Negócios de IA corporativa em 2026 travam na revisão de procurement, não nas demos. A demo impressiona. Depois o comitê de procurement se reúne e faz três perguntas: quem é responsável quando o agente erra, quais dados o sistema toca e para onde vão, e onde está a trilha de auditoria.
Fornecedores que não conseguem responder a essas perguntas de forma limpa perdem para fornecedores que conseguem. Não em preço. Não em capacidade. Em governance.
As empresas tratando o EU AI Act como um fardo de compliance estão lendo a regulação pela lente errada. Não é um custo. É um fosso, disponível a quem o constrói primeiro.
A Realidade do Comitê de Procurement
O procurement de software corporativo em indústrias reguladas segue um padrão previsível: avaliação técnica, revisão de segurança, revisão jurídica e de compliance, depois decisão. Os dois primeiros estágios aceleraram porque a infraestrutura em nuvem tornou os padrões de segurança melhores e a avaliação técnica mais rápida. O terceiro estágio não acelerou. Ficou mais difícil.
Equipes jurídicas estão perguntando sobre responsabilidade por IA em contratos onde não perguntavam dois anos atrás. Equipes de segurança de TI estão classificando fornecedores de IA em novas categorias de risco. Compliance officers estão fazendo perguntas sobre residência de dados e treinamento de modelos para as quais a maioria dos fornecedores de IA não se preparou.
O fornecedor que entra nessa conversa com documentação do EU AI Act, progresso de certificação ISO 42001 e uma classificação de risco clara para o sistema sendo vendido converte negócios que concorrentes sem preparação em governance perdem. Não porque o comitê de procurement ama compliance. Porque está tentando gerenciar risco, e documentação de governance reduz sua superfície de risco.
Essa não é uma posição defensiva. É uma oferta comercial diferenciada em um mercado onde a maioria dos concorrentes ainda não a construiu.
O Que o EU AI Act Realmente Exige
O EU AI Act classifica sistemas de IA em quatro categorias de risco, cada uma com obrigações diferentes.
Risco inaceitável: usos proibidos, incluindo pontuação social por autoridades públicas, vigilância biométrica em tempo real em espaços públicos e sistemas que exploram vulnerabilidades de grupos específicos. Nada relevante para implantações padrão de IA corporativa.
Alto risco: a categoria onde as obrigações de compliance se concentram. Aplicações de alto risco incluem sistemas de IA que tomam ou assistem decisões consequentes em emprego, acesso à educação, crédito, saúde, gestão de infraestrutura crítica e aplicação da lei. Para cada sistema de alto risco, o EU AI Act exige: avaliação de conformidade antes da implantação, documentação técnica detalhada, registro em um banco de dados da UE, mecanismos obrigatórios de supervisão humana, monitoramento pós-mercado e reporte de incidentes a reguladores.
Risco limitado: obrigações de transparência se aplicam. Usuários devem ser informados quando estão interagindo com um sistema de IA. Chatbots, conteúdo gerado por IA, deep fakes e aplicações similares se encaixam aqui.
Risco mínimo: sem requisitos obrigatórios. A maioria das ferramentas de IA usadas em operações empresariais padrão se enquadra aqui.
A questão prática para qualquer empresa implantando IA é: onde cada sistema que usamos ou desenvolvemos se situa nessa classificação? A resposta nem sempre é óbvia, e errar em qualquer direção cria problemas. Classificar um sistema de alto risco como risco mínimo cria exposição regulatória. Superclassificar cria overhead de compliance desnecessário.
Um processo de discovery que mapeia sistemas de IA para categorias de risco, antes da implementação, é o trabalho de governance que torna tudo o mais tratável.
ISO 42001: A Camada de Sistema de Gestão
A ISO 42001:2023 é o padrão de sistema de gestão de IA. Seu análogo mais próximo em procurement de software corporativo é a ISO 27001 para segurança da informação. Publicada em novembro de 2023, certificável via auditoria terceirizada e projetada para se aplicar a qualquer organização que desenvolve, fornece ou usa sistemas de IA.
O padrão cobre seis domínios-chave: liderança e política de governance de IA, avaliação e tratamento de risco, governança de dados específica para IA, requisitos de transparência e explicabilidade, mecanismos de supervisão humana e gestão de incidentes para falhas de IA. É independente de tecnologia. Governa como você gerencia a IA que usa, não a implementação técnica específica.
Por que isso importa comercialmente: a ISO 27001 mudou as vendas de software corporativo. Clientes começaram a exigi-la em RFPs, depois em contratos padrão de fornecedores, depois como expectativa de linha de base em vez de diferencial. A ISO 42001 está seguindo a mesma curva de adoção para IA. Ainda não é universal, mas a vanguarda do procurement corporativo, serviços financeiros, saúde, setor público, manufatura regulada, já está pedindo por ela.
A empresa que certifica em 2026 pode colocar ISO 42001 em toda proposta. A que espera até 2028 porque ninguém ainda exigiu estará alcançando pares que foram pioneiros. A janela para ser um early mover visível em certificação de governance de IA está se fechando ao longo dos próximos 12 a 18 meses.
A conexão com o EU AI Act também é material. A certificação ISO 42001 fornece documentação e evidência de processo que suporta a avaliação de conformidade para sistemas de IA de alto risco nos termos do Ato. Não é substituto para a conformidade com o EU AI Act, mas um acelerador estrutural significativo que reduz a análise de gaps e o trabalho de documentação para empresas já perseguindo a certificação.
Shadow AI como o Vetor de Risco Real
O gap de governance que a maioria das empresas subestima não está nos sistemas de IA que o CTO aprovou. Está nos que ninguém aprovou.
Shadow AI: funcionários usando LLMs públicos, tipicamente ChatGPT ou Gemini em planos gratuitos ou pessoais, com dados corporativos, sem conhecimento de TI ou cobertura de política. Propostas a clientes sendo rascunhadas com informações confidenciais de negócios coladas em um modelo público. Análise competitiva sendo feita com documentos de estratégia internos como contexto. Processos de RH sendo gerenciados com dados pessoais que estão no escopo do GDPR.
A exposição ao EU AI Act criada pelo uso de Shadow AI é material e frequentemente invisível. Se funcionários estão usando um sistema público de IA para tomar ou assistir decisões de emprego, crédito ou outras determinações de alto risco, a empresa pode estar operando como um provedor ou implantador do EU AI Act sem nenhuma consciência de que tem obrigações.
A exposição ao GDPR é mais familiar mas ainda frequentemente subestimada: dados pessoais submetidos a LLMs públicos podem ser retidos e usados para treinamento de modelos dependendo dos termos de serviço do provedor e do plano usado. A suposição padrão de que “é só uma ferramenta de chat” não é uma posição defensável em uma investigação de violação de dados.
O mapeamento de Shadow AI, coberto com mais profundidade no artigo complementar sobre governance de Shadow AI, não é opcional em uma postura de governance abrangente. Ele pertence a qualquer processo de discovery que leva o compliance a sério.
O Pitch Comercial Governance-First
O posicionamento para um parceiro de implementação de IA governance-first é estreito e defensável: “Implementamos IA com governance por design, não governance como retrofit.”
Na prática, governance por design significa: classificação de risco durante o discovery em vez de após a implantação, políticas de acesso a dados definidas antes do escopo de construção ser fixado, mecanismos human-in-the-loop para ações de alto stakes construídos como requisitos de sistema em vez de adicionados após incidentes, trilhas de auditoria como output padrão de todo sistema em produção e um plano de resposta a incidentes em vigor antes do go-live.
Isso não é mais lento que a implementação sem governance. O baseline de comparação está errado. A comparação relevante não é “implementação governada versus não governada nos primeiros 90 dias.” A comparação relevante é “implementação governada ao longo de 12 meses versus implementação não governada ao longo de 12 meses, incluindo o custo do evento de governance para o qual a abordagem não governada estava se encaminhando.”
Os custos legais e reputacionais de um sistema de IA sem governance que comete um erro consequente em contexto regulado, lida inadequadamente com dados pessoais ou gera output que cria responsabilidade não são teóricos. São os custos reais que o trabalho de governance previne.
Firmas boutique fazendo implementação de IA governance-first são raras neste mercado. A maioria dos integradores de sistemas trata governance como um checkbox: uma seção de compliance no plano de projeto que recebe atenção mínima até que algo dá errado. Esse gap é a oportunidade comercial.
A Conexão com o NIST AI RMF
Para empresas com aspirações de procurement federal nos EUA ou operações americanas, o alinhamento com o NIST AI RMF opera como um requisito paralelo ao EU AI Act e à conformidade com a ISO 42001.
O NIST AI Risk Management Framework, publicado pelo National Institute of Standards and Technology dos EUA, organiza a gestão de risco de IA em torno de quatro funções centrais: Govern, Map, Measure e Manage. A função Govern cobre políticas organizacionais, papéis e cultura em torno do risco de IA. Map cobre o trabalho de identificação e classificação de risco. Measure cobre o teste e avaliação dos riscos identificados. Manage cobre os processos de resposta, recuperação e melhoria.
A interseção prática para empresas europeias: a conformidade com o EU AI Act com a ISO 42001 como sistema de gestão cria sobreposição significativa com os requisitos do NIST AI RMF. Uma empresa que fez o trabalho para ambos os frameworks europeu e americano está posicionada para procurement corporativo cross-regulatório. Em 2026, isso significa empresas europeias vendendo para cadeias de fornecedores federais americanas, serviços financeiros, saúde e outros setores regulados onde a orientação do NIST influencia o procurement.
O procurement de IA corporativa é comprado por comitê. O comitê inclui jurídico, segurança de TI, compliance, procurement e avaliação técnica. Documentação de governance é o desempate quando as capacidades são comparáveis, o que são cada vez mais. As empresas que se prepararam para esse momento enquanto seus concorrentes ainda tratavam compliance como custo são as que estão fechando os negócios que os concorrentes perdem na revisão de procurement.
A Terraris.ai integra classificação de risco do EU AI Act, alinhamento com ISO 42001 e cobertura do NIST AI RMF em todo engajamento de implementação. Governance não é uma fase no final. É a arquitetura desde o primeiro sprint.