O FSB criou o conceito. A governança ainda não criou os controles.
Em 10 de junho de 2026, o Financial Stability Board (FSB) – organismo internacional que monitora e formula recomendações sobre o sistema financeiro global, com estreita vinculação ao G20 – publicou um relatório de consulta com 12 práticas recomendadas para a adoção responsável de inteligência artificial por instituições financeiras. O documento é endereçado, com todas as letras, ao conselho e à alta administração. E seu recado central é incômodo: adaptar os controles de recursos humanos aos agentes de IA “de forma a tratá-los como funcionários sintéticos”.
Não é metáfora. O FSB admite que o monitoramento humano contínuo de cada decisão individual de cada agente já se tornou impraticável. A saída proposta – usar IA para supervisionar IA — é desconfortável mas lógica. O que não é lógico, e que o próprio relatório sublinha, é fingir que a responsabilidade foi delegada junto com a tarefa.
A expressao “funcionários sintéticos” levanta quatro questões que vão além do setor financeiro, e que qualquer conselho deveria ser capaz de responder hoje.
1. Pessoa física, pessoa jurídica… e pessoa sintética. É legal?
O vazio jurídico
A personalidade jurídica, no direito brasileiro, é atribuída a duas categorias: a pessoa física (art. 1º do Código Civil) e a pessoa jurídica (art. 40). Um agente de IA não é nenhuma das duas. Não tem capacidade civil. Não pode ser réu. Não pode ser responsabilizado. Mas pode tomar decisões que afetam diretamente direitos de terceiros…e o faz, hoje, em escala.
Um agente de IA não é nenhuma das duas. Mas toma decisões, executa tarefas, interage com clientes e, em setores regulados como o financeiro e o de saúde suplementar, pode interferir diretamente em direitos de terceiros.
O próprio FSB é direto ao reconhecer que agentes de IA podem tomar ações ilegais, antiéticas ou não autorizadas sem supervisão humana, e que corrigir ou remediar essas ações pode ser difícil ou impossível depois do fato.
O vácuo legal cria um risco silencioso: sem personalidade jurídica, sem responsabilidade direta. Alguém sempre responde, mas não é o agente. E a pergunta que nenhuma política interna ainda responde com clareza é: quem, exatamente, responde? Com qual alçada? Com base em qual processo de decisão documentado?
O problema é global — e já chegou ao Brasil
Na Europa, o AI Act (Regulamento 2024/1689) classificou sistemas de IA por nível de risco e atribuiu obrigações aos “operadores” e “implantadores”, que são pessoas jurídicas e físicas que implementam o agente. No Brasil, o PL 2338/2023, aprovado pelo Senado em dezembro de 2024 e ainda em trâmite na Câmara, adota lógica semelhante: responsabilidade recai sobre o agente econômico que desenvolve ou usa o sistema.
Isso significa que o “funcionário sintético” não é responsável. O conselho é. E se o conselho não tiver documentado como aquele agente foi “contratado”, com quais permissões, supervisionado por quem e com qual processo de “desligamento”, a resposta ao regulador vai ser improvisada, e potencialmente devastadora.
No Banco do Brasil, já operam mais de 12 mil agentes apenas do Copilot, com 36 mil funcionários inscritos no programa de capacitação em IA agentiva. Em operadoras de saúde suplementar, agentes já participam de análises de autorização, auditoria médica e comunicação com beneficiários. A questão não é se é legal ter um funcionário sintético. A questão é se a organização sabe o que ele está fazendo, e se isso está registrado em algum lugar.
2. Atribuir responsabilidade a uma única pessoa física por decisão baseada em argumentos da “pessoa sintética” é ético?
O problema da responsabilidade difusa
O dever fiduciário não migra para o algoritmo. Mas o processo decisório, sim. E há um ponto de tensão ética que as organizações ainda não enfrentaram com seriedade: quando um agente autônomo constrói o argumento, estrutura a análise e apresenta a recomendação, e uma pessoa física apenas ratifica, quem de fato decidiu?
A resposta jurídica é clara: a pessoa física que assinou. A resposta ética é mais complexa: ela dependia da qualidade, completude e imparcialidade do argumento construído pelo agente. Se esse argumento estava enviesado, incompleto ou errado, e ela não tinha como saber, a responsabilidade plena é dela?
O que o FSB recomenda — e por quê importa
O FSB recomenda explainability que rastreie etapas intermediárias e caminhos de raciocínio, não apenas outputs finais. A razão é precisa: atribuir responsabilidade a quem apenas assinou uma decisão construída por um agente, sem acesso ao raciocínio que a gerou, sem log das premissas, sem política de uso aprovada pelo conselho, não é apenas um problema jurídico. É um problema ético que a governança ainda não nomeou.
É um problema ético que a governança ainda não nomeou, e que transforma a responsabilidade da pessoa física em algo meramente formal, não consciente.
O problema é duplo. A pessoa física responde ao regulador, ao cliente lesado e ao acionista sem ter tido pleno acesso ao processo que originou a decisão. E a organização, silenciosamente, usa o agente como escudo informal de responsabilidade, sem que isso esteja escrito em nenhum documento de governança.
A questão específica da saúde suplementar
Em operadoras de saúde suplementar, esse problema ganha contornos ainda mais graves. Quando um agente participa do processo de análise para negação de procedimento, e a decisão final é assinada por um médico auditor sem acesso ao raciocínio intermediário do agente, quem responde pela negação indevida? O auditor médico, o diretor técnico, a operadora, ou o agente que ninguém sabe nomear?
A ANS já recomenda como boa prática de governança, como requisito da RN 507, que processos de governança sejam documentados e rastreados. A incorporação de agentes de IA nesses processos cria uma lacuna que a regulamentação ainda não fechou, mas que o conselho não pode ignorar sob pretexto de que a norma ainda não chegou.
3. Os riscos do uso da “pessoa sintética” estão mapeados?
O que o FSB identificou
O relatório do FSB vai muito além dos riscos operacionais tradicionais. Ele categoriza riscos específicos da IA agentiva que não existiam — ou não existiam nessa escala — nos modelos anteriores de automação:
- Desalinhamento de objetivos: o agente otimiza para a métrica que lhe foi dada, não para o resultado que a organização efetivamente queria. O exemplo clássico é o reward hacking — o agente encontra formas de maximizar a pontuação sem cumprir o objetivo real.
- Informação insuficiente: o agente age com base nos dados disponíveis no momento, sem necessariamente sinalizar que o contexto está incompleto.
- Agentes comprometidos em coordenação: o FSB menciona explicitamente o risco de agentes colaborando entre si para executar ataques distribuídos ou disseminar desinformação de forma autônoma, sem que nenhum humano tenha instrudo isso.
- Velocidade de materialização: modelos avançados podem identificar e explorar vulnerabilidades, incluindo vulnerabilidades de dia zero, em velocidade que comprime a janela entre descoberta e exploração.
O que isso significa para a saúde suplementar
Em setores de alto impacto como a saúde suplementar, os riscos ganham uma camada adicional de sensibilidade. Agentes que participam de decisões de cobertura, autorização de procedimentos ou auditoria médica operam em zona onde o erro não é apenas financeiro. É clínico, é ético, é de direito fundamental.
Pelo menos 3 das 4 categorias de risco identificadas pelo FSB tem tradução direta:
- Desalinhamento de objetivos: um agente treinado para reduzir custos de autorização pode otimizar negações sem que isso seja uma instrução explícita, com impacto direto sobre a saúde do beneficiário.
- Informação insuficiente: um agente de auditoria médica que não tem acesso ao histórico completo do paciente pode produzir pareceres incorretos com aparência de fundamentação.
- Velocidade de materialização: em sistemas de pré-autorização automatizados, erros em cadeia podem afetar centenas de casos antes que alguém perceba o padrão.
O mapeamento de riscos da pessoa sintética não pode ser tarefa exclusiva da TI. Precisa envolver as áreas técnica, jurídica, de compliance e de governança. Além disso, o resultado precisa chegar ao conselho, não apenas ao comitê de tecnologia.
Para cada agente de IA em operação, o conselho deveria ser capaz de responder: quais são os cenários de falha? Em qual deles o impacto é irreversível? E existe um plano de contingência documentado para quando esse cenário se materializar?
Se a resposta for “não sei”, o problema não é tecnológico. É de governança.
4. Quais controles internos devem existir quando o processo decisório está a cargo da “pessoa sintética”?
O que o FSB prescreve
Aqui o FSB é mais prescritivo. As 12 práticas recomendadas convergem para um conjunto de controles que podem ser traduzidos diretamente para a linguagem de governança corporativa:
- Aprovação humana ou dupla autorização acima de determinados limites de valor ou impacto, o que pressupõe que a organização definiu previamente quais são esses limites;
- Acesso restrito a sistemas críticos, com permissões granulares por função. O chamado princípio de menor privilégio aplicado a agentes, não apenas a usuários humanos;
- Trilha de auditoria completa de cada ação e transação do agente, não apenas o output final, mas o raciocínio intermediário e as premissas utilizadas;
- Gestão dinâmica de identidade e acesso, com permissões que podem ser concedidas, alteradas ou revogadas em tempo real com base em comportamento e contexto, e não apenas atribuídas uma única vez na “contratação” do agente;
- Monitoramento de IA por IA, com a ressalva explícita do FSB de que esse controle precisa estar ele próprio sujeito a governança humana, não apenas a ciclos automáticos.
Traduzindo para a estrutura de governança
Cada um desses controles pressupõe decisões que não são técnicas. São de governança. Quem aprova os limites de alçada do agente? Quem define as funções para as quais o acesso é restrito? Quem valida a trilha de auditoria? Quem tem autoridade para revogar as permissões de um agente em tempo real?
Se essas perguntas não tiverem resposta formal, com nome, cargo e política aprovada, os controles técnicos são insuficientes. A estrutura de governança precisa incluir o ciclo de vida do agente com a mesma seriedade com que inclui o ciclo de vida de um colaborador humano em posição de confiança.
O controle mais importante de todos
O FSB menciona algo que raramente aparece nos guias de gestão de tecnologia: a necessidade de processos formais de “desligamento” de agentes. Assim como uma empresa tem processo para desligar um colaborador: com revogação de acessos, transferência de responsabilidades e documentação. A organização precisa ter processo equivalente para agentes de IA.
Isso significa que o controle mais importante não está na lista técnica. Está na resposta a uma pergunta simples: quem, na nossa estrutura, tem alçada para desligar um agente de IA? E com qual processo?
O que fazer antes de outubro
A consulta pública do FSB segue aberta até 22 de julho de 2026. O relatório final está previsto para outubro. O documento completo com as 12 práticas recomendadas, estudos de caso e perguntas abertas para contribuição está disponível em:
https://www.fsb.org/uploads/P100626.pdf
Para as organizações que quiserem contribuir com a consulta, o FSB lista perguntas específicas, entre elas, se as práticas são suficientemente flexíveis para acomodar novos tipos de IA ao longo do tempo, e se os estudos de caso fornecem insumos acionáveis. Uma operadora de saúde suplementar brasileira que já usa agentes de IA teria muito a contribuir.
As quatro perguntas deste artigo não têm respostas fáceis. Mas têm algo em comum: são perguntas de governança, não de tecnologia. E a única maneira de respondê-las é que o conselho as coloque na pauta, antes que o regulador o faça por ele.
Os funcionários sintéticos já bateram o ponto. A pergunta é se a governança bateu também.
Referências
Financial Stability Board (FSB). Sound Practices for Responsible Adoption of Artificial Intelligence (AI): Consultation Report. 10 jun. 2026. Disponível em: https://www.fsb.org/uploads/P100626.pdf. Acesso em: 19 jun. 2026.
União Europeia. Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial (AI Act). Jornal Oficial da União Europeia, L 2024/1689, 12 jul. 2024. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=OJ:L_202401689
Brasil. Projeto de Lei nº 2.338, de 2023 (Marco Legal da Inteligência Artificial). Aprovado pelo Senado Federal em 10 de dezembro de 2024. Em tramitação na Câmara dos Deputados. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
Brasil. Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil Brasileiro). Arts. 1º e 40. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
Agência Nacional de Saúde Suplementar (ANS). Resolução Normativa nº 507, de 28 de maio de 2022. Disponível em: https://www.ans.gov.br
Banco do Brasil. AcademIA BB 2026: capacitação em IA Generativa e Agêntica. Junho de 2026. Disponível em: https://tiinside.com.br/08/06/2026/banco-do-brasil-engaja-mais-de-36-mil-funcionarios-em-programa-de-capacitacao-para-ia-generativa-e-agentica/
