Em fevereiro de 2024, um cliente da Air Canada, acreditando na informação de um chatbot da companhia, comprou uma passagem aérea esperando um desconto por luto que nunca existiu. O chatbot, operando com a autoridade da empresa, havia “alucinado” a política. Um tribunal canadense, em uma decisão histórica, responsabilizou a Air Canada pela informação incorreta, forçando-a a indenizar o cliente. Este caso não é um incidente isolado, mas sim um sintoma de um desafio crescente na era da inteligência artificial: a complexa teia de responsabilidade quando sistemas autônomos falham.
A medida que a IA se integra a operações críticas de negócios, saúde e governos, a questão de quem responde por seus erros torna-se fundamental, sejam eles perdas financeiras, violações de privacidade ou riscos à segurança. A resposta não é simples e aponta para um modelo de responsabilidade compartilhada, um conceito herdado da computação em nuvem que agora está sendo adaptado para o ecossistema de IA. Este artigo explora essa estrutura de responsabilização, analisando os papéis dos diferentes atores, os frameworks propostos e o cenário regulatório que começa a tomar forma no Brasil e no mundo.
Adaptando o Modelo de Responsabilidade compartilhada da nuvem
O conceito de responsabilidade compartilhada foi popularizado pelos provedores de computação em nuvem, como Amazon Web Services (AWS), Microsoft Azure e Google Cloud, para delinear as obrigações de segurança entre o provedor e o cliente. Nessa estrutura, o provedor é responsável pela segurança da nuvem (infraestrutura, hardware, software base), enquanto o cliente é responsável pela segurança na nuvem (dados, configurações, controle de acesso). Este modelo provou ser um guia eficaz para a governança em ambientes complexos e distribuídos.
Inspirando-se no que deu certo, a indústria de tecnologia está aplicando uma lógica semelhante à IA. A ISACA, uma associação global de profissionais de governança de TI, propõe uma analogia útil para entender os papéis neste novo ecossistema, comparando-o à indústria automobilística:
| Papel no Ecossistema de IA | Analogia Automobilística | Responsabilidades Principais |
| Provedor do Modelo de IA (ex: OpenAI, Google) | Fabricante do Carro | Desenvolver modelos seguros e éticos, garantir a segurança da infraestrutura subjacente e definir os termos de uso. |
| Plataforma ou Aplicação de IA (ex: SaaS, desenvolvedores) | Concessionária/Locadora | Garantir que o serviço construído sobre o modelo é seguro, repassar as obrigações aos usuários e gerenciar os dados dos clientes. |
| Cliente ou Usuário Final | Motorista | Utilizar o sistema de forma ética e legal, controlar os dados de entrada (prompts), validar os resultados e manter a supervisão humana. |
Fonte: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2025/the-shared-responsibility-model-for-responsible-ai
Essa divisão deixa claro que a responsabilidade não recai sobre um único ator, mas é distribuída ao longo de toda a cadeia de valor, desde a criação do algoritmo até seu uso final.
Dos Modelos de Serviço ao “Destino Compartilhado”
Com base nessa estrutura conceitual, grandes players começaram a detalhar frameworks específicos para a IA. A Cloud Security Alliance (CSA), por exemplo, estendeu o modelo de nuvem (IaaS, PaaS, SaaS) para aplicações de IA, detalhando como as responsabilidades mudam em cada camada de serviço.
Em um modelo IaaS (Infraestrutura como Serviço), o usuário tem mais controle e, portanto, mais responsabilidade sobre o treinamento e a segurança do modelo. Já em um modelo SaaS (Software como Serviço), como o Microsoft 365 Copilot, a maior parte da responsabilidade pela segurança e operação do modelo recai sobre o provedor.
A Microsoft, em seu próprio modelo de responsabilidade compartilhada para IA, organiza as tarefas em três camadas: a Plataforma de IA, a Aplicação de IA e o Uso da IA. A empresa recomenda que as organizações comecem com soluções SaaS, que exigem menos expertise interna em segurança e governança, evoluindo para modelos PaaS (como o uso direto do Azure OpenAI) apenas quando necessidades específicas de customização surgirem. Essa abordagem minimiza a responsabilidade para o cliente final.
Fonte: https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility-ai
O Google Cloud, por sua vez, propõe uma evolução do conceito, falando em um “destino compartilhado” (shared fate). A ideia é ir além da simples divisão de tarefas, promovendo uma parceria mais profunda onde o provedor de nuvem assume um papel mais ativo para garantir que os clientes operem de forma segura por padrão, oferecendo configurações e blueprints seguros desde o início.
Fonte: https://docs.cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate
Casos reais e suas consequências
A necessidade desses frameworks torna-se evidente quando analisamos incidentes reais. De acordo com o Stanford AI Index Report de 2025, o número de incidentes de segurança de IA documentados aumentou 56,4% entre 2023 e 2024. Casos como o do chatbot da Air Canada demonstram que as empresas são, em última instância, responsáveis pelas ações de seus sistemas de IA perante os clientes.
Outro exemplo notório ocorreu em Nova Iorque, onde o chatbot municipal “MyCity” foi flagrado dando conselhos muito questionáveis, como afirmar que um empregador poderia legalmente reter as gorjetas de seus funcionários. O incidente forçou a prefeitura a alertar publicamente os cidadãos para não confiarem no chatbot, expondo os altos riscos associados à implementação de IA no setor público sem a devida supervisão e controle de qualidade.
No campo profissional, múltiplos advogados já foram sancionados por submeterem petições legais contendo citações de casos judiciais completamente fabricados por ferramentas como o ChatGPT.
Esses episódios ressaltam a importância crítica da supervisão humana e da validação dos resultados gerados pela IA, um pilar fundamental da responsabilidade do usuário final!
O Cenário Regulatório
Reconhecendo a urgência de estabelecer regras claras, legisladores ao redor do mundo estão agindo. A União Europeia saiu na frente com o EU AI Act, a primeira grande legislação abrangente sobre o tema. A lei adota uma abordagem baseada em risco, impondo obrigações mais estritas para sistemas considerados de “alto risco” e estabelecendo deveres distintos para “provedores” (quem desenvolve ou coloca o sistema no mercado) e “implantadores” (quem utiliza o sistema em um contexto profissional).
No Brasil, o Projeto de Lei nº 2.338/2023, já aprovado no Senado Federal e aguardando análise na Câmara dos Deputados, segue uma linha semelhante. O PL também classifica os sistemas por nível de risco, proibindo os de “risco excessivo” (como sistemas de pontuação social ou manipulação comportamental) e impondo uma série de obrigações aos de “alto risco”.
Crucialmente, o projeto aborda diretamente a responsabilidade civil, determinando que danos causados em relações de consumo serão regidos pelo Código de Defesa do Consumidor, enquanto outros casos seguirão o Código Civil. A governança responsável é exigida para todos os envolvidos (desenvolvedores, distribuidores e aplicadores) com responsabilidades específicas para cada um, incluindo a elaboração de testes de segurança, controle de vieses e garantia de supervisão humana.
Mantenha em mente
A adoção da inteligência artificial transcende a simples implementação de uma nova tecnologia, ela exige a construção de um ecossistema de governança e confiança. O modelo de responsabilidade compartilhada oferece um mapa para navegar neste novo território, deixando claro que a prestação de contas é uma corrente que conecta o desenvolvedor do algoritmo, o provedor da plataforma e o usuário final.
Enquanto frameworks como os da CSA e da Microsoft fornecem a orientação técnica, e regulações como o EU AI Act e o futuro Marco Legal brasileiro estabelecem as bases legais, a responsabilidade final é, de fato, compartilhada. Apenas através de uma colaboração transparente entre todos os elos dessa corrente, incluindo supervisão humana crítica, validação rigorosa e um compromisso com a ética, será possível mitigar os riscos e realizar o imenso potencial da inteligência artificial de forma segura e benéfica para a sociedade.
Descomplicando a Cibersegurança
Quer saber mais sobre Cibersegurança de uma forma simples e direta, construindo uma base de conhecimento que suporte os desafios da IA?
Conheça meu livro: “Descomplicando a Cibersegurança” e tenha acesso a um conteúdo essencial para gestores e profissionais que precisam de clareza para navegar no cenário de riscos digitais.
