IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
PB-2026-017

Checklist de Conformidade de IA para o Setor Financeiro: Bancos, Fintechs e Seguradoras

André Nakamura, Thiago AlmeidaMarço 2026IBGIA Working Paper Series

Checklist de Conformidade de IA para o Setor Financeiro: Bancos, Fintechs e Seguradoras

Autores: André Nakamura, Thiago Almeida Série: IBGIA Policy Brief Series Número: PB-2026-017 Data: Junho 2026

Sumário Executivo

O setor financeiro brasileiro é o maior adotante de IA no país — e o mais regulado. Bancos, fintechs e seguradoras operam numa confluência de normas do BACEN, CMN, SUSEP, LGPD e, em breve, do PL 2338/2023. Este policy brief é um guia prático de conformidade organizado por tipo de instituição e por tipo de sistema de IA, com checklists acionáveis para equipes jurídicas, de compliance e de tecnologia.

1. Mapa Regulatório para IA no Setor Financeiro

| Norma | Emissor | Aplicação Principal | |---|---|---| | Resolução BCB 85/2021 | BACEN | Gestão de risco de modelos | | Resolução CMN 4.557/2017 | CMN | Risco operacional (inclui modelos) | | Resolução CMN 4.931/2021 | CMN | Acesso a crédito e comunicação de negativas | | Circular SUSEP 662/2022 | SUSEP | Uso de dados em precificação de seguros | | LGPD (Lei 13.709/2018) | ANPD | Dados pessoais e sensíveis | | PL 2338/2023 | Congresso | Alto risco (scoring, decisões financeiras) | | CDC (Lei 8.078/1990) | SENACON | Proteção do consumidor financeiro |

2. Checklist por Tipo de Instituição

2.1 Bancos Múltiplos e Comerciais (Grandes Portes)

Governança e estrutura:

  • [ ] Política de gestão de risco de modelos (Res. BCB 85) publicada e revisada anualmente
  • [ ] Comitê de IA com participação de CRO, Chief Compliance Officer e representante jurídico
  • [ ] DPO designado com acesso direto à diretoria
  • [ ] Inventário centralizado de todos os modelos de IA em produção (com classificação de risco)

Modelos de crédito:

  • [ ] Documentação técnica de cada modelo: dados de treinamento, variáveis, métricas de performance
  • [ ] Backtesting semestral com análise de desvio entre previsto e realizado
  • [ ] Auditoria de equidade bienal (desagregação por raça, gênero, região)
  • [ ] Relatório de equidade enviado ao BACEN anualmente (proposto — ver WP-2026-016)
  • [ ] Canal de contestação de decisão de crédito com resposta em 5 dias úteis
  • [ ] Explicação substantiva das 5 variáveis mais relevantes disponível ao cliente

Prevenção a fraudes e lavagem de dinheiro (AML):

  • [ ] Modelos de AML validados por equipe independente antes do go-live
  • [ ] Taxa de falsos positivos monitorada — alerta se > 15% (custo operacional e de reputação)
  • [ ] Registro de todas as alertas geradas e ações tomadas para auditoria pelo BACEN/COAF
  • [ ] Revisão humana obrigatória antes de bloqueio de conta ou encerramento de relacionamento

Atendimento ao cliente:

  • [ ] Chatbots identificados como sistemas automatizados ao cliente
  • [ ] Transferência para humano em até 30 segundos quando solicitada
  • [ ] Logs de interação retidos por 5 anos (Res. BCB + LGPD)

2.2 Fintechs de Crédito e Pagamento

Conformidade básica:

  • [ ] Registro no BACEN como IP (Instituição de Pagamento) ou SCD/SEP conforme serviços
  • [ ] DPO designado (obrigatório para quem trata dados em larga escala — LGPD)
  • [ ] Política de privacidade em linguagem acessível, sem legalês excessivo
  • [ ] Termos de uso com explicação clara de quais dados são coletados e por quê

Modelos de scoring alternativo:

  • [ ] Inventário de variáveis não-tradicionais utilizadas (dados de comportamento, redes sociais)
  • [ ] Avaliação jurídica de cada variável não-tradicional: risco de proxy discriminatório?
  • [ ] Teste de proxy discrimination antes do go-live: a variável funciona como proxy de raça, gênero ou religião?
  • [ ] Política de dados: quais dados de terceiros são comprados? De quem? Com que base legal?
  • [ ] Cláusula contratual proibindo repasse de dados de clientes a parceiros comerciais sem consentimento

Open Finance:

  • [ ] Consentimento granular: cliente sabe exatamente quais dados compartilha e com quem
  • [ ] Revogação de consentimento simples, sem burocracia
  • [ ] Dados Open Finance usados apenas para finalidade declarada no momento do consentimento

2.3 Seguradoras

Precificação algorítmica:

  • [ ] Variáveis de precificação documentadas: nenhuma variável proibida (raça, religião, deficiência não relacionada ao risco segurado)
  • [ ] Modelo de precificação validado pelo atuário responsável (SUSEP exige assinatura atuarial)
  • [ ] Auditoria de equidade: diferenças de prêmio entre grupos similares são justificadas por risco real, não por características protegidas?
  • [ ] Dados de wearables/apps de saúde: consentimento específico para uso em precificação
  • [ ] Política de opt-out: cliente pode optar por não compartilhar dados comportamentais sem penalidade de preço > 20%

Ajuste de sinistros:

  • [ ] Sistemas de ajuste automatizado identificados como tal nos comunicados ao segurado
  • [ ] Canal de revisão humana para qualquer negativa ou ajuste parcial — prazo máximo 10 dias úteis
  • [ ] Auditoria semestral de taxa de contestação bem-sucedida: se > 30%, modelo precisa de revisão
  • [ ] Documentação de metodologia de cálculo de sinistro acessível ao segurado mediante solicitação

Detecção de fraude em sinistros:

  • [ ] Modelo de detecção de fraude auditado para falsos positivos por grupo demográfico
  • [ ] Casos de suspeita de fraude revisados por humano antes de negativa definitiva
  • [ ] Registro de todos os casos suspeitos e desfechos para retroalimentação do modelo

3. Checklist para Sistemas de Alto Risco (PL 2338/2023)

Para sistemas classificados como alto risco pelo PL 2338 — scoring de crédito, decisões de seguro, sistemas de AML com impacto em acesso a serviços — as obrigações adicionais são:

Pré-deployment:

  • [ ] Avaliação de Impacto Algorítmico (AIA) completa, documentada e arquivada
  • [ ] Testes de equidade em dataset representativo da população brasileira
  • [ ] Validação independente por equipe que não desenvolveu o modelo
  • [ ] Registro junto à autoridade competente (quando regulamentado)

Em operação:

  • [ ] Monitoramento contínuo de drift (degradação do modelo com o tempo)
  • [ ] Relatório semestral de desempenho enviado à diretoria e ao comitê de risco
  • [ ] Canal de contestação com revisão humana e resposta fundamentada
  • [ ] Relatório anual de transparência com métricas de equidade publicado

Contratos com fornecedores de IA:

  • [ ] Cláusula de auditabilidade: direito de auditar o modelo ou relatórios de auditoria independente
  • [ ] Cláusula de notificação de incidente: 24h para incidentes com impacto em > 1.000 clientes
  • [ ] Cláusula de portabilidade: dados e outputs acessíveis ao contratante após encerramento
  • [ ] SLA de explicabilidade: fornecedor deve fornecer explicação de decisão individual em até 2 dias úteis

4. Gestão de Incidentes: Protocolo em 5 Etapas

Etapa 1 — Detecção (0-6h):

  • Identificação do incidente via monitoramento automatizado ou reporte interno
  • Classificação inicial: gravidade (crítica/alta/média/baixa) e tipo (viés, falha técnica, vazamento, comportamento inesperado)
  • Notificação imediata ao DPO e responsável pelo sistema

Etapa 2 — Contenção (6-24h):

  • Avaliação: suspender sistema ou restringir uso?
  • Implementação de medidas de contenção
  • Comunicação interna às áreas impactadas

Etapa 3 — Notificação regulatória (24-72h):

  • BACEN: se impacto em > 500 clientes ou risco sistêmico
  • ANPD: se envolver vazamento de dados pessoais (prazo de 72h da LGPD)
  • SUSEP: se impacto em segurados (seguradoras)
  • PROCON/SENACON: se impacto em direitos do consumidor em larga escala

Etapa 4 — Investigação (até 15 dias):

  • Análise de causa raiz
  • Identificação de todos os clientes afetados
  • Quantificação do dano potencial

Etapa 5 — Remediação e reporte (até 30 dias):

  • Plano de ação corretiva com cronograma
  • Comunicação aos clientes afetados
  • Relatório final para o regulador
  • Atualização do inventário de modelos

5. Recomendações por Perfil

Para o Chief Risk Officer

  • Integrar risco de modelo de IA ao framework de risco operacional (Res. CMN 4.557)
  • Exigir AIA como gate obrigatório no processo de aprovação de novos sistemas
  • Estabelecer KRIs (Key Risk Indicators) específicos para IA: taxa de contestação, drift de modelo, disparidade de equidade

Para o DPO

  • Mapear todos os tratamentos de dados envolvendo IA no ROPA (Record of Processing Activities)
  • Garantir base legal específica para cada uso de dado em modelo de IA
  • Revisar contratos com fornecedores de IA para incluir cláusulas DPA (Data Processing Agreement) adequadas
  • Definir prazo de retenção de dados de treinamento e outputs de modelos

Para o Chief Compliance Officer

  • Incluir IA na matriz de riscos de compliance
  • Desenvolver treinamento específico sobre uso responsável de IA para equipes comerciais e de operações
  • Monitorar evolução regulatória: PL 2338, regulamentações BACEN/SUSEP, orientações ANPD

Para o Advogado In-House

  • Revisar todos os contratos com fornecedores de IA para incluir cláusulas de auditabilidade, incidente e portabilidade
  • Mapear exposição a litígios por discriminação algorítmica (ação civil pública, PROCON, ações individuais)
  • Acompanhar jurisprudência emergente: SENACON multas por chatbot sem opção de humano, ANPD autuações por LGPD

6. Conclusão

Conformidade em IA no setor financeiro não é um projeto de TI — é um projeto de governança corporativa que envolve jurídico, compliance, risco, operações e a diretoria. As instituições que tratarem IA com o mesmo rigor que tratam risco de crédito e risco operacional estarão mais preparadas para a regulação que se aproxima e terão menos surpresas regulatórias e reputacionais.

O IBGIA disponibiliza templates de AIA setorial para o mercado financeiro e de cláusulas DPA para contratos com fornecedores de IA mediante solicitação em [email protected].

Referências

  • BACEN. Resolução BCB 85/2021 — Gestão de Riscos de Modelos. Brasília: BACEN, 2021.
  • CMN. Resolução 4.557/2017 — Risco Operacional. Brasília: CMN, 2017.
  • SUSEP. Circular 662/2022 — Uso de Dados em Precificação. Brasília: SUSEP, 2022.
  • ANPD. Guia de Boas Práticas para o Setor Financeiro. Brasília: ANPD, 2024.
  • IBGIA. WP-2026-016: IA e Mercado de Crédito no Brasil. São Paulo: IBGIA, 2026.
  • SENACON. Nota Técnica sobre Chatbots no Setor Financeiro. Brasília: SENACON, 2025.
  • FEBRABAN. Autorregulação Bancária e IA. São Paulo: FEBRABAN, 2025.

PB-2026-017 | IBGIA Policy Brief Series | Junho 2026 Instituto Brasileiro de Governança em IA — ibgia.org

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers