Sua IA está em conformidade? Registre-se Hoje

Regulamento (UE) 2024/1689 · Aplicação 2 de agosto de 2026

A conformidade com a Lei da IA da UE começa na camada de ação

A maioria das organizações está a proteger o modelo. A Lei da IA da UE também exige a proteção do que o modelo faz a cada chamada de API, a cada conexão de servidor MCP, a cada ação do agente. Essa é a lacuna que a Salt Security foi criada para preencher.

Prazo para aplicação

2 de agosto de 2026

Multa máxima

€35M

ou 7% do volume de negócios global

Notificação de incidentes de vida/segurança

24 horas

Prazo do Artigo 73

Outros incidentes graves

72 horas

Prazo do Artigo 73

Resumo da Lei da IA da UE

O que é a Lei da IA da UE?

O Regulamento (UE) 2024/1689, conhecido como Lei da IA da UE, é o primeiro quadro jurídico abrangente do mundo para a inteligência artificial. Entrou em vigor em 1 de agosto de 2024 e estabelece um sistema de classificação de risco em níveis que impõe obrigações cada vez mais rigorosas aos sistemas de IA com base no potencial dano que podem causar.

O Regulamento aplica-se a fornecedores que colocam sistemas de IA no mercado da UE, a implementadores que operam sistemas de IA de alto risco na UE e a organizações de países terceiros cujas saídas de IA são utilizadas na UE. As disposições relativas a práticas proibidas do Artigo 5 são aplicáveis desde fevereiro de 2025. O conjunto completo de mandatos para sistemas de IA de alto risco torna-se aplicável a partir de 2 de agosto de 2026.

Para as equipas de segurança, o aspeto mais relevante é o Artigo 15: os sistemas de IA de alto risco devem ser resilientes a ataques adversários em toda a sua camada de ação, e não apenas ao nível da saída do modelo. Isso significa que as APIs que os seus agentes chamam estão abrangidas.

Categorias de Risco do Regulamento de IA da UE

Uma estrutura escalonada para o risco de IA

O Regulamento de IA da UE classifica os sistemas de IA em quatro níveis de risco. As suas obrigações de conformidade dependem inteiramente da posição das suas implementações de IA nesta hierarquia. Se utilizar agentes de IA em contratação, crédito, infraestruturas ou aplicação da lei, estará quase certamente sujeito às mais elevadas obrigações.

Risco inaceitável

Práticas proibidas

Aplicações de IA que representam uma ameaça inaceitável aos direitos fundamentais. Proibidas de forma absoluta ao abrigo do Artigo 5. Em vigor desde fevereiro de 2025.

Pontuação social
Manipulação subliminar
Vigilância biométrica em tempo real

Alto risco

Conformidade total exigida

Sistemas de IA listados no Anexo III. Sujeitos a toda a gama de obrigações: gestão de riscos, governação de dados, documentação técnica, registo, supervisão humana e resiliência da cibersegurança.

Contratação e RH
Decisões de crédito
Infraestrutura crítica
Aplicação da lei
Serviços essenciais

Risco limitado

Obrigações de transparência

Sistemas de IA com obrigações específicas de transparência, principalmente chatbots e ferramentas de mídia sintética. Os usuários devem ser informados de que estão interagindo com um sistema de IA.

Chatbots
Deepfakes
Conteúdo gerado por IA

Risco mínimo

Códigos de conduta voluntários

Sistemas de IA sem obrigações obrigatórias nos termos da Lei. Os provedores podem adotar voluntariamente códigos de conduta alinhados com os princípios da regulamentação.

Filtros de spam
IA em videogames
Motores de recomendação

Observação importante sobre o escopo

Se seus agentes de IA invocarem APIs, incluindo serviços internos, plataformas de terceiros ou servidores MCP, essa camada de ação estará dentro do escopo dos mandatos de cibersegurança e registro de logs da Lei. Os Considerandos 99 e 100 abordam explicitamente as arquiteturas multiagente: em uma cadeia de agentes de IA, o limite de conformidade se estende a cada agente que executa uma função de alto risco.

Requisitos de conformidade da Lei de IA da UE 2026

Obrigações por artigo

As disposições de alto risco aplicáveis a partir de 2 de agosto de 2026 abrangem gestão de riscos, governança de dados, registro de logs, transparência, supervisão humana, resiliência de cibersegurança e monitoramento pós-mercado. Abaixo, detalhamos o que cada artigo exige e onde o Agentic Security Graph da Salt Security oferece cobertura.

Legenda de cobertura

Forte

Controle técnico direto

Evidência

Suporte a auditoria e documentação

Parcial

Suporta programa QMS mais amplo

Artigo 9 Sistema de gestão de riscos: contínuo e iterativo ao longo do ciclo de vida da IA

Os sistemas de IA de alto risco devem ter um sistema de gestão de riscos documentado que funcione continuamente ao longo do desenvolvimento e operação, e não uma avaliação única no momento da implementação.


O AG-SPM Continuous Discovery constrói e mantém automaticamente um inventário de risco em tempo real de cada agente de IA, conexão de servidor MCP e API. Novas conexões e desvios de configuração são sinalizados como riscos emergentes em tempo real.

Forte

Artigo 10 · Destacado Artigo 10 da Lei de IA da UE: governação de dados: prevenir acesso não autorizado e envenenamento de dados no momento da inferência

O Artigo 10 exige que os sistemas de IA de alto risco implementem práticas de governação de dados que protejam contra acesso não autorizado e garantam a integridade dos dados ao longo do ciclo de vida do sistema, incluindo no momento da inferência, quando um agente de IA está a chamar ativamente APIs e a processar dados.


A Visibilidade do Fluxo de Dados da API da Salt oferece observabilidade profunda nos dados que atravessam a camada de ação no momento da inferência. Padrões de acesso a dados anómalos e respostas de API malformadas que poderiam introduzir entradas comprometidas são detetados automaticamente.

Forte

Artigo 11 Documentação técnica: inventário completo da interface antes da colocação no mercado

Os fornecedores devem produzir e manter documentação técnica que descreva todos os componentes, interfaces e capacidades do sistema de IA antes de ser colocado no mercado.


O Agentic Security Graph produz um inventário contínuo e exportável de cada agente de IA, servidor MCP e endpoint de API no âmbito, entrada direta para os requisitos de documentação técnica do Artigo 11.

Evidência

Artigo 12 · Destacado Artigo 12 da Lei de IA da UE: manutenção de registos: registos à prova de adulteração retidos por um mínimo de 6 meses

O Artigo 12 exige o registo automático de todos os eventos relevantes para identificar riscos e garantir a rastreabilidade. Os registos devem ser à prova de adulteração e retidos por pelo menos 6 meses, ou 24 meses para sistemas biométricos e de aplicação da lei.


O registo de auditoria imutável da Salt captura um registo completo e à prova de adulteração de cada interação de IA para API: cargas de solicitação, dados de resposta, tempo, contexto de autenticação e sinalizadores de anomalia. As políticas de retenção são configuráveis para os mínimos do Artigo 12.

Forte

Artigo 14 Supervisão humana: capacidade de parar o sistema e intervir em tempo real

Sistemas de IA de alto risco devem ser projetados para permitir que operadores humanos supervisionem eficazmente a operação e intervenham ou parem o sistema quando comportamento anômalo é detectado.


O Alerta em Tempo Real AG-DR apresenta comportamento anômalo do agente com contexto completo. Os operadores de segurança podem ver exatamente quais APIs um agente está a chamar e terminar ou colocar em quarentena sessões que exibam comportamento não autorizado.

Forte

Artigo 15 · Destacado Artigo 15 da Lei de IA da UE: resiliência de cibersegurança: proteção contra ataques adversários, envenenamento de dados e evasão de modelo

O Artigo 15(3) exige robustez técnica contra ataques adversários por terceiros não autorizados. O Artigo 15(5) enumera ameaças específicas: envenenamento de dados, exemplos adversários, ataques de confidencialidade e evasão de modelo. A proteção deve estender-se às interfaces através das quais os sistemas de IA interagem com o mundo, na prática, APIs e servidores MCP.


A Proteção contra Ameaças Comportamentais cria linhas de base impulsionadas por IA para cada agente e interação de API. A Análise de Tráfego Leste-Oeste monitora o tráfego lateral de API entre agentes e servidores MCP, identificando padrões de injeção de prompt e acesso não autorizado a dados.

Forte

Artigo 72 e 73 Monitoramento pós-mercado e notificação obrigatória de incidentes em 24–72 horas

O Artigo 72 exige um sistema de monitoramento estabelecido e documentado desde o primeiro dia de implantação. O Artigo 73 exige a notificação de incidentes: 24 horas para riscos de vida/segurança, 72 horas para outros incidentes graves, 15 dias para avarias.


O monitoramento contínuo da Salt é uma implementação direta do Artigo 72. Cada linha de base comportamental e detecção de anomalias é um ponto de dados de monitoramento pós-mercado. A detecção comportamental identifica incidentes à medida que ocorrem, a pré-condição para atender aos requisitos de prazo do Artigo 73.

Forte

Artigo 17 Sistema de gestão da qualidade abrangendo governança de dados, registro de logs e cibersegurança

Os provedores devem implementar um sistema de gestão da qualidade documentado que abranja práticas de governança de dados, infraestrutura de registro de logs, monitoramento pós-mercado e controles de cibersegurança.


A Salt fornece o monitoramento de cibersegurança, o registro de logs e as evidências de postura que um SGQ exige. A Salt é a camada de controle técnico cujas saídas alimentam a documentação do SGQ do provedor e os processos de melhoria contínua.

Parcial

A lacuna de conformidade que a maioria das organizações está a ignorar

Ferramentas tradicionais cobrem apenas metade do cenário

O investimento em segurança de IA empresarial está concentrado na camada do modelo. Esses controles são necessários. Mas o Artigo 15 é explícito: a proteção deve estender-se às ações que um sistema de IA executa, e não apenas às saídas que gera.

Ferramentas tradicionais de segurança de IA

Salvaguardas de IA responsável, filtragem de saída, red-teaming de LLM, governança de modelos.

  • Visibilidade da saída do modelo
  • Monitoramento de prompt/resposta
  • Sem visibilidade de ação de API
  • Sem monitoramento de servidor MCP
  • Sem infraestrutura de registro do Artigo 12

Ferramentas tradicionais de segurança de API

Monitoramento de gateway de API, análise de tráfego, aplicação de autenticação.

  • Visibilidade do tráfego de API
  • Contexto de autenticação
  • Sem contexto de agente de IA
  • Sem linha de base comportamental por agente
  • Sem postura de segurança de agentes

Salt Security: projetado especificamente para a lacuna que a Lei de IA da UE expõe

O Gráfico de Segurança de Agentes da Salt Security opera em todas as três camadas que o escopo da Lei abrange: a camada LLM/modelo, a camada de servidor MCP e a camada de API. É a única plataforma que oferece um plano de controle unificado, combinando o contexto de segurança de API com a compreensão de agentes de IA, fechando a lacuna de conformidade que as ferramentas tradicionais deixam aberta.

AG-SPM

Postura e documentação. Descobre cada agente de IA, servidor MCP e endpoint de API. Inventário contínuo de interfaces para os Arts. 9, 11 e 13.

AG-DR

Detecção e resposta. Detecção comportamental em tempo real em toda a camada de ação. Permite a supervisão do Art. 14 e revela incidentes para os Arts. 20 e 73.

Gráfico de Segurança de Agentes

Registro contínuo de conformidade. O registro à prova de adulteração de cada interação de IA para API satisfaz o Art. 12. O monitoramento contínuo é a prova do Art. 15 e do Art. 72 que as autoridades de supervisão esperam.

Perguntas comuns

Lei da IA da UE: perguntas frequentes

O que é a Lei da IA da UE e aplica-se à minha organização?

A Lei da IA da UE (Regulamento (UE) 2024/1689) é a primeira regulamentação abrangente de IA do mundo. Aplica-se a qualquer organização que coloque sistemas de IA no mercado da UE, opere sistemas de IA de alto risco na UE, ou cujas saídas de IA sejam utilizadas na UE, incluindo empresas não pertencentes à UE. Se utilizar IA em recrutamento, crédito, infraestruturas, biometria ou aplicação da lei, está quase certamente abrangido.

Quais são os requisitos de conformidade da Lei da IA da UE para 2026?

As principais obrigações que entram em vigor a 2 de agosto de 2026 incluem: um sistema contínuo de gestão de riscos (Art. 9), governação de dados com proteções no momento da inferência (Art. 10), documentação técnica completa (Art. 11), registo à prova de adulteração retido por um mínimo de 6 meses (Art. 12), transparência para os implementadores (Art. 13), capacidade de supervisão humana (Art. 14), resiliência à cibersegurança (Art. 15), um sistema de gestão da qualidade (Art. 17) e monitorização pós-mercado desde o primeiro dia de implementação (Art. 72).

O que exige especificamente o Artigo 15 da Lei da IA da UE?

O Artigo 15 exige que os sistemas de IA de alto risco sejam concebidos e desenvolvidos para alcançar um nível adequado de resiliência à cibersegurança. O Artigo 15(5) enumera tipos específicos de ataque contra os quais se deve proteger: envenenamento de dados, exemplos adversariais que visam o comportamento do modelo, ataques de confidencialidade e evasão de modelo. Estas ameaças visam principalmente as interfaces através das quais os sistemas de IA interagem com fontes de dados e serviços externos, na prática, APIs e servidores MCP.

O que exige o Artigo 10 da Lei da IA da UE para a governação de dados?

O Artigo 10 estabelece requisitos de governação de dados para sistemas de IA de alto risco, incluindo práticas para prevenir o acesso não autorizado, proteger a integridade dos dados e garantir que os dados de treino, validação e teste são geridos de forma adequada. As obrigações de governação de dados estendem-se por todo o ciclo de vida da IA, incluindo no momento da inferência, quando os agentes de IA estão a aceder e a processar ativamente dados através de chamadas de API.

O que exige o Artigo 12 da Lei da IA da UE para a manutenção de registos?

O Artigo 12 exige que os sistemas de IA de alto risco gerem automaticamente registos que permitam a rastreabilidade e a identificação de riscos. Os registos devem ser à prova de adulteração. A retenção mínima é de 6 meses para a maioria dos sistemas de alto risco e de 24 meses para sistemas de identificação biométrica e de aplicação da lei. A obrigação de registo abrange tanto os sistemas do fornecedor como os registos operacionais do implementador.

Os agentes de IA que invocam APIs estão abrangidos pela Lei da IA da UE?

Sim. Se um agente de IA chamar APIs, incluindo microsserviços internos, plataformas de terceiros ou servidores MCP, essa camada de ação enquadra-se nos mandatos de cibersegurança (Art. 15) e registo (Art. 12) da Lei. Em arquiteturas multiagente, os Considerandos 99 e 100 indicam que cada agente na cadeia que executa uma função de alto risco está abrangido. O limite de conformidade estende-se a toda a camada de ação, não apenas ao próprio modelo.

Cada mês que atrasa é um mês de dados de monitorização que não terá

A data de aplicação de 2 de agosto de 2026 está fixada

O Salt Security’s Agentic Security Graph pode ser implementado em dias e começa a construir o seu registo de conformidade contínua desde o primeiro dia.

Isenção de responsabilidade: O Regulamento (UE) 2024/1689 (Lei da IA da UE) entrou em vigor a 1 de agosto de 2024. As disposições relativas aos sistemas de IA de alto risco aplicam-se a partir de 2 de agosto de 2026. As disposições relativas aos modelos GPAI aplicaram-se a partir de 2 de agosto de 2025. Esta página destina-se a fins informativos e não constitui aconselhamento jurídico. As organizações devem consultar um advogado qualificado da UE relativamente às suas obrigações de conformidade específicas.