo de fronteira — cria um ponto de pressão adicional. Isso significa que o lançamento de um grande novo modelo não é mais apenas o lançamento de um produto; é também um evento regulatório que exige divulgação documentada de segurança.

O requisito de auditoria de terceiros em 2028 dá às empresas dois anos para identificar auditores qualificados ou ajudar a construir o ecossistema de auditoria que as avaliará. Dado que OpenAI e Anthropic apoiaram o projeto, elas têm algum incentivo para ajudar esse ecossistema a se desenvolver, em vez de chegar ao prazo sem auditores confiáveis disponíveis.

O Panorama Geral

É assim que a regulamentação tecnológica consequente frequentemente começa nos Estados Unidos: imperfeitamente, no nível estadual, com lacunas legais reais e questões legítimas de implementação, mas avançando mesmo assim.

A lei de privacidade de dados da California foi criticada como vaga e difícil de implementar. No entanto, impulsionou a CCPA, inspirou outras leis estaduais e contribuiu para conversas federais sobre privacidade que continuam até hoje. O GDPR, amplamente criticado em sua aprovação pela carga de conformidade, tornou-se o padrão global de fato em torno do qual até empresas dos EUA construíram sistemas.

O SB 315 de Illinois pode seguir uma trajetória semelhante. Pode se tornar um padrão nacional de fato se outros estados adotarem estruturas semelhantes e as empresas padronizarem sua infraestrutura de conformidade entre jurisdições. Pode ser anulado por uma eventual legislação federal — embora essa legislação federal, se vier, terá sido moldada pelo que estados como Illinois, California e New York já estabeleceram.

Ou pode se tornar um conto de advertência sobre regulamentação prematura — uma lei que impõe custos reais, não produz os benefícios de segurança que promete e é silenciosamente revisada ou revogada. Isso também é possível.

O que não é possível é o status quo. Modelos de IA de fronteira estão sendo implantados em escala, com capacidades que seus próprios desenvolvedores reconhecem não compreender completamente, em um ambiente regulatório onde o governo federal explicitamente se retirou. Alguma forma de estrutura de responsabilização sempre preencheria esse vácuo. Em Illinois, isso acaba de acontecer.

Os desenvolvedores de IA de fronteira têm agora até 1º de janeiro de 2027 para publicar suas estruturas de segurança — e até 1º de janeiro de 2028 para encontrar auditores que talvez ainda não existam. O relógio está correndo.

Originally reported by Capitol News Illinois. Read the original article for additional details.

View original source
Compartilhar: