- A aplicação de IA baseada em agentes pode deixar rastros inadequados de o que, quando e por que executou ações, criando desafios de governança que os líderes de TI devem enfrentar.
- A entrada em vigor efetiva da Lei de IA da União Europeia, prevista para agosto, traz penalties significativos para falhas de governança, especialmente em áreas de alto risco.
- Medidas importantes para reduzir riscos incluem identificação de agentes, logs abrangentes, checagens de políticas, supervisão humana, revogação rápida e disponibilidade de documentação dos fornecedores.
- Soluções como o kit de desenvolvimento Python Asqav podem assinar ações de agentes de forma criptográfica, conectando registros a uma cadeia de hash imutável; manter um sistema de registro centralizado e detalhado facilita a auditoria.
- A gestão deve manter uma lista de ativos de IA agentic, registrar cada agente com capacidades e permissões, prever revogação de atribuições em segundos e considerar a complexidade de ambientes com múltiplos agentes.
A União Europeia deve intensificar a fiscalização sobre IA em 2026, com a entrada em vigor efetiva do EU AI Act. A lei amplia as responsabilidades de governança e impõe sanções para falhas na gestão de sistemas de IA, especialmente em áreas de alto risco como dados pessoais e operações financeiras.
Especialistas alertam que, para que as soluções com agentes de IA operem com segurança e conformidade, é preciso rastrear ações, autorizações e decisões. Organizações devem demonstrar controle sobre a atuação de cada agente e manter registros auditáveis.
A regulação prevê sanções significativas para falhas de governança em IA de alto risco. Reguladores poderão exigir evidências de conformidade e boa prática em toda a cadeia de produção, desenvolvimento e implantação.
Enquadramento regulatório
Para enfrentar o risco, gestores de TI devem pensar em identidade de agentes, logs completos e supervisão humana. A documentação proveniente de fornecedores e a capacidade de demonstrar decisões para reguladores ganham relevância.
Entre as medidas técnicas sugeridas estão assinaturas criptográficas das ações dos agentes e a criação de uma cadeia de hash imutável que vincule os registros. A ideia é dificultar alterações não autorizadas e facilitar auditorias.
Gestão de registros e ativos
Organizações devem manter um sistema de registro centralizado, potencialmente criptografado, que consolide as ações de todos os agentes. Um inventário de ativos de IA, com identidades únicas, capacidades e permissões, facilita o rastreamento conforme o Artigo 9 do AI Act.
O Artigo 13 exige que sistemas de IA de alto risco sejam interpretáveis, apresentando documentação suficiente para uso seguro e legal. Assim, a seleção de modelos e modos de implantação exige avaliações técnicas e regulatórias.
Controles operacionais
É essencial prever a revogação rápida do papel operacional de um IA, idealmente em segundos. A capacidade de revogar privilégios, interromper acesso à API e limpar tarefas pendentes deve fazer parte de planos de resposta a incidentes.
A supervisão humana contínua deve fornecer contexto suficiente para que operadores possam rejeitar ações propostas. Não basta ver apenas prompts ou métricas; é necessário entender o âmbito e a autoridade de cada agente.
Multiagentes e conformidade
Processos com múltiplos agentes apresentam complexidade adicional de rastreamento, já que falhas podem ocorrer em cadeias de ações. Políticas de segurança devem ser testadas durante o desenvolvimento de sistemas com várias entidades.
Autoridades regulatórias podem exigir logs e documentação técnica a qualquer momento, especialmente após incidentes. A disponibilidade dessas evidências é parte da governança necessária para uso responsável.
Considerações finais
A pergunta para os gestores é se cada aspecto da tecnologia pode ser identificado, restringido por políticas, auditável, interrompível e explicável. Caso a resposta seja incerta, a governança ainda não está plenamente implementada.
Entre na conversa da comunidade