Regulação de IA no Sistema Bancário Aberto (Open Finance)

A inteligência artificial já transforma o Open Finance brasileiro, mas a ausência de regulação específica cria riscos jurídicos concretos para instituições financeiras e consumidores.

O Avanço da Inteligência Artificial no Ecossistema do Open Finance

Nos últimos anos, observamos uma convergência acelerada entre dois movimentos regulatórios de grande impacto no setor financeiro brasileiro: a implementação do Open Finance, coordenada pelo Banco Central, e a crescente utilização de sistemas de inteligência artificial por instituições participantes desse ecossistema. O Open Finance, que permite o compartilhamento padronizado de dados financeiros entre instituições autorizadas mediante consentimento do titular, criou um ambiente fértil para a aplicação de algoritmos de aprendizado de máquina, modelos preditivos e sistemas automatizados de decisão.

Verificamos que as instituições financeiras utilizam IA em diversas etapas da cadeia do Open Finance: na análise de crédito baseada em dados compartilhados, na personalização de ofertas de produtos financeiros, na detecção de fraudes em transações iniciadas por terceiros, na precificação dinâmica de seguros e investimentos, e na automação de processos de consentimento e gestão de dados. Essa integração profunda entre IA e dados abertos gera eficiências operacionais significativas, mas também levanta questões jurídicas complexas que o ordenamento brasileiro ainda não endereçou de forma satisfatória.

O cenário regulatório atual opera em camadas sobrepostas. De um lado, temos as normas específicas do Open Finance (Resolução Conjunta nº 1/2020 do Banco Central e do Conselho Monetário Nacional, suas atualizações posteriores e os regulamentos operacionais da estrutura de governança). De outro, temos o arcabouço de proteção de dados da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e, mais recentemente, as discussões legislativas sobre regulação de inteligência artificial que tramitam no Congresso Nacional. A interseção dessas três frentes normativas cria desafios interpretativos que analisamos a seguir.

Riscos Jurídicos da Decisão Algorítmica no Compartilhamento de Dados

Um dos pontos mais sensíveis na convergência entre IA e Open Finance reside nas decisões automatizadas que utilizam dados compartilhados entre instituições. Quando um consumidor autoriza o compartilhamento de seu histórico financeiro com uma nova instituição, os dados recebidos frequentemente alimentam modelos algorítmicos que determinam, sem intervenção humana direta, se aquele consumidor terá acesso a crédito, qual taxa de juros será oferecida ou qual produto financeiro será recomendado.

A LGPD, em seu artigo 20, assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. Esse dispositivo ganha relevância particular no contexto do Open Finance, onde o volume e a velocidade do processamento de dados tornam a supervisão humana efetiva um desafio operacional considerável. Observamos que muitas instituições implementam processos de revisão meramente formais, nos quais um operador humano apenas confirma a decisão algorítmica sem análise substancial dos critérios utilizados.

Além disso, a questão da explicabilidade dos algoritmos representa um obstáculo jurídico relevante. O mesmo artigo 20 da LGPD prevê que o controlador deve fornecer informações claras e adequadas sobre os critérios e procedimentos utilizados para a decisão automatizada. No entanto, modelos de aprendizado profundo (deep learning) frequentemente operam como “caixas-pretas”, cujas decisões são extremamente difíceis de explicar em termos compreensíveis para o consumidor ou mesmo para os órgãos reguladores. Essa opacidade algorítmica tensiona o princípio da transparência que fundamenta tanto a LGPD quanto a própria estrutura do Open Finance.

Analisamos ainda o risco de discriminação algorítmica no acesso a serviços financeiros. Modelos de IA treinados com dados históricos podem perpetuar ou amplificar vieses existentes, resultando em tratamento desigual de consumidores com base em características protegidas como gênero, raça, localização geográfica ou faixa etária. No contexto do Open Finance, onde dados de múltiplas fontes são agregados e processados em escala, o potencial discriminatório dessas ferramentas se amplifica consideravelmente. O Código de Defesa do Consumidor (Lei nº 8.078/1990), em conjunto com a Constituição Federal, proíbe práticas discriminatórias nas relações de consumo, mas a identificação e comprovação de viés algorítmico permanece um desafio probatório significativo.

A convergência entre inteligência artificial e Open Finance exige uma regulação que equilibre inovação tecnológica com proteção efetiva dos direitos dos consumidores financeiros.

O Papel do Banco Central e a Regulação Setorial

O Banco Central do Brasil desempenha papel central na governança do Open Finance e tem demonstrado atenção crescente ao uso de tecnologias de inteligência artificial no sistema financeiro. A autoridade monetária já emitiu orientações sobre gestão de riscos em modelos de IA utilizados por instituições reguladas, com foco em governança corporativa, controles internos e responsabilidade sobre decisões algorítmicas. Verificamos que essas orientações, embora relevantes, ainda carecem de especificidade suficiente para endereçar os desafios particulares da interseção entre IA e dados abertos.

No plano internacional, identificamos iniciativas regulatórias que podem servir de referência para o Brasil. A União Europeia, por meio do AI Act (Regulamento de Inteligência Artificial), classificou determinados usos de IA no setor financeiro como de “alto risco”, sujeitando-os a requisitos mais rigorosos de transparência, supervisão humana e avaliação de conformidade. O Financial Stability Board (FSB) e o Comitê de Basileia também publicaram relatórios sobre os riscos sistêmicos da adoção de IA no setor financeiro, incluindo preocupações sobre concentração de mercado, risco de modelo e resiliência operacional.

Consideramos que a regulação brasileira precisará endereçar, de forma específica, pelo menos cinco dimensões críticas: a governança dos modelos de IA utilizados no processamento de dados do Open Finance; os requisitos mínimos de explicabilidade das decisões automatizadas; os mecanismos de auditoria algorítmica independente; a responsabilidade civil por danos causados por decisões algorítmicas baseadas em dados compartilhados; e os padrões técnicos de segurança cibernética aplicáveis a sistemas de IA que processam dados financeiros sensíveis.

O Conselho Monetário Nacional (CMN) e o Banco Central possuem competência normativa para disciplinar esses aspectos no âmbito do sistema financeiro, independentemente da aprovação de uma lei geral de inteligência artificial. A Resolução CMN nº 4.893/2021, que trata de política de segurança cibernética e requisitos para contratação de serviços de processamento de dados, já oferece uma base normativa que pode ser expandida para contemplar especificidades da IA no Open Finance.

Responsabilidade Civil e Proteção do Consumidor

A definição de responsabilidade civil por danos decorrentes de decisões algorítmicas no Open Finance constitui uma das questões jurídicas mais complexas nessa matéria. Quando um consumidor é prejudicado por uma decisão de crédito tomada por um algoritmo que processou dados compartilhados por múltiplas instituições, surge a questão de quem responde pelo dano: a instituição que desenvolveu o algoritmo, a instituição que forneceu os dados, a instituição que aplicou a decisão, ou todas solidariamente?

No regime atual, o Código de Defesa do Consumidor estabelece a responsabilidade objetiva do fornecedor de serviços pelo defeito na prestação do serviço (artigos 12 a 14). Entendemos que essa responsabilidade objetiva se aplica às decisões algorítmicas no contexto financeiro, dispensando a demonstração de culpa por parte do consumidor lesado. No entanto, a cadeia de compartilhamento de dados do Open Finance torna a atribuição de responsabilidade entre as instituições participantes um exercício jurídico desafiador.

Analisamos que a aplicação da teoria do risco da atividade, prevista no artigo 927, parágrafo único, do Código Civil, oferece um fundamento adicional para a responsabilização das instituições que utilizam IA no Open Finance. Ao optar por sistemas automatizados de decisão que processam grandes volumes de dados pessoais, as instituições financeiras assumem o risco inerente a essa atividade, devendo responder pelos danos causados independentemente de culpa.

A questão do ônus da prova merece atenção especial. Em disputas envolvendo decisões algorítmicas, o consumidor enfrenta uma assimetria informacional ainda mais acentuada do que a habitual nas relações de consumo. Demonstrar que um algoritmo operou de forma discriminatória ou que os dados utilizados estavam incorretos exige conhecimento técnico e acesso a informações que, na maioria dos casos, estão sob controle exclusivo das instituições financeiras. A inversão do ônus da prova, prevista no artigo 6º, inciso VIII, do CDC, e a possibilidade de requisição judicial de auditoria algorítmica são instrumentos processuais que ganham relevância nesse cenário.

Perspectivas para a Regulação Brasileira

O Brasil encontra-se em um momento decisivo para definir como será regulada a utilização de inteligência artificial no sistema financeiro aberto. As discussões legislativas sobre IA em curso no Congresso Nacional, embora não sejam específicas para o setor financeiro, estabelecerão princípios e diretrizes gerais que influenciarão a regulação setorial. Acompanhamos com atenção a evolução desses projetos, especialmente no que diz respeito à classificação de riscos, aos requisitos de transparência e aos mecanismos de supervisão.

Consideramos que a abordagem regulatória mais adequada para o Open Finance combina a regulação principiológica (baseada em princípios gerais de transparência, equidade e responsabilidade) com requisitos técnicos específicos adaptados às características do ecossistema de dados abertos. Uma regulação excessivamente prescritiva poderia inibir a inovação e criar barreiras de entrada para novos participantes. Por outro lado, uma regulação baseada apenas em princípios genéricos pode revelar-se insuficiente para proteger efetivamente os consumidores contra os riscos concretos da automação algorítmica.

Entre as medidas que consideramos prioritárias, destacamos: a obrigatoriedade de avaliação de impacto algorítmico para sistemas de IA que processem dados do Open Finance; a criação de mecanismos de portabilidade de “scores” e perfis algorítmicos, permitindo que o consumidor compreenda e conteste as avaliações automatizadas sobre seu perfil financeiro; o estabelecimento de padrões mínimos de explicabilidade para decisões que afetem o acesso a crédito e serviços financeiros; e a institucionalização de canais efetivos de contestação e revisão humana de decisões automatizadas.

Por fim, observamos que a regulação da IA no Open Finance não é apenas uma questão técnica ou jurídica, mas envolve escolhas fundamentais sobre o tipo de sistema financeiro que desejamos construir. A tecnologia oferece oportunidades reais de democratização do acesso a serviços financeiros, mas somente se acompanhada de salvaguardas jurídicas proporcionais aos riscos que apresenta. O equilíbrio entre inovação e proteção definirá a trajetória do sistema financeiro brasileiro nas próximas décadas.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.