Regulação de IA Bancária: Responsabilidade Civil por Decisões Automatizadas

Quando um algoritmo nega crédito a um consumidor, quem responde? Essa pergunta, aparentemente simples, revela lacunas jurídicas significativas tanto no Brasil quanto na China. A regulação de inteligência artificial no setor bancário está em construção nos dois países.

Brasil: o marco regulatório em formação

O Brasil ainda não possui uma lei específica sobre IA (o PL 2338/2023 está em tramitação). No setor bancário, a regulação se apoia em três pilares:

• **LGPD (art. 20)** — direito de solicitar revisão de decisões tomadas exclusivamente por tratamento automatizado, incluindo decisões de crédito

• **Resolução CMN 4.893/2021** — exigências de governança, segurança cibernética e gestão de riscos tecnológicos para instituições financeiras

• **Código de Defesa do Consumidor** — responsabilidade objetiva do fornecedor por defeitos no serviço (art. 14), aplicável a falhas em sistemas de IA

O Bacen tem emitido comunicados incentivando o uso responsável de IA, mas sem criar obrigações específicas sobre explicabilidade algorítmica ou auditoria de viés.

China: regulação mais prescritiva

A China adotou uma abordagem mais prescritiva com múltiplas regulações setoriais:

• **Medidas de Administração de Recomendação Algorítmica (2022)** — exigem transparência em sistemas de recomendação e direito de opt-out

• **Regulação de Deep Synthesis (2023)** — controles sobre IA generativa, incluindo aplicações bancárias

• **Diretrizes do PBOC sobre IA em Serviços Financeiros** — exigem explicabilidade, auditoria de viés e supervisão humana em decisões de crédito significativas

Responsabilidade civil: as lacunas

No Brasil, a responsabilidade por decisões automatizadas incorretas recai sobre a instituição financeira (responsabilidade objetiva pelo CDC). Mas há lacunas: e se o algoritmo foi desenvolvido por um terceiro? E se o viés decorre dos dados de treinamento, não do código?

Na China, a situação é similar. A PIPL prevê responsabilidade por danos causados por processamento automatizado de dados pessoais, mas a prova do dano e do nexo causal em decisões algorítmicas complexas permanece um desafio processual.

O futuro da regulação

Ambos os países precisam evoluir em três frentes: (1) explicabilidade — obrigar bancos a explicar por que um crédito foi negado por IA; (2) auditoria de viés — exigir testes periódicos de discriminação algorítmica; e (3) governança — definir responsabilidades claras entre bancos, desenvolvedores de IA e bureaus de crédito.