O EU AI Act usa um framework baseado em risco. Risco inaceitável (proibido): pontuação social, vigilância biométrica em tempo real em locais públicos (com exceções). Alto risco (requisitos rigorosos): IA em contratação, educação, aplicação da lei, infraestrutura crítica — esses exigem avaliações de conformidade, governança de dados, supervisão humana e documentação. Risco limitado (obrigações de transparência): chatbots devem informar que são IA, deepfakes devem ser rotulados. Risco mínimo (sem requisitos): filtros de spam, IA de videogames.
O EU AI Act aborda especificamente modelos fundacionais (chamados de "modelos de IA de propósito geral"). Provedores devem publicar resumos de dados de treinamento, cumprir leis de direitos autorais e implementar avaliações de segurança. Modelos considerados como apresentando "risco sistêmico" (grosso modo: modelos de fronteira com orçamentos de computação significativos) enfrentam obrigações adicionais incluindo testes adversariais, relatórios de incidentes e medidas de cibersegurança. Isso afeta diretamente empresas como Anthropic, OpenAI, Google e Meta.
Regulamentação de IA está se desenvolvendo de forma desigual pelo mundo. A UE lidera com legislação abrangente. Os EUA dependem de ordens executivas, frameworks do NIST e agências setoriais (FDA para IA médica, FTC para proteção do consumidor). A China exige transparência algorítmica, rotulagem de conteúdo e aprovação governamental para IA generativa pública. Esse mosaico cria desafios de compliance para empresas globais de IA que devem navegar regras diferentes em diferentes mercados.