Governança de IA é o trabalho confuso e necessário de decidir quem pode construir o quê, quem é responsável quando as coisas dão errado, e quais salvaguardas existem entre uma descoberta de pesquisa e sua implantação na vida de bilhões de pessoas. Opera em múltiplos níveis simultaneamente: acordos internacionais (a Declaração de Bletchley, o Processo de Hiroshima do G7), legislação nacional (o AI Act da UE, as Medidas Provisórias para IA Generativa da China), autorregulação da indústria (a Política de Escalonamento Responsável da Anthropic, os Princípios de IA do Google) e governança corporativa interna (comitês de revisão ética, red teams, checklists de implantação). Nenhum desses níveis funciona bem isoladamente, e as interações entre eles criam um cenário de governança genuinamente difícil de navegar.
O AI Act da UE, que começou a ser aplicado em fases a partir de 2025, é a legislação específica de IA mais abrangente do mundo. Classifica sistemas de IA por nível de risco: inaceitável (proibido, como pontuação social), alto risco (sujeito a avaliações de conformidade, requisitos de documentação e mandatos de supervisão humana) e risco limitado/mínimo (obrigações mais leves). A abordagem é sistemática mas complexa — empresas que constroem modelos de IA de propósito geral enfrentam um conjunto distinto de regras sob as provisões "GPAI", incluindo requisitos de transparência e, para os modelos mais poderosos, obrigações de testes adversariais e relatório de incidentes. Os Estados Unidos, em contraste, adotaram uma abordagem setorial: orientações da FDA para IA em dispositivos médicos, o AI Risk Management Framework do NIST como padrão voluntário, e um mosaico de leis estaduais. A China se moveu rapidamente com regulações direcionadas sobre deepfakes, algoritmos de recomendação e IA generativa, cada uma com requisitos específicos de registro e conteúdo. Para empresas operando globalmente, conformidade significa navegar tudo isso simultaneamente, e as regras nem sempre concordam entre si.
Dentro das organizações, governança de IA significa mais do que publicar uma declaração de ética. As empresas que fazem isso bem têm mecanismos concretos: processos de revisão pré-implantação que exigem aprovação de equipes de segurança antes de um modelo ser lançado, exercícios de red-team onde adversários internos tentam quebrar sistemas antes do lançamento, model cards e documentação de sistema que rastreiam capacidades, limitações e modos de falha conhecidos de um modelo, e planos de resposta a incidentes para quando as coisas dão errado em produção. As empresas que fazem isso mal tratam governança como exercício de comunicação — uma página no site listando princípios que suas equipes de engenharia nunca leram. A diferença geralmente é visível no organograma: se a equipe de segurança reporta à equipe de produto, a governança tende a perder quando conflita com prazos de lançamento. Se reporta independentemente, tem uma chance de lutar.
Os esforços de autorregulação da indústria de IA são fonte de discordância genuína entre pessoas bem-intencionadas. Defensores apontam para resultados concretos: a Política de Escalonamento Responsável da Anthropic define limiares de capacidade que ativam requisitos de segurança cada vez mais rigorosos conforme os modelos ficam mais poderosos. O Preparedness Framework da OpenAI se compromete com avaliações específicas antes da implantação. O Frontier Model Forum reúne grandes laboratórios para compartilhar pesquisa em segurança. Críticos respondem que esses compromissos são voluntários, autoavaliados e rotineiramente subordinados à pressão competitiva. Quando a OpenAI dissolveu sua equipe de Superalignment em 2024, demonstrou a fragilidade da autogovernança quando conflita com objetivos comerciais. A avaliação honesta é que a autorregulação produziu práticas de segurança genuinamente úteis, mas é insuficiente por si só — particularmente para riscos que afetam pessoas fora da base de usuários da empresa.
Várias questões fundamentais de governança permanecem genuinamente não resolvidas. Modelos de IA de fronteira deveriam exigir licenciamento governamental, similar a farmacêuticos ou tecnologia nuclear? Como regular modelos open-source que, uma vez lançados, não podem ser recolhidos? Quem é responsável quando um sistema de IA causa dano — o desenvolvedor do modelo, a empresa que o implantou ou o usuário que o instruiu? Como aplicar regras a sistemas de IA cujas capacidades são difíceis até para seus criadores enumerarem completamente? E no nível internacional, como evitar uma corrida para o fundo onde empresas e pesquisadores se realocam para a jurisdição com a regulação mais leve? Essas não são perguntas retóricas. São debates políticos ativos com consequências reais, e as respostas vão moldar se a governança de IA se torna um sistema funcional ou um exercício de conformidade no papel.