A inteligência artificial (IA) está a transformar rapidamente a forma como vivemos e trabalhamos. Desde a personalização de experiências ao desenvolvimento de novos modelos de negócio, as possibilidades são fascinantes, não apenas pela inovação, mas também pelo potencial para gerar valor sustentável e vantagem competitiva. No entanto, este entusiasmo esconde uma realidade mais complexa: à medida que a IA avança, também crescem os riscos associados à sua utilização.
Ao contrário do software tradicional, a IA aprende e evolui com o tempo, tornando-a menos previsível e mais suscetível a erros, deturpações ou até abusos. Sem uma governança eficaz, os sistemas de IA podem tornar-se opacos, inseguros ou injustos, o que mina a confiança, afeta decisões críticas e expõe pessoas e organizações a riscos graves.
Hoje, a discussão já não é apenas sobre “usar ou não IA”, mas sobre como garantir que a usamos de forma ética, segura e responsável. A inovação tecnológica, por si só, não basta, precisamos de mecanismos que assegurem que a IA respeita princípios fundamentais: equidade, transparência, segurança, supervisão humana e conformidade legal.
Neste contexto, a ISO/IEC 42001 a primeira versão da norma internacional de sistema de gestão da Inteligência Artificial, publicada em Dezembro de 2023, propõe um sistema de gestão adaptado às especificidades da IA, que orienta organizações na identificação de riscos, avaliação de impactos, definição de políticas, objetivos e responsabilidades, passando pela gestão do ciclo de vida dos sistemas, dados utilizados e comunicação com partes interessadas. Trata-se de reconhecer que a IA tem características únicas, como a autonomia na decisão e a aprendizagem contínua, que exigem novos quadros de análise e controlo.
Não estamos apenas a falar de riscos técnicos. Estão em causa decisões que afetam vidas: quem deverá ter acesso a crédito? Quem deverá receber apoio médico prioritário? Que conteúdos são promovidos nas redes sociais? A IA já está a influenciar todas estas decisões. E quando se utilizam modelos generativos, o risco de produzir “alucinações”, respostas incorretas que parecem credíveis, exige uma validação constante e criteriosa. Além disso, surgem novas ameaças como a manipulação de instruções (prompt injection) ou a contaminação de dados (data poisoning), que tornam ainda mais urgente uma vigilância ativa e contínua.
Atualmente 78% dos líderes de TI apontam a falta de governança de IA como um risco importante a endereçar, esta responsabilidade não é exclusivamente dos programadores ou dos departamentos de TI. A governança da IA deve envolver líderes, juristas, especialistas em ética, equipas de risco e todas as áreas que lidam com os impactos da tecnologia. Só uma abordagem multidisciplinar permite antecipar problemas e encontrar soluções equilibradas.
É essencial garantir que os dados utilizados nos sistemas de IA são geridos de forma responsável: desde a sua origem, processamento e disponibilização. O enviesamento algorítmico, por exemplo, pode perpetuar desigualdades se não for identificado e corrigido.
Mais de 40 países já possuem ou desenvolvem legislações específicas sobre IA, são necessários mais países e entidades para equilibrar o entusiasmo pela inovação com a lucidez da responsabilidade. A IA pode ser um motor de progresso sustentável, mas apenas se for gerida com rigor, visão estratégica e valores sólidos. Ignorar este equilíbrio não é só um risco técnico: é um risco reputacional, ético e social. Frameworks como a ISO42001 e ferramentas especializadas de governance, risk & compliance (GRC) podem apoiar as organizações nesta jornada, automatizando processos, reforçando o controlo e facilitando a implementação eficaz das boas práticas recomendadas pelas normas internacionais.
Pedro Bagulho é Principal Information Security Consultant na Devoteam Cyber Trust