A renomada futuróloga Amy Webb, fundadora do Future Today Institute, divulgou sua carta anual sobre tendências para 2024, sinalizando uma possibilidade interessante, diante dos riscos da inteligência artificial: a necessidade de autorização prévia de algoritmos para que possam ser utilizados em mercado. A ideia merece uma detida reflexão e, nesse texto, procurou explorar duas questões.
Primeiramente, precisamos entender quais são as exigências atuais para que alguém possa comercializar soluções automatizadas de análise e recomendação de investimentos, automação de operações e gestão automatizada de carteira.
Em segundo lugar, exploro as eventuais consequências da imposição de um regime de autorização prévia e específica para que soluções baseadas em inteligência artificial possam ser oferecidas no mercado de capitais.
Hoje: essência sobre a forma
Não há regulação específica sobre produtos e serviços financeiros que utilizem inteligência artificial. Sendo assim, a essência do produto ou serviço determina a incidência ou não das normas pertinentes, independente da tecnologia utilizada.
Por exemplo, se a IA é utilizada para a elaboração de um relatório de análise, nos termos da Resolução CVM nº 20/2021, ou recomendação de investimento em valores mobiliários, a pessoa ou empresa responsável pela oferta da solução deverá ter o registro como analista de valores mobiliários. Analogamente, se o escopo do serviço prestado corresponder à consultoria de valores mobiliários, o exercício da atividade estará sujeito ao registro disciplinado pela Resolução CVM nº 19/2021. Ainda, soluções de carteira administrada e gestão automatizada de carteira (como um gestor-robô), devendo o ofertante do serviço estar registrado como administrador de carteira, conforme a Resolução CVM nº 21/2021, bem como as regras da Anbima.
Já as soluções para negociação algorítmica com alguma ingerência por parte do investidor final encontram-se em situação peculiar. Em geral, a oferta de soluções dessa natureza é tratada como produtos tecnológicos que são um meio para a oferta de um serviço regulado, de modo semelhante ao que ocorre com analistas e consultores.
Assim, se uma corretora oferece uma solução de configuração de pontos de entrada e saída baseados, por exemplo, em dados históricos de negociação, então a responsabilidade por falhas no serviço recai sobre a corretora, na qualidade de intermediário segundo a Resolução CVM nº 35/2021. A automação de operações pela plataforma SmarttBot é um exemplo de solução próxima do que poderíamos chamar de “broker as a service”, assim como outros produtos que permitem, além da visualização de dados intradiários, a programação de compras e vendas via um intermediário regulado, sobre quem irá recair a responsabilidade pelo serviço ofertado aos investidores.
Com relação aos high frequency traders (HFT), não há exigência de autorização ou sequer uma definição legal ou infralegal, apesar de o tema ter sido objeto de discussão há cerca de dez anos, após a publicação do livro Flash Boys, do jornalista Michael Lewis, que trouxe dúvidas sobre a legalidade da atuação desse tipo de participante nos mercados de bolsa. Atualmente, a atuação de HFTs no Brasil depende de ajustes no âmbito dos serviços de acesso direto ao mercado (DMA) oferecidos pela B3 e, ainda, suas operações são objeto de fiscalização pela BSM Supervisão de Mercados e pela CVM.
Amanhã: autorizações específicas?
A ideia de Amy Webb significa ir além de uma autorização genérica para uma atividade como análise, consultoria, gestão ou intermediação. A depender dos riscos específicos de uma solução de IA que venha a substituir um trabalho sujeito a uma autorização estatal, o produto deveria ser submetido a um teste para assegurar sua adequação e, sobretudo, conformidade com padrões éticos.
Para ilustrar o problema, Webb menciona uma pesquisa na qual foi apresentado um algoritmo seria capaz de realizar operações vedadas pela legislação e ocultar a ilicitude de sua prática.
Nesse quadro, da mesma forma que uma aeronave precisa ser homologada para voar ou uma nova droga requer a demonstração de resultados acerca da sua efetividade e riscos, uma solução de IA (seja no mercado financeiro ou em outro âmbito) deveria, segundo sugerido por Webb, passar em algum tipo de teste, incluindo a verificação de seu processo decisório diante de dilemas éticos.
A sugestão é compreensível diante do receio a respeito dos riscos relativos à IA, alguns exagerados outros ainda desconhecidos.
Entretanto, devemos ter em mente a complexidade de serem elaborados e realizados testes para homologação destes algoritmos, diante da sua capacidade de adaptação a novos dados e cenários (um comportamento hoje pode não ser o mesmo amanhã) ou até mesmo sua capacidade de burlar esses testes. Some-se a isso a dificuldade enfrentada pelo próprio Estado em termos de capacidade técnica e de pessoal para analisar algoritmos sofisticados e decidir o que pode ou não ser colocado em mercado.
Nesse contexto, a solução mais eficiente, do ponto de vista de impacto regulatório, ainda parece ser a responsabilização do ofertante do produto (ou a solidariedade em uma cadeia de ofertantes). Nesse modelo, a despeito da tecnologia utilizada e sua complexidade, os incentivos podem ser ajustados para exigir a adoção de padrões de qualidade de gestão de riscos adequados, punindo empresas negligentes ou com controles ineficazes.
A flexibilização prévia apostando em um enforcement posterior tem seus efeitos colaterais. Diante de uma “tragédia” como o Flash Crash de 2010 ou colapsos abruptos como ocorreu com a Knight Capital, que ficou insolvente em virtude de uma falha de um algoritmo insuficientemente testado, a responsabilização posterior pode ser tardia e ineficiente. A discussão é semelhante ao dilema entre conflito formal e conflito material de interesses no tocante a ilícitos relativos a administradores e controladores de companhias: é melhor prevenir ou remediar?
Caminhos
O Projeto de Lei do Senado nº 2.338/2023 preconiza a transparência do processo decisório dos algoritmos de IA, bem como a avaliação prévia de risco das soluções. Curiosamente, o Projeto não exige uma autorização prévia, como foi o caso dos prestadores de serviços de ativos virtuais da Lei nº 14.478/2022.
Ou seja, embora haja a previsão de uma autoridade regulatória para controlar a oferta de sistemas de inteligência artificial, manter uma base de dados dos sistemas em funcionamento, fiscalizá-los e aplicar sanções, não fica claro se o controle será a priori, concomitante ou a posteriori. A opção legislativa aproxima-
se mais da estratégia da LGPD, com a definição de agentes de inteligência artificial (gênero), com duas espécies, o fornecedor e o operador de sistema de inteligência artificial.
Algumas aplicações são vedadas pelo Projeto, tais como induzir pessoas a comprometerem sua saúde e segurança ou praticarem atos ilícitos, e os usos para fins de segurança pública são estritamente delimitados.
A proposta legislativa elenca catorze atividades consideradas de alto risco, podendo o rol ser estendido por regulador infralegal. A única atividade de alto risco relativa ao sistema financeiro é a “avaliação da capacidade de endividamento das pessoas naturais ou estabelecimento de sua classificação de crédito”.
A norma proposta segue com a estipulação de deveres instrumentais, associados à governança e controle dos dados, à comunicação de incidentes graves e, no caso de soluções de alto risco à avaliação de impacto algorítmico.
Por fim, a responsabilidade civil não afasta o regime do Código de Defesa do Consumidor e é objetiva no caso de sistemas de alto risco ou risco excessivo.
A inexistência de requisito de procedimento de autorização ou licenciamento prévio parece não ser compatível com a previsão de um sandbox regulatório para avaliação prévia de soluções experimentais de IA. Ora, se para que um sistema de IA seja ofertado não se exige autorização prévia, qual seria a necessidade de um regime de sandbox?
Assim, considerando a previsão de avaliação do risco dos sistemas e a fiscalização do cumprimento dos deveres estipulados, o regime emprestado da LGPD parece não fazer sentido, sendo mais adequado o regime de autorização prévia adotado na Lei de Ativos Virtuais. Porém, essa alternativa pode impor obstáculos à rápida dinâmica do mercado, ao atrasar a oferta de sistemas de IA e onerar a autoridade regulatória com pedidos de autorização que podem demorar muito a serem concedidos e cuja eficácia pode ser questionável.
Idealmente, a Câmara dos Deputados deveria ajustar o texto para deixar mais claro o momento em que deve ser feita a avaliação de risco, a eventual análise de impacto algorítmico e o cumprimento dos outros deveres enunciadosna proposta legislativa.
Não há resposta fácil para as questões aqui mencionadas. Contudo, especificamente no caso de aplicações com IA, considerando a insuficiência de informações para mensurar os riscos e compreender a dinâmica dos algoritmos, uma intervenção regulatória desproporcional pode inviabilizar a inovação ou, então, direcionar o empreendedorismo para outras jurisdições.
Não é possível regular aquilo que não se compreende. Por ora, é importante assegurar a disponibilidade das informações necessárias para a tomada de decisão pelas autoridades, o que requer um diálogo constante entre academia, empresas e Estado.
*Isac Costa é sócio de Warde Advogados e professor do Ibmec e do Insper.
Doutor (USP), mestre (FGV) e bacharel (USP) em Direito e Engenheiro de Computação (ITA). Ex-Analista da CVM, onde também atuou como assessor doColegiado.
Deixe seu comentário