Wiz
Todos os artigos

The EU AI Act

Equipe de especialistas do Wiz
10 Minuto de leitura
AI Security – Avaliação de exemploTeste o Wiz AI-SPM

A Lei de Inteligência Artificial (IA) da UE estabelece regras para o desenvolvimento, marketing e uso de sistemas de IA na União Europeia, a fim de promover uma IA responsável e centrada no ser humano. É o primeiro regulamento do mundo desse tipo, garantindo um papel pioneiro para a UE na criação de padrões globais para governança de IA. Ele se concentra nos impactos mais amplos da IA na sociedade e nos direitos individuais.

Nesta postagem, vamos atualizá-lo sobre por que a UE implementou essa lei, o que ela envolve e o que você precisa saber como desenvolvedor ou fornecedor de IA, incluindo as melhores práticas para simplificar a conformidade. Também abordaremos o que o futuro reserva para a regulamentação da IA e, alerta de spoiler, pode haver muitas leis semelhantes em breve. 

Por que a UE introduziu a Lei IA?

Você provavelmente já viu filmes de ficção científica sobre tecnologia fora de controle. A tecnologia assume o controle e corre solta, causando todos os tipos de devastação.

A IA não pode fazer isso – pelo menos não ainda. Mas isso faz já têm o potencial de causar muitos danos. 

Para que a IA funcione corretamente, ela depende de duas coisas cruciais: Modelos são criados por desenvolvedores para fornecer os resultados que você deseja alcançar. Em seguida, os desenvolvedores treinam os modelos usando dados Isso é o mais próximo possível dos dados que o modelo usará no mundo real. 

Mas se o modelo ou os dados não forem confiáveis, ou se alguém os adulterar, sua IA não funcionará corretamente. Dados e modelos que não atendem à tríade da CIA - confidencialidade, disponibilidade e integridade - podem levar a consequências catastróficas no mundo real:

  • Imagine um carro autônomo alimentado por um modelo de IA treinado em dados insuficientes ou tendenciosos. O carro pode interpretar mal uma situação de trânsito, levando a um acidente grave com ferimentos ou mortes.

  • Ou talvez um sistema de IA diagnostique doenças com base em imagens médicas. Se esse modelo for treinado com dados tendenciosos ou incompletos, ou se alguém adulterar o modelo, isso pode levar a diagnósticos incorretos, atraso no tratamento ou até mesmo fatalidades.

Claro, um cenário menos catastrófico é mais provável. Imagine se o seu chatbot de vendas começar a mentir para os visitantes do site. Isso pode prejudicar vendas, operações ou até mesmo sua reputação. (Como se começasse a recomendar o produto de um concorrente!)

Risco de IA também afeta seriamente o ROI da IA, aumentando os custos e reduzindo a receita.

Há muito se reconhece que precisamos de padrões de segurança para a IA. Agora, a UE decidiu agir.

GenAI Security Best Practices [Cheat Sheet]

Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.

Download Cheat Sheet

Quais foram as razões por trás da Lei de IA da UE?

A Lei de IA da UE visa ajudar as pessoas que criam aplicativos de IA a usar a tecnologia de forma ética. Ele mantém pessoas e empresas protegidas contra coleta, vigilância e manipulação de dados não autorizados, evitando a discriminação e garantindo que a IA seja usada de forma transparente. Também visa minimizar o "risco sistêmico", ou seja, o potencial de impacto generalizado e severo na sociedade se algo der errado com um modelo de IA. Mais benignamente, essas etapas também aumentarão a confiança na IA, o que pode ser muito bom para desenvolvedores e provedores de IA.

A lei impede o uso de IA para fins maliciosos, como deepfakes e outras informações incorretas geradas por IA. Ele faz isso tornando obrigatória a divulgação de fontes de IA. Se você não notificar os usuários, poderá ser multado ou sofrer outras consequências negativas. Também exige que cada Estado-Membro estabeleça uma Autoridade Nacional Competente que supervisionará a implementação local da Lei de IA da UE.

Mais importante ainda, a Lei de IA da UE classifica o uso de IA em quatro níveis de risco (que discutiremos mais adiante), proibindo todos os usos com um "risco inaceitável". 

Qual foi o pano de fundo da Lei de IA da UE?

O diagrama seguinte ilustra o calendário que antecedeu a adoção do Regulamento IA da UE. Como você pode ver, a lei entrou em vigor em um cronograma bastante curto. 

Figure 1: Legislative timeline of the EU AI Act, from proposal to final law

Cronograma de implementação

Embora a Lei IA da UE já entrou em vigor, as empresas têm um período de carência de três anos, a partir de agosto de 2024, para atingir a conformidade total.

Aqui está uma linha do tempo antecipada:

O que isso significa para você é realmente muito simples. Mesmo que você ache que a Lei de IA da UE não se aplica a você, você precisa ter certeza… e o tempo está se esgotando.

Figure 2: Phased implementation stages of the EU AI Act

O que isso significa para você é realmente muito simples. Mesmo que você ache que a Lei de IA da UE não se aplica a você, você precisa ter certeza… e o tempo está se esgotando.

O que inclui o Regulamento IA da UE?

A primeira e mais importante coisa a saber sobre a Lei de IA da UE é que ela tem alcance extraterritorial. 

Isso significa que qualquer pessoa que forneça sistemas de IA que serão usados ou afetarão consumidores ou empresas dentro da UE provavelmente precisa cumprir.

A Lei de IA da UE define vários tipos diferentes de sistemas de IA, incluindo:

  • Modelos de IA de uso geral (GPAI): Grandes modelos de linguagem e geradores de imagem e vídeo

  • Modelos de IA de finalidade específica: IA projetada para tarefas específicas, como diagnóstico médico, veículos autônomos ou avaliação de risco financeiro

  • Sistemas de IA incorporados: Dispositivos alimentados por IA, como eletrodomésticos inteligentes ou robôs industriais

Os quatro níveis de risco da Lei de IA da UE para IA

A Lei de IA da UE não regula as aplicações de "risco inaceitável" da IA, e isso porque agora elas são proibidas na Europa. Isso inclui reconhecimento facial em tempo real em espaços públicos ou "pontuação social", que envolve a classificação de indivíduos ou grupos para tratamento desigual e identificação biométrica em tempo real para fins de aplicação da lei (às vezes conhecido como policiamento preditivo).

  • Risco inaceitável: Atividades que representam uma ameaça muito grande e são totalmente proibidas

  • Alto risco: Atividades que podem afetar negativamente a segurança ou os direitos fundamentais

  • Risco limitado: Atividades que não são excessivamente arriscadas, mas ainda carregam requisitos de transparência (o que significa que os usuários devem ser informados de que estão interagindo com uma IA)

  • Risco mínimo: Atividades geralmente benignas que não precisam ser regulamentadas

A Lei de IA da UE não regula as aplicações de "risco inaceitável" da IA, e isso porque agora elas são proibidas na Europa. Isso inclui reconhecimento facial em tempo real em espaços públicos ou "pontuação social", que envolve a classificação de indivíduos ou grupos para tratamento desigual e identificação biométrica em tempo real para fins de aplicação da lei (às vezes conhecido como policiamento preditivo). 

Também não regula atividades de "risco mínimo", como filtros de spam ou videogames habilitados para IA. No momento, isso inclui a maioria dos aplicativos de IA atualmente disponíveis no mercado da UE. 

Uma pequena seção da lei de IA da UE lida com sistemas de "risco limitado". Os desenvolvedores e implantadores desses tipos de sistemas devem cumprir as obrigações de transparência. Isso geralmente significa apenas informar aos usuários finais que estão interagindo com a IA (por exemplo, chatbots e deepfakes).

A esmagadora maioria da Lei de IA da UE aborda sistemas de IA de "alto risco" e as organizações e indivíduos que os fornecem. As aplicações de alto risco incluem…

  • Avaliar a elegibilidade do crédito

  • Avaliação de pedidos de seguro de saúde ou de vida ou benefícios públicos

  • Análise de candidaturas a emprego (ATS) ou avaliação de candidatos

Outra categoria importante de sistemas de IA de alto risco são os "componentes de segurança do produto". Isso se refere a sistemas de IA incorporados em produtos e são cruciais para a segurança desses produtos. Por exemplo, sistemas de IA incorporados em veículos autônomos ou dispositivos industriais ou médicos.

State of AI in the Cloud 2024

Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.

Get PDF

As oito regras essenciais da Lei IA da UE

Os desenvolvedores e fornecedores de aplicativos de IA são conhecidos como "provedores" de acordo com a Lei de IA da UE. Qualquer pessoa jurídica ou física que use a IA de maneira profissional é considerada um "usuário" ou "implantador".

A Lei de IA da UE descreve Oito requisitos principais para sistemas de alto risco:

  • Gestão de riscos durante todo o ciclo de vida do sistema de IA de alto risco

  • Governança de dados para verificar todos os conjuntos de dados de treinamento, validação e teste

  • Documentação técnica para demonstrar e avaliar a conformidade

  • Manutenção de registros para determinar o risco e atualizar o nível de risco ao longo do ciclo de vida

  • Instruções de uso para que os implantadores downstream possam garantir a conformidade total em toda a cadeia de suprimentos

  • Os sistemas de IA devem permitir supervisão humana por usuários (implantadores)

  • Os sistemas de IA devem ser projetados para alcançar Precisão, robustez e segurança cibernética 

  • Gestão da qualidade para garantir e relatar a conformidade

O não cumprimento desses requisitos pode levar ao corte do mercado europeu, bem como multas pesadas. As multas provavelmente variarão, dependendo do tamanho da empresa, de 7,5 milhões de euros ou 1,5% do faturamento anual a 35 milhões de euros ou 7% do faturamento anual.

Apesar do trabalho extra que a Lei de IA da UE cria, ela também traz benefícios. Por exemplo, ele prevê a criação de ambientes de testagem da regulamentação, ajudando você a testar aplicativos fora da estrutura regulatória. 

E voltando aos primeiros princípios, a Lei de IA da UE visa tornar a IA menos vulnerável, protegendo sua empresa, seus clientes e o público. Ele faz isso exigindo segurança Práticas de desenvolvimento de IA, avaliações regulares de segurança e transparência e responsabilização nos sistemas de IA. Mas com a complexidade dos ambientes multinuvem de hoje, é mais fácil falar do que fazer.

Quais são algumas das melhores práticas para conformidade com a Lei de IA da UE?

Aqui está o que você precisa fazer para garantir que está seguindo os requisitos da Lei de IA da UE:

  • Realize avaliações de risco completas, incluindo o mapeamento de todo o seu ambiente para sinalizar dados de sombra e especialmente a IA das sombras.

  • Implementar medidas sólidas de proteção de dados como uma solução de gerenciamento de postura de segurança de dados (DSPM) para proteger todos os dados usados pela IA.

  • Verifique a transparência e a explicabilidade, o que significa que deve ser possível interpretar e entender os resultados dos sistemas de IA.

  • Atualizar e manter a documentação técnica como parte de um compromisso com a transparência.

  • Estabeleça governança e supervisão eficazes, incluindo verificadores de conformidade automatizados que sinalizarão rapidamente possíveis problemas.

De acordo com um relatório da KPMG, uma das melhores maneiras de reduzir drasticamente o trabalho envolvido em testes e documentação é "aproveitar as soluções automatizadas de detecção, análise e inteligência de ameaças". Eles recomendam uma solução automatizada para lidar com "mapeamento de conformidade, rastreamento de obrigações e gerenciamento de fluxo de trabalho".

Esses tipos de ferramentas e muito mais podem ser encontrados como parte de um plataforma de proteção de aplicativos nativos da nuvem, ou CNAPP. Isso torna a busca de um CNAPP que funcione para sua organização uma das melhores decisões que você pode tomar quando se trata de simplificar a conformidade com a IA da UE.

O futuro da regulamentação da IA

Outras jurisdições além da UE provavelmente trarão leis semelhantes. Nos EUA, por exemplo, estados e agências federais estão explorando a regulamentação da IA, especialmente em torno de veículos autônomos e saúde. China, Canadá, Japão, Reino Unido e outros também estão considerando medidas regulatórias. Mas a boa notícia é que, uma vez que você esteja em conformidade com a Lei de IA da UE, provavelmente será mais fácil atender a outros padrões.

Se você já está usando soluções de IA ou se movendo nessa direção, a responsabilidade do uso ético e responsável da IA está em seus ombros. Você precisa mitigar possíveis danos aos usuários finais, à sua própria organização e a terceiros. 

Em um momento em que a maioria das ferramentas está lutando para alcançar a vanguarda da IA, existe uma plataforma que já está de volta: Wiz. A plataforma Wiz oferece um Solução AI-SPM que fornece uma abordagem unificada para o risco de segurança e conformidade de IA sob um único guarda-chuva fácil de gerenciar. 

O Wiz encontra e monitora rapidamente a segurança e a conformidade em todos os seus serviços e tecnologias de IA, como Amazon SageMaker, OpenAI, TensorFlow Hub e muito mais.

  • Visibilidade de pilha completa em pipelines de IA

  • Detecção rápida de configurações incorretas de IA

  • Proteção para dados confidenciais de treinamento de IA

A Lei de IA da UE visa garantir que o cenário de pesadelo - tecnologia enlouquecida, como naqueles filmes de ficção científica - nunca se torne realidade. E o Wiz mantém sua empresa protegida contra os maiores riscos da atualidade com visibilidade abrangente, avaliação de riscos e medidas de segurança, tudo por trás de um único painel.

Figure 3: The Wiz AI Security Dashboard prioritizes risks so you can focus on the most critical ones

Wiz não para na conformidade. Com o contexto profundo de uma variedade de ferramentas de segurança, você terá uma visão completa de vulnerabilidades, identidades, exposições de rede, malware, dados e segredos expostos - e automação para começar a mitigar qualquer incidente de segurança antes que ele se torne um problema.

Figure 4: Wiz helps you proactively remove AI attack paths before they become threats

A Lei de IA da UE visa garantir que o cenário de pesadelo - tecnologia enlouquecida, como naqueles filmes de ficção científica - nunca se torne realidade. E o Wiz mantém sua empresa protegida contra os maiores riscos da atualidade com visibilidade abrangente, avaliação de riscos e medidas de segurança, tudo por trás de um único painel.

Não deixe que o risco ou a regulamentação o impeçam de alcançar todos os benefícios que a IA oferece ao seu negócio. Obtenha uma demonstração do Wiz para ver como é fácil proteger a IA em todo o seu SDLC.

Accelerate AI Innovation, Securely

Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.

Ver demonstração