Decisões de crédito discriminatórias
Modelos de scoring que prejudicam grupos protegidos através de dados enviesados ou características por proxy — um problema de concessão de crédito justa e do AI Act em simultâneo.
ISO/IEC 42001 por setor
Scoring de crédito, deteção de fraude, tarifação de risco, robo-advice e monitorização de AML funcionam todos com IA — e estão sob o escrutínio regulatório mais pesado de qualquer setor. A ISO/IEC 42001 dá a bancos, credores, seguradoras e fintechs um sistema de gestão de IA auditável que se articula de forma limpa com as obrigações de risco de modelo, DORA e concessão de crédito justa.
Porque é de alto risco
O EU AI Act classifica a IA usada para avaliar a solvabilidade ou estabelecer uma pontuação de crédito, e a IA usada para avaliação de risco e tarifação em seguros de vida e de saúde, como de alto risco ao abrigo do Annex III (a deteção de fraude é excluída). Sobreposto a isto: expectativas de gestão de risco de modelo dos supervisores financeiros, DORA para resiliência de TIC e operacional (aplicável desde janeiro de 2025), limites do GDPR à definição de perfis e à decisão automatizada, e regras de longa data de concessão de crédito justa e antidiscriminação. Poucos setores combinam tanta pressão horizontal e setorial.
Os riscos
Os modos de falha aqui medem-se em coimas, indemnizações e danos reputacionais:
Modelos de scoring que prejudicam grupos protegidos através de dados enviesados ou características por proxy — um problema de concessão de crédito justa e do AI Act em simultâneo.
Decisões de modelos que ninguém consegue explicar totalmente, sem validação documentada nem processo de challenger.
As mudanças económicas alteram o terreno sob um modelo; a deriva não detetada erode silenciosamente a qualidade das decisões.
A regulação exige cada vez mais uma razão significativa para uma recusa — difícil de dar sem lógica de modelo documentada.
Modelos comprados e APIs de IA introduzem risco que tem de governar mas não desenvolveu.
O excesso de sinalizações prejudica os clientes e cria risco operacional e de conduta.
Como a ISO/IEC 42001 o cobre
O kit mapeia cada risco para um controlo específico do Annex A e um documento pronto a usar:
| Annex A control | Toolkit document | Why it matters |
|---|---|---|
| A.6 — Ciclo de vida e validação | V&V Plan and Report + Model Card (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05) | Documente a validação, os critérios de lançamento e a documentação do modelo — a espinha dorsal de uma gestão de risco de modelo defensável. |
| A.7 — Governança de dados | Data Governance Policy + Provenance Log + Quality Assessment (DATA-POL-01 / DATA-TPL-02 / DATA-TPL-03) | Proveniência, qualidade e base legal dos dados por trás das decisões de crédito e de tarifação. |
| A.5 / A.7.4 — Impacto, enviesamento e equidade | AI Impact Assessment + Bias and Fairness Record (RISK-TPL-01 / DATA-TPL-05) | Prova de que o scoring e a tarifação não prejudicam sistematicamente grupos protegidos. |
| A.9.3 — Supervisão humana | Human Oversight Plan (USE-PLN-01) | Revisão e anulação humanas significativas para decisões financeiras de peso. |
| A.6.2 — Monitorização e deriva | AI System Monitoring Plan & KPI Register (MON-PLN-01) | Detete a deriva e a degradação de desempenho antes que cheguem aos clientes. |
| A.10 — IA de terceiros | Vendor Questionnaire + Third-Party Register (TPR-TPL-01 / TPR-REG-01) | Governe as dependências de modelos de base e de fornecedores de IA com devida diligência e uma clara atribuição de responsabilidade. |
Como lá chegar
Registe todos os modelos de IA e serviços de IA no âmbito — crédito, fraude, tarifação, aconselhamento, AML — com um responsável.
Valide e documente cada modelo (V&V, model card) e avalie o impacto, o enviesamento e a proveniência dos dados.
Implemente supervisão humana e explicabilidade da ação adversa para decisões de peso.
Execute monitorização contínua de deriva e alinhe o AIMS com os seus processos de risco de modelo e DORA.
Perguntas
Complementa-os. A ISO 42001 fornece a camada de governança específica de IA — avaliação de impacto e de enviesamento, validação do ciclo de vida, monitorização — que se liga à gestão de risco de modelo existente e aos processos de resiliência operacional do DORA em vez de os duplicar. A estrutura partilhada de sistema de gestão torna a integração direta.
O AI Act exclui a IA usada exclusivamente para detetar fraude financeira da categoria de alto risco de scoring de crédito — mas continua a governá-la ao abrigo do seu AIMS para dados, monitorização e gestão de falsos positivos. O scoring de crédito e a tarifação de risco de seguros permanecem de alto risco.
Não. A responsabilização pelos resultados continua a ser da empresa que os implementa. Os controlos de terceiros da ISO 42001 dão-lhe as ferramentas de devida diligência, contrato e atribuição de responsabilidade para gerir o risco de fornecedores e de modelos de base.
O kit inclui os controlos de validação, governança de dados, enviesamento, supervisão e fornecedores de que uma empresa supervisionada precisa — prontos a adaptar aos seus modelos.