---
title: "Checagem às vésperas da implementação do EU AI Act 2026: IA de uso geral, identificação de conteúdos gerados e mapa de obrigações de cibersegurança"
locale: pt
category: report
category_name: "Relatório"
translation_status: reviewed
license: cc_by
author: "injoys"
source_url: https://injoys.com/en/articles/eu-ai-act-2026-gpai-cybersecurity-labeling
published_at: 2026-07-14T02:40:10+09:00
---

# Checagem às vésperas da implementação do EU AI Act 2026: IA de uso geral, identificação de conteúdos gerados e mapa de obrigações de cibersegurança

> Às vésperas da fase de aplicação de 2 de agosto de 2026, organiza em formato de checklist as obrigações do EU AI Act para modelos de IA de uso geral, a identificação e rotulagem de conteúdos gerados por IA e o plano de cibersegurança para IA avançada. Empresas fora da UE também devem revisar documentação, direitos autorais, gestão de riscos, obrigações de identificação e riscos de supervisão se oferecerem modelos ou serviços ao mercado da UE.

## Key Points

- 2 de agosto de 2026 é o momento em que as obrigações de transparência e identificação do EU AI Act e a execução da supervisão de IA de uso geral se tornam importantes na prática.
- Fornecedores de modelos de IA de uso geral devem verificar as obrigações de documentação técnica, informações para fornecedores downstream, política de direitos autorais e divulgação de resumo dos dados de treinamento.
- Modelos de IA de uso geral com risco sistêmico passam a estar sujeitos a exigências adicionais de avaliação do modelo, mitigação de riscos, notificação de incidentes graves e medidas de proteção de cibersegurança.
- Conteúdos gerados ou manipulados por IA podem estar sujeitos a identificação legível por máquina e à obrigação de aviso aos usuários.
- Empresas fora da UE também podem ficar sujeitas à supervisão do AI Office e das regras da UE se oferecerem ao mercado da UE modelos de IA de uso geral ou serviços que os incorporem.

## Visão geral

O EU AI Act entrará, por volta de 2 de agosto de 2026, em uma fase que afetará diretamente as práticas empresariais. Em especial, modelos de IA de uso geral, identificação de conteúdos gerados por IA generativa e gestão de riscos de cibersegurança de IA avançada estão ganhando destaque em conjunto.

Em 7 de julho de 2026, a Comissão Europeia anunciou um novo plano para tratar dos riscos e oportunidades que a IA avançada traz para a cibersegurança. Isso se conecta à supervisão de IA de uso geral, avaliação de modelos, resposta a incidentes e direção de cooperação com órgãos de cibersegurança da UE, como a ENISA, no âmbito do AI Act.

Este documento não é uma interpretação de dispositivos legais, mas sim uma base de conhecimento para verificação prática, com base em materiais publicados pela Comissão Europeia e pelo AI Act Service Desk.

## 1. Por que 2 de agosto de 2026 é importante

O EU AI Act não é uma lei aplicada integralmente de uma só vez, mas sim de forma gradual, por dispositivo. 2 de agosto de 2026 pode ser entendido como o momento em que as seguintes obrigações passam a afetar de modo efetivo a operação das empresas.

| Área | Pontos de verificação em 2026 | Perguntas que a empresa deve confirmar |
|---|---|---|
| Modelos de IA de uso geral | Supervisão e execução pelo AI Office, documentação, direitos autorais e sistema de gestão de riscos | Nosso modelo é oferecido no mercado da UE? É um modelo de IA de uso geral? |
| Identificação de conteúdo gerado | Identificação e aviso sobre textos, imagens, áudio e vídeo gerados ou manipulados por IA | Há risco de que o resultado seja confundido por pessoas com conteúdo real? |
| Risco sistêmico | Avaliação, mitigação, reporte de incidentes e cibersegurança de modelos de alto desempenho | O modelo tem impacto em larga escala ou possibilidade de uso indevido? |
| Cibersegurança | Direito de acesso à IA avançada, avaliação de modelos, cooperação com a ENISA | Os testes de segurança e a resposta a vulnerabilidades estão alinhados ao nível esperado pela regulação? |
| Empresas de fora da UE | Prestadores extraterritoriais também podem estar sujeitos caso ofereçam ao mercado da UE | Há usuários, clientes ou canais de distribuição na UE? |

Um ponto de atenção é que o momento de aplicação das obrigações relativas à IA de uso geral e o período de transição para modelos existentes podem variar conforme a data de lançamento do modelo e seu status jurídico. Portanto, em 2026, é necessário revisar não apenas “novos modelos”, mas também documentos, políticas e formas de identificação de modelos já distribuídos.

## 2. Organização dos principais termos

| Termo | Significado | Importância prática |
|---|---|---|
| Modelo de IA de uso geral | Modelo de IA que pode ser usado para diversos objetivos e tarefas e integrado a vários sistemas | Pode incluir modelos fundacionais, grandes modelos de linguagem e modelos multimodais |
| GPAI | Abreviação de General-Purpose AI, expressão frequentemente usada nas regras do EU AI Act relacionadas à IA de uso geral | Ponto de partida para avaliar as obrigações do provedor do modelo |
| Risco sistêmico | Risco que pode causar impactos amplos à sociedade, à economia e à segurança, como impacto em larga escala, incidentes graves e possibilidade de uso indevido | Critério para obrigações adicionais de avaliação, mitigação e reporte |
| AI Office | Órgão que desempenha papel central na execução do AI Act em nível da UE e na supervisão de IA de uso geral | Ponto de contato de supervisão para provedores de modelos de IA de uso geral |
| Identificação de conteúdo gerado | Identificação que permite que pessoas ou máquinas saibam que o conteúdo foi gerado ou manipulado por IA | Essencial na divulgação de deepfakes, imagens sintéticas e textos gerados por IA |

## 3. Obrigações básicas de provedores de modelos de IA de uso geral

O provedor de um modelo de IA de uso geral não é simplesmente uma empresa de aplicações, mas sim o agente que desenvolve, distribui e fornece o próprio modelo. Quando um modelo é oferecido ao mercado da UE ou passa a ser integrado a serviços dentro da UE, as seguintes obrigações devem ser analisadas.

| Obrigação | Conteúdo | Exemplos de entregáveis necessários | Observação |
|---|---|---|---|
| Elaboração de documentação técnica | Documentação sobre desenvolvimento, treinamento, testes, desempenho e limitações do modelo | Model card, documentação técnica, relatório de avaliação | Base para responder a solicitações das autoridades de supervisão |
| Informações para provedores downstream | Fornecimento das informações necessárias a empresas que integram o modelo para criar sistemas de IA | Guia de integração, restrições de uso, informações de risco | Necessário refletir em contratos B2B e documentação de API |
| Política de conformidade com direitos autorais | Estabelecimento de política para cumprir a legislação de direitos autorais da UE | Política de coleta de dados, procedimento de tratamento de solicitações de titulares de direitos | Conectado à governança de dados de treinamento |
| Divulgação de resumo do conteúdo de treinamento | Divulgação de resumo suficientemente detalhado do conteúdo usado no treinamento | Resumo baseado em modelo da Comissão Europeia | Necessário equilibrar segredo comercial e transparência |
| Preservação de registros e resposta | Manutenção de registros internos para responder a perguntas e investigações das autoridades de supervisão | Sistema de gestão documental, designação de responsável | A possibilidade de comprovação posterior é importante |

### Modelos open source também não são totalmente isentos

O AI Act pode prever tratamento parcialmente flexibilizado para modelos de IA de uso geral livres e open source que cumpram determinadas condições. No entanto, o fato de ser open source, por si só, não elimina todas as obrigações. Em especial, política de direitos autorais, resumo do conteúdo de treinamento e obrigações adicionais para modelos com risco sistêmico devem ser analisados separadamente.

## 4. Requisitos adicionais para modelos de IA de uso geral com risco sistêmico

Modelos avançados de IA de uso geral exigem gestão mais rigorosa do que modelos comuns. O EU AI Act trata separadamente, em especial, dos “modelos de IA de uso geral com risco sistêmico”.

### Elementos para avaliar risco sistêmico

Segundo materiais públicos da UE, o risco sistêmico está relacionado a elementos como os seguintes.

- Desempenho muito elevado ou influência ampla
- Possibilidade de disseminação entre muitos usuários e setores
- Possibilidade de uso indevido, como ataques cibernéticos, riscos biológicos, químicos e físicos, manipulação e desinformação
- Possibilidade de aumento de danos sociais quando ocorrer um incidente grave
- Critérios definidos em lei, como grande volume de computação ou designação pela Comissão

### Mapa de obrigações adicionais

| Obrigação adicional | Descrição | Verificação prática |
|---|---|---|
| Avaliação do modelo | Avaliar de forma sistemática o desempenho, as limitações e os riscos do modelo | Existem tanto avaliações prévias quanto avaliações após o lançamento? |
| Testes adversariais | Testar cenários de uso indevido, como mau uso, jailbreak e possibilidade de executar instruções perigosas | Testes de red team e testes de segurança são registrados? |
| Avaliação e mitigação de riscos | Medidas técnicas e operacionais para reduzir os riscos sistêmicos identificados | Existem filtros de segurança, restrições de acesso, monitoramento e políticas de usuário? |
| Rastreamento e reporte de incidentes graves | Documentar e reportar incidentes graves e medidas corretivas | Existem critérios de classificação de incidentes e procedimentos de reporte? |
| Proteção de cibersegurança | Proteger modelo, pesos, API e infraestrutura de treinamento e distribuição | Há defesa contra roubo de modelo, ataques de prompt e vazamento de dados? |

## 5. Obrigações de identificação e rotulagem de conteúdo gerado por IA

A partir de 2 de agosto de 2026, uma das áreas às quais as empresas devem prestar atenção especial é a identificação de conteúdo gerado ou manipulado por IA. As obrigações de transparência do AI Act concentram-se em reduzir equívocos quando usuários interagem com IA ou entram em contato com conteúdo gerado por IA.

| Objeto | Medida exigida | Exemplo |
|---|---|---|
| Imagens, áudio e vídeo gerados por IA | Possibilitar a indicação de que foram gerados ou manipulados artificialmente | Imagens de pessoas sintéticas, voz de IA, vídeos deepfake |
| Texto generativo | Necessidade de análise de transparência quando usado para fornecer informações sobre assuntos de interesse público | Resumos com caráter jornalístico, textos gerados automaticamente relacionados a eleições e políticas públicas |
| Interação com IA | O usuário deve poder saber que está interagindo com um sistema de IA | Chatbots, atendimento automático, agentes de voz |
| Divulgação de deepfake | O distribuidor ou usuário pode ter que informar o fato de manipulação | Vídeos sintéticos de celebridades, conteúdos sintéticos que parecem eventos reais |

### Ponto central da aplicação prática

- A forma de identificação deve considerar em conjunto avisos visíveis para pessoas e marcas d’água ou metadados legíveis por máquina.
- A identificação deve ser clara sem prejudicar a finalidade do conteúdo.
- Mesmo quando exceções ou flexibilizações forem possíveis, é mais seguro manter os fundamentos da decisão interna.
- Conteúdos de marketing, suporte ao cliente, educação e treinamento de segurança também podem estar sujeitos à obrigação de identificação.

## 6. Significado do plano de cibersegurança de IA avançada da UE em julho de 2026

Em 7 de julho de 2026, a Comissão Europeia anunciou um novo plano para tratar dos riscos e oportunidades que a IA avançada traz para a cibersegurança. Esse plano não vê simplesmente a IA como objeto de regulação, mas adota uma abordagem de utilizá-la como ferramenta para elevar a capacidade de defesa cibernética e, ao mesmo tempo, gerenciar os riscos de segurança da própria IA avançada.

### Por que é importante

| Questão | Significado | Impacto para empresas |
|---|---|---|
| Direito de acesso à IA avançada | Direção para permitir que pesquisadores de segurança e agentes de defesa utilizem capacidades recentes de IA | Necessidade de acesso para testes de segurança, cooperação em pesquisa e procedimento de divulgação responsável |
| Avaliação de modelos | Avaliar se a IA avançada pode fortalecer ataques cibernéticos | Necessidade de avaliar exploração de vulnerabilidades, automação de phishing e possibilidade de suporte a malware |
| Cooperação com a ENISA | Fortalecimento da cooperação com órgão especializado em cibersegurança da UE | Aumento do nível esperado para padrões de segurança, compartilhamento de informações e resposta a incidentes |
| Riscos e oportunidades em paralelo | Reconhecimento da IA tanto como ferramenta de ataque quanto como ferramenta de defesa | Afeta tanto empresas de produtos de segurança quanto empresas de modelos de IA |

## 7. Riscos práticos para empresas de fora da UE

O EU AI Act não é uma questão apenas para empresas dentro da UE. Empresas extraterritoriais que oferecem modelos ou serviços de IA ao mercado da UE também podem estar sujeitas.

### Perguntas que empresas extraterritoriais devem confirmar

1. Usuários da UE podem usar a API, o app ou a plataforma do modelo?
2. Clientes empresariais da UE integram o modelo aos seus próprios serviços?
3. O output do modelo é usado ou gera efeitos dentro da UE?
4. É necessário um representante ou sistema de contato dentro da UE?
5. É possível explicar dados de treinamento, direitos autorais, dados pessoais e documentos de segurança conforme os padrões da UE?
6. A identificação de conteúdo gerado por IA foi refletida na UI do produto e nas respostas da API?
7. Há um procedimento para se comunicar com autoridades de supervisão da UE caso ocorra um incidente grave?

### Riscos contratuais

É muito provável que clientes da UE exijam mais informações dos provedores de modelos para cumprir o AI Act. Portanto, termos de API, contratos enterprise, documentos de tratamento de dados e anexos de segurança devem refletir os seguintes pontos.

- Finalidades e restrições do modelo
- Casos de uso proibidos ou restritos
- Avisos de risco e recursos de segurança
- Disponibilidade de suporte à identificação de conteúdo gerado
- Procedimento de notificação de incidentes de segurança
- Explicações relacionadas a direitos autorais e dados de treinamento
- Escopo de fornecimento de informações necessárias para a conformidade regulatória de provedores downstream

## 8. Checklist para empresas

### A. Classificação do modelo

- [ ] Classificamos se nosso produto é um sistema de IA, um modelo de IA de uso geral ou ambos.
- [ ] Confirmamos se o modelo é oferecido ao mercado da UE.
- [ ] Analisamos separadamente se há distribuição open source e a possibilidade real de isenção.
- [ ] Avaliamos a possibilidade de risco sistêmico.

### B. Documentação

- [ ] Mantemos a documentação técnica atualizada.
- [ ] Documentamos resultados de avaliação e limitações do modelo.
- [ ] Fornecemos as informações necessárias a provedores downstream.
- [ ] Preparamos um modelo para divulgação de resumo do conteúdo de treinamento.
- [ ] Estabelecemos uma política de conformidade com direitos autorais.

### C. Identificação e transparência

- [ ] Definimos critérios de identificação para imagens, voz, vídeo e texto gerados por IA.
- [ ] Projetamos uma forma de identificação adequada entre UI, API, metadados e marca d’água.
- [ ] Analisamos a necessidade de aviso separado para deepfake ou texto de informação de interesse público.
- [ ] Mantemos os fundamentos da decisão caso uma exceção de identificação seja aplicada.

### D. Cibersegurança

- [ ] Revisamos medidas de proteção para pesos do modelo, dados de treinamento e infraestrutura de distribuição.
- [ ] Testamos prompt injection, vazamento de dados, roubo de modelo e uso malicioso.
- [ ] Operamos procedimentos de red team e de reporte de vulnerabilidades.
- [ ] Designamos responsáveis e procedimentos de reporte de incidentes graves.
- [ ] Definimos acesso para pesquisadores de segurança e política de divulgação responsável.

### E. Governança

- [ ] Designamos o departamento responsável pelo AI Act.
- [ ] Dividimos as funções das equipes jurídica, de segurança, de produto, de dados e de vendas.
- [ ] Preparamos um repositório de materiais para responder a solicitações de conformidade de clientes da UE.
- [ ] Monitoramos atualizações do AI Act Service Desk e das diretrizes da Comissão Europeia.

## 9. Conclusão simples

2 de agosto de 2026 é o momento em que o EU AI Act passa a ser refletido concretamente em documentos empresariais, UI de produtos, avaliação de modelos, operação de segurança e contratos com clientes. Para provedores de modelos de IA de uso geral, não basta preparar apenas documentação técnica e políticas de direitos autorais. Identificação de conteúdos gerados, avaliação de risco sistêmico, reporte de incidentes graves, proteção de cibersegurança e resposta a clientes da UE devem ser reunidos em um único sistema de operação regulatória.

Em especial, como a IA avançada aumenta simultaneamente as capacidades de ataque e defesa na área de cibersegurança, a UE apresenta uma direção de política que inclui direito de acesso a modelos, avaliação e cooperação com a ENISA. Se empresas de fora da UE também estiverem conectadas ao mercado da UE, este é o momento de transformar checklists internos em documentos operacionais reais.

## FAQ

### O que muda no EU AI Act em 2 de agosto de 2026?
É o momento em que as obrigações de indicação e transparência para conteúdos gerados por AI começam a impactar de forma efetiva as práticas das empresas, e em que também aumentam, no âmbito da UE, os riscos de supervisão e execução relacionados a modelos de AI de uso geral. Provedores de modelos, provedores de serviços e clientes da UE devem revisar seus sistemas de documentação e indicação.

### Qual é a diferença entre modelos de AI de uso geral e sistemas de AI em geral?
Modelos de AI de uso geral são modelos de base que podem ser reutilizados para diversos propósitos e tarefas. Sistemas de AI em geral se aproximam mais de produtos implementados como uma função ou serviço específico. Uma mesma empresa também pode ser provedora de modelo e, ao mesmo tempo, provedora de sistema de AI.

### Empresas fora da UE também precisam cumprir o EU AI Act?
Ele pode ser aplicável quando uma empresa fornece modelos, API, aplicativos, plataformas ou recursos de AI ao mercado da UE, ou quando impacta usuários e clientes da UE. Portanto, empresas extraterritoriais, como as dos Estados Unidos, da Coreia do Sul e do Japão, também precisam fazer uma revisão se tiverem clientes na UE e canais de distribuição para a UE.

### Quais são as obrigações básicas dos provedores de modelos de AI de uso geral?
Os pontos centrais são a elaboração de documentação técnica, o fornecimento das informações necessárias aos provedores downstream, uma política de conformidade com a legislação de direitos autorais da UE e a divulgação de um resumo dos conteúdos de treinamento. Também é necessário gerenciar documentos e registros internos para poder responder a solicitações das autoridades supervisoras.

### O que mais é exigido para modelos de AI de uso geral com risco sistêmico?
São exigidos avaliação do modelo, testes adversariais, avaliação e mitigação de riscos sistêmicos, rastreamento e comunicação de incidentes graves, além de medidas adequadas de proteção em cibersegurança. Quanto mais avançado for o desempenho e maior for o impacto em larga escala do modelo, mais cuidadosamente essa categoria deve ser examinada.

### Conteúdos gerados por AI precisam obrigatoriamente receber um rótulo?
Imagens, áudios, vídeos e alguns textos gerados ou manipulados por AI podem estar sujeitos a obrigações de indicação ou aviso. A forma concreta de aplicação varia conforme o tipo de conteúdo, o contexto de uso, se há informação de interesse público e a possibilidade de exceções.

### O que é uma indicação legível por máquina?
Significa uma forma que permita ao sistema identificar se algo foi gerado por AI, como metadados, marcas d’água e sinais detectáveis, além de textos visíveis para pessoas. Nas obrigações de transparência do EU AI Act, esses meios técnicos de indicação são importantes.

### Modelos de AI de uso geral open source não têm obrigações?
Não é assim. Se determinadas condições forem atendidas, algumas obrigações de fornecimento de documentação podem ser flexibilizadas, mas a política de direitos autorais, o resumo dos conteúdos de treinamento e as obrigações adicionais para modelos com risco sistêmico ainda precisam ser analisados.

### Por que o plano de cibersegurança para AI avançada da UE em julho de 2026 é importante?
Porque a AI avançada pode fortalecer ataques cibernéticos e, ao mesmo tempo, também aumentar a capacidade de defesa. A UE apresentou uma direção para gerir riscos e oportunidades em conjunto por meio de avaliação de modelos, acesso à pesquisa de segurança, cooperação com a ENISA, entre outros.

### Por onde as empresas devem começar a se preparar agora?
Primeiro, devem organizar a classificação jurídica de seus modelos e serviços e preparar documentação técnica, política de direitos autorais, resumo dos conteúdos de treinamento, critérios de indicação de conteúdos gerados, testes de cibersegurança e procedimentos de comunicação de incidentes. Também é recomendável ajustar em conjunto o escopo das informações a serem fornecidas, necessário para contratos com clientes da UE.

## Sources

- [Comissão Europeia: Novo plano da UE para abordar riscos e oportunidades da IA avançada em cibersegurança](https://commission.europa.eu/news-and-media/news/new-eu-plan-address-risks-and-opportunities-advanced-ai-cybersecurity-2026-07-07_en)
- [Estratégia Digital da Comissão Europeia: Diretrizes para fornecedores de modelos de IA de uso geral](https://digital-strategy.ec.europa.eu/en/policies/guidelines-gpai-providers)
- [Central de Atendimento do AI Act: Recursos](https://ai-act-service-desk.ec.europa.eu/en/resources)
- [Estratégia Digital da Comissão Europeia: Modelos de IA de uso geral no AI Act – Perguntas e respostas](https://digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers)

## Images

![Esfera de rede de IA sobre um mapa da Europa com listas, escudo de segurança e ícones de mídia](https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6MTU5OCwicHVyIjoiYmxvYl9pZCJ9fQ==--6a0b9d54509435169af30174097627941985e773/ai-cda1846a.webp)
![Cubo de IA passando por portal seguro rumo ao mapa da UE com rótulos de conteúdo e ícones de conformidade](https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6MTYwNCwicHVyIjoiYmxvYl9pZCJ9fQ==--d98af00256b05694db8cda3fb6af35918a87a9d5/ai-0e08a622.webp)