EU AI Act e mídia sintética: obrigações de divulgação para empresas 2026
O artigo 50 do AI Act obriga empresas que usem IA generativa a marcar e divulgar conteúdo sintético a partir de agosto de 2026. Quem cumpre, o que exige e as sanções.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO artigo 50 do Regulamento (UE) 2024/1689 — o AI Act — estabelece obrigações diretas de transparência e marcação para qualquer empresa que utilize IA para gerar ou manipular imagens, áudio, vídeo ou texto que se assemelhe a pessoas ou eventos reais. Estas obrigações são aplicáveis a partir de 2 de agosto de 2026 e abrangem tanto os fornecedores de sistemas de IA como os utilizadores — ou seja, as empresas que usam esses sistemas nos seus processos internos ou voltados para o cliente.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.
O que o AI Act exige sobre mídia sintética
O AI Act define "mídia sintética" de forma ampla: imagens, áudio e vídeo gerados ou manipulados por IA que se assemelham apreciavelmente a pessoas reais, lugares ou objetos existentes. Esta definição inclui os deepfakes — manipulações que visam fazer passar conteúdo artificial por autêntico — mas também fotografias publicitárias retocadas por IA, locuções geradas e vídeos corporativos com avatares digitais.
O artigo 50 do AI Act — acessível em texto integral em EUR-Lex — estrutura as obrigações em cinco números:
- Art. 50(1): Os sistemas de IA que interagem com pessoas (chatbots, assistentes virtuais) devem informar os utilizadores de que estão a interagir com uma IA, salvo quando isso seja evidente pelo contexto.
- Art. 50(2): Os sistemas de reconhecimento de emoções e categorização biométrica devem informar as pessoas expostas a eles.
- Art. 50(3): Os fornecedores de sistemas que geram imagens, áudio ou vídeo sintético que se assemelhe a pessoas ou eventos reais devem garantir que o conteúdo transporte marcas técnicas legíveis por máquina — metadados ou marcas de água — que permitam a sua identificação como conteúdo gerado por IA.
- Art. 50(4): Está prevista uma exceção para utilizações legítimas como arte, sátira e paródia, mas mesmo nesses casos a divulgação continua a ser obrigatória quando existe risco significativo de engano.
- Art. 50(5): Os fornecedores de modelos de IA de uso geral (GPAI) devem implementar soluções técnicas que permitam a deteção e a marcação do conteúdo gerado pelos seus modelos.
A obrigação central do artigo 50(3) é inequívoca: o conteúdo de IA que imita a realidade deve transportar uma marca técnica identificável antes da sua distribuição. O incumprimento pode resultar em sanções até 15 milhões de euros ou 3 % da faturação global anual (Art. 99 do Regulamento (UE) 2024/1689).
A dimensão do risco é concreta. A nossa plataforma deteta que 12 % das tentativas de fraude documental envolvem conteúdo gerado por IA, sobre um corpus de 180.000 documentos verificados mensalmente, com uma taxa de deteção de 94,8 %. A proliferação de conteúdo sintético não marcado já complica a verificação documental e o KYC — um problema que o artigo 50 pretende resolver obrigando os geradores a marcar o conteúdo na origem. Para uma visão mais abrangente da fraude documental com IA, consulte a nossa análise sobre deteção de fraude documental com IA em 2026.
Quem deve cumprir o artigo 50
O AI Act distingue entre duas categorias de obrigados, com responsabilidades distintas:
Fornecedores: Entidades que desenvolvem ou colocam no mercado sistemas de IA — incluindo GPAI — que geram conteúdo sintético. São responsáveis por integrar as soluções técnicas de marcação antes de o sistema chegar ao mercado ou ser colocado em serviço na UE.
Utilizadores (deployers): Empresas que utilizam sistemas de IA para gerar ou distribuir conteúdo sintético no contexto das suas atividades profissionais. São responsáveis por garantir que os utilizadores finais sejam informados quando o conteúdo com que interagem foi gerado por IA.
| Ator | Obrigação principal | Prazo |
|---|---|---|
| Fornecedor de sistema de IA (imagens/vídeo/áudio sintéticos) | Integrar marcas legíveis por máquina (metadados / marcas de água) no conteúdo gerado | 2 agosto 2026 |
| Fornecedor de GPAI (modelos de uso geral) | Implementar soluções técnicas de deteção e marcação | 2 agosto 2025 (Capítulo V) |
| Utilizador/deployer (empresa utilizadora de IA) | Divulgar ao utilizador final que o conteúdo é gerado por IA | 2 agosto 2026 |
| Fornecedor de chatbot / assistente virtual | Informar o utilizador de que interage com uma IA | 2 agosto 2026 |
| Qualquer entidade que use reconhecimento de emoções | Notificar as pessoas expostas | 2 agosto 2026 |
Na prática, a fronteira entre fornecedor e utilizador pode ser ténue. Uma agência de marketing que usa uma API de geração de imagem para criar conteúdo de campanha atua como utilizadora e assume a obrigação de divulgação. Um estúdio que constrói a sua própria ferramenta de geração de vídeo atua como fornecedora e assume a obrigação de marcação técnica.
As empresas estabelecidas fora da UE que ofereçam sistemas de IA ou conteúdo sintético a destinatários na UE também ficam abrangidas pelo âmbito de aplicação do regulamento.
Requisitos técnicos: marcação e padrão C2PA
A obrigação de marcação do artigo 50(3) não se limita a adicionar um aviso visível. Exige marcas técnicas legíveis por máquina que possam ser verificadas automaticamente. O padrão de referência da indústria é o C2PA (Coalition for Content Provenance and Authenticity), disponível em c2pa.org.
O C2PA define um formato de credenciais de conteúdo que é incorporado nos metadados do ficheiro — em imagens JPG/PNG, vídeos MP4/MOV, ficheiros de áudio e documentos PDF. Estas credenciais incluem:
- A origem do conteúdo (gerado por IA, editado por IA, capturado por câmara)
- A identidade do signatário (fornecedor do sistema de IA)
- Uma cadeia de custódia criptográfica que deteta modificações posteriores
O padrão C2PA foi adotado pela Adobe, Microsoft, Google, Meta e pelos principais fabricantes de câmeras. As credenciais são verificáveis através de leitores públicos e APIs, o que permite a sistemas de verificação documental identificar automaticamente o conteúdo marcado.
Para ficheiros que não suportem metadados incorporados, o artigo 50(5) permite o uso de marcas de água robustas — sinais imperceptíveis integrados no conteúdo audiovisual que persistem após compressão e edição ligeira. O Gabinete de IA Europeu, cuja atividade pode acompanhar-se no portal da Estratégia Digital Europeia, publicará orientações técnicas específicas antes da data de aplicação.
Em Portugal, a Agenda Portugal Digital enquadra a adoção de tecnologias de IA responsáveis no setor público e privado, em alinhamento com os requisitos do AI Act. A CNPD (Comissão Nacional de Proteção de Dados) — cuja atividade pode consultar-se em www.cnpd.pt — foi designada autoridade de supervisão de IA, em articulação com os reguladores setoriais.
Aprofundar o tema
Descubra os nossos guias práticos e recursos para dominar a conformidade documental.
Explorar os guiasSanções por incumprimento
O regime sancionatório do AI Act é regulado pelo artigo 99 do Regulamento (UE) 2024/1689. As sanções por incumprimento das obrigações de transparência do artigo 50 são:
| Tipo de infração | Sanção máxima |
|---|---|
| Violação de práticas proibidas (Art. 5) | 35 milhões EUR ou 7 % da faturação global anual |
| Incumprimento de outras obrigações, incluindo transparência (Art. 50) | 15 milhões EUR ou 3 % da faturação global anual |
| Informação incorreta às autoridades | 7,5 milhões EUR ou 1 % da faturação global anual |
| PME — teto aplicável | O menor entre o teto percentual e o teto absoluto |
Para as pequenas e médias empresas, o artigo 99(3) estabelece limites específicos adaptados ao volume de negócio. Contudo, isto não isenta do cumprimento das obrigações substantivas; limita apenas o montante máximo da sanção.
Em Portugal, a CNPD é a principal autoridade de supervisão para efeitos do AI Act, sem prejuízo das competências setoriais do Banco de Portugal e da CMVM no que respeita a sistemas de IA utilizados no setor financeiro. Estas autoridades coordenarão com o Gabinete de IA Europeu na aplicação do regulamento, em especial nos aspetos relacionados com dados pessoais e mídia sintética que inclua imagens de pessoas identificáveis.
Para os marcos de conformidade antibranqueamento relacionados, que frequentemente se sobrepõem com os casos de uso de conteúdo sintético em fraude financeira, consulte o nosso guia de conformidade AMLD6.
Calendário de aplicação do AI Act
O Regulamento (UE) 2024/1689 foi publicado no Jornal Oficial em 12 de julho de 2024 e entrou em vigor em 1 de agosto de 2024. A aplicação é faseada:
| Data | Obrigação |
|---|---|
| 1 agosto 2024 | Entrada em vigor do Regulamento (UE) 2024/1689 |
| 2 fevereiro 2025 | Aplicação das proibições do artigo 5 (práticas de IA proibidas) |
| 2 agosto 2025 | Aplicação das obrigações para modelos GPAI (Capítulo V), incluindo Art. 50(5) |
| 2 agosto 2026 | Aplicação plena: sistemas de IA de alto risco (Anexo III) e obrigações de transparência/mídia sintética (Art. 50) |
O prazo até agosto de 2026 pode parecer amplo, mas a implementação técnica da marcação C2PA exige integração com os fluxos de produção de conteúdo, auditoria de todos os sistemas de IA em uso e eventuais revisões contratuais com fornecedores externos de IA.
Lista de verificação prática para empresas
As empresas que geram ou distribuem conteúdo com ferramentas de IA devem completar os seguintes passos antes de 2 de agosto de 2026:
1. Inventariar os sistemas de IA que geram conteúdo sintético. Catalogar todas as ferramentas utilizadas para gerar imagens, vídeos, áudios ou textos que se assemelhem a pessoas ou eventos reais. Incluir tanto ferramentas internas como APIs de terceiros.
2. Classificar o papel da empresa. Determinar se atua como fornecedora (desenvolve ou coloca no mercado o sistema) ou como utilizadora (usa o sistema de terceiro). Em muitos casos, uma empresa pode ser ambas para sistemas distintos.
3. Verificar as capacidades de marcação dos fornecedores. Se se usam APIs de terceiros (como modelos de geração de imagem ou vídeo), confirmar que o fornecedor cumprirá com o artigo 50(3)/(5) e implementará marcas C2PA antes de agosto de 2026.
4. Implementar mecanismos de divulgação ao utilizador final. Para o conteúdo gerado por IA que seja publicado ou partilhado, conceber avisos claros e visíveis — e marcas técnicas incorporadas — que informem do carácter sintético do conteúdo.
5. Atualizar contratos e políticas internas. Os contratos com fornecedores de IA devem incluir cláusulas de cumprimento do artigo 50. As políticas internas de uso de IA devem documentar os procedimentos de marcação e divulgação.
6. Estabelecer um processo de verificação da marcação. Implementar controlos que confirmem que o conteúdo gerado por IA transporta efetivamente as marcas exigidas antes da sua distribuição. Considere ferramentas de verificação de credenciais C2PA nos fluxos de aprovação de conteúdo.
7. Documentar a conformidade. Manter registos auditáveis dos sistemas de IA em uso, dos fornecedores, das avaliações de conformidade e dos procedimentos de marcação. Estes registos serão solicitados pelas autoridades em caso de inspeção.
A CheckFile oferece capacidades de verificação documental que detetam conteúdo gerado por IA e verificam a integridade de metadados. Explore as nossas soluções de verificação documental para organizações que precisam de identificar documentos sintéticos nos seus fluxos de KYC e conformidade. Para mais informações sobre a nossa infraestrutura, consulte segurança.
Para uma visão completa da conformidade documental em Portugal e na UE, consulte o nosso guia de conformidade documental.
Perguntas frequentes
O que são exatamente os "meios sintéticos" ao abrigo do AI Act?
O AI Act não usa o termo "meios sintéticos" com uma definição legal única, mas o artigo 50(3) abrange imagens, áudio e vídeo gerados ou manipulados por IA que se assemelham apreciavelmente a pessoas reais, lugares ou eventos. Isso inclui deepfakes, avatares digitais gerados por IA, vozes sintéticas de pessoas reais, fotografias geradas por modelos de difusão e vídeos com pessoas virtuais. Não inclui conteúdo claramente artificial como desenhos animados ou gráficos abstratos sem semelhança com pessoas reais.
As empresas que apenas usam ferramentas de IA de terceiros têm obrigações?
Sim. O artigo 50 do AI Act estabelece obrigações tanto para os fornecedores (quem desenvolve os sistemas) como para os utilizadores (quem os usa nas suas atividades). Uma empresa que usa uma API de geração de imagem para criar campanhas publicitárias é utilizadora e deve garantir que o conteúdo resultante inclua avisos de divulgação e, na medida em que o fornecedor da API o facilite, marcas técnicas. Se o fornecedor de IA não cumprir o artigo 50(5), o utilizador deve implementar as suas próprias soluções de marcação.
A exceção de sátira e paródia isenta de todas as obrigações?
Não. O artigo 50(4) reconhece que a arte, a sátira e a paródia são utilizações legítimas que podem gerar conteúdo sintético sem necessidade de obter consentimento prévio. Contudo, mesmo nesses casos, a divulgação do carácter sintético do conteúdo continua a ser obrigatória quando existe risco significativo de o público ser enganado. A exceção reduz a restrição sobre o tipo de conteúdo que pode ser gerado, mas não elimina a obrigação de informar o público.
Como afeta o AI Act os documentos de identidade sintéticos?
O AI Act não regula diretamente a fraude documental, mas o artigo 50 cria um ecossistema de marcação que, a longo prazo, permitirá identificar quais documentos foram gerados ou manipulados por IA. Para as organizações que verificam documentos, a ausência de marcas C2PA num documento que deveria tê-las pode ser um indicador de alerta. Os sistemas de verificação documental como a CheckFile já incorporam análise forense para detetar conteúdo gerado por IA, mesmo antes de o ecossistema de marcação estar plenamente implementado.
Quais são as próximas orientações regulatórias para o artigo 50?
O Gabinete de IA Europeu publicará orientações técnicas antes de 2 de agosto de 2026 sobre os métodos técnicos aceitáveis para a marcação de conteúdo sintético. A CNPD publicará orientações específicas para o contexto português, em especial nos casos em que o conteúdo sintético inclua dados pessoais de pessoas identificáveis. Espera-se também que as autoridades europeias atualizem as orientações sobre o padrão C2PA como implementação preferida do artigo 50(3).
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.