Para os donos de PMEs portuguesas, a reação imediata costuma ser de relutância: mais regulação, mais burocracia. Mas a realidade é mais nuançada. O AI Act é, acima de tudo, um mapa. Define o que é permitido, o que é proibido e o que requer cuidados especiais. Para a maioria das empresas que usa ferramentas simples de automação ou chatbots de apoio ao cliente, o impacto prático é mínimo. Para quem usa IA em decisões que afectam pessoas — recrutamento, crédito, saúde — é preciso preparação.

E há uma boa notícia recente: em março de 2026, o Conselho da União Europeia adiou os principais prazos para sistemas de alto risco, dando às empresas portuguesas mais 16 meses para se prepararem. Conforme noticiámos na altura, a decisão foi motivada pelo atraso da Comissão Europeia na publicação das orientações técnicas necessárias.

O tempo existe. A questão é usá-lo com inteligência.

Este guia explica tudo o que uma PME portuguesa precisa de saber sobre o EU AI Act em 2026: o que é, quando se aplica, quem é afectado, as multas e o que fazer a seguir.

O que é o EU AI Act — sem linguagem jurídica

O EU AI Act é o Regulamento (UE) 2024/1689, publicado em julho de 2024. Estabelece regras para o desenvolvimento, colocação no mercado e utilização de sistemas de inteligência artificial na União Europeia.

A ideia central é simples: quanto maior o risco que um sistema de IA representa para as pessoas, mais regras tem de cumprir. É o mesmo princípio que existe noutros domínios regulados — um dispositivo médico tem mais requisitos legais do que uma caneta esferográfica.

O regulamento aplica-se a qualquer empresa que:

• Desenvolva sistemas de IA (fornecedores)
• Importe ou distribua sistemas de IA para o mercado europeu
• Utilize sistemas de IA em contexto profissional (operadores)

Isto inclui a grande maioria das PMEs que usa ferramentas de IA disponíveis no mercado — desde software de recrutamento com triagem automática de CVs até ferramentas de análise de crédito, passando por chatbots e sistemas de recomendação.

O que o AI Act não é: não é uma proibição da IA. Não impede as empresas de inovar. Para a maioria das aplicações de baixo risco — automatizar emails, gerar conteúdo de marketing, analisar dados de vendas — não existe qualquer obrigação adicional.

Timeline de implementação — prazos actualizados para 2027 e 2028

Este é o aspecto que mais confusão gera, especialmente depois das alterações de março de 2026. Eis o calendário definitivo:

Já em vigor

Próximos prazos

Porquê o adiamento de março 2026? O Conselho Europeu reconheceu que a Comissão não tinha publicado, dentro do prazo previsto, as orientações técnicas que as empresas precisavam para cumprir as obrigações de alto risco. A prorrogação foi pragmática: não faz sentido exigir conformidade quando as regras detalhadas ainda não estão completamente definidas.

Para as PMEs portuguesas que usam IA em processos de recrutamento, avaliação de crédito ou gestão de risco, esta decisão significa aproximadamente 16 meses adicionais de preparação.

Classificação de risco do EU AI Act — os quatro níveis que precisa de conhecer

O AI Act organiza todos os sistemas de IA em quatro categorias. Quanto maior o risco, mais rígida é a regulação.

Nível 1 — Risco inaceitável (PROIBIDO)

Oito práticas são absolutamente proibidas desde fevereiro de 2025. São as “linhas vermelhas” que nenhuma empresa europeia pode cruzar.

Nível 2 — Alto risco (REGULADO)

Sistemas que podem existir, mas com obrigações rigorosas. São sistemas utilizados em decisões que têm impacto significativo na vida das pessoas.

Categorias de alto risco (Anexo III do regulamento):

• Infraestruturas críticas (energia, água, transporte)
• Educação e acesso a formação
• Emprego: triagem de CVs, avaliação de desempenho, despedimentos automáticos
• Serviços essenciais: scoring de crédito, avaliação de seguros, elegibilidade a apoios sociais
• Aplicação da lei e investigação criminal
• Migração e gestão de fronteiras
• Administração da justiça

Nível 3 — Risco limitado (TRANSPARÊNCIA)

Sistemas que interagem directamente com pessoas têm uma obrigação principal: os utilizadores devem saber que estão a interagir com IA.

Exemplos: chatbots, conteúdo gerado por IA (obrigatório identificar a partir de agosto 2026), deep fakes.

Nível 4 — Risco mínimo (SEM OBRIGAÇÕES)

A vasta maioria das aplicações de IA. Filtros de spam, recomendações de produtos, automação de processos administrativos, análise de dados de vendas, ferramentas de edição de texto, geração de emails de marketing. Para estes usos, o AI Act não impõe qualquer obrigação adicional.

Que empresas são afectadas pelo AI Act — critérios concretos com exemplos portugueses

A pergunta mais prática: a minha empresa tem de fazer algo?

A resposta depende do tipo de IA que usa e do papel que desempenha.

Se usa ferramentas de terceiros (a maioria das PMEs)

Quando uma PME usa um software de RH americano, um sistema de CRM com IA, ou uma ferramenta SaaS de análise de crédito, geralmente atua como operador — não como fornecedor.

A responsabilidade principal recai sobre o fornecedor do sistema. No entanto, o operador tem obrigações próprias:

• Usar o sistema para os fins previstos
• Informar os utilizadores finais sobre o sistema de IA
• Não modificar o sistema de formas que aumentem o risco
• Manter registos de utilização (para sistemas de alto risco)

Se desenvolve IA internamente

Empresas que desenvolvem as suas próprias ferramentas de IA — mesmo que apenas para uso interno — são consideradas fornecedores e têm obrigações mais abrangentes.

Exemplos práticos de PMEs em Portugal

Obrigações do AI Act por nível de risco — o que cada tipo de empresa tem de fazer

Sistemas de alto risco (prazo: dezembro 2027)

Para fornecedores e operadores de sistemas de alto risco:

1. Sistema de gestão de risco — Processo contínuo para identificar, analisar e mitigar riscos ao longo do ciclo de vida do sistema.
2. Governança de dados — Práticas robustas para garantir que os dados de treino e operação são de qualidade, representativos e sem viés injustificado.
3. Documentação técnica — Registo completo de como o sistema foi desenvolvido, testado e validado — disponível para as autoridades nacionais.
4. Registo de eventos (logging) — Os sistemas de alto risco devem manter registos das operações para monitorização e investigação de incidentes.
5. Transparência para operadores — Os fornecedores devem disponibilizar instruções claras sobre as capacidades e limitações do sistema.
6. Supervisão humana — Os sistemas de alto risco devem ser concebidos para que um ser humano possa intervir, interromper ou corrigir as decisões.
7. Avaliação de conformidade — Antes de entrar em funcionamento, avaliação formal de conformidade — em alguns casos por entidade independente certificada.
8. Registo na base de dados europeia — Os sistemas de alto risco devem ser registados na EU AI Database antes de serem colocados em serviço.

Sistemas de risco limitado (prazo: agosto 2026)

Obrigação principal: transparência

• Informar os utilizadores quando interagem com um sistema de IA
• Marcar conteúdo sintético (imagens, vídeos, áudio gerados por IA) a partir de agosto 2026

IA de uso geral / GPAI (desde agosto 2025)

Para empresas que desenvolvem ou distribuem modelos de linguagem (APIs de IA generativa):

• Documentação técnica
• Política de utilização aceitável
• Resumo dos dados de treino utilizados
• Conformidade com direitos de autor

Proibições absolutas do AI Act — o que ficou proibido desde fevereiro de 2025

As oito proibições absolutas já estão em vigor. Para as PMEs, as mais relevantes são:

Reconhecimento emocional no trabalho e na escola

Qualquer ferramenta de RH que avalie o “estado emocional” dos trabalhadores — para decisões de contratação, promoção ou avaliação de desempenho — está proibida. A exceção é apenas para fins médicos ou de segurança devidamente justificados.

Scoring social

Um sistema que classifique clientes ou trabalhadores com base no seu comportamento geral — não apenas no comportamento relevante para um serviço específico — está proibido. Por exemplo: recusar crédito com base em onde a pessoa vive ou com quem se associa nas redes sociais.

Identificação biométrica em tempo real

Câmaras com reconhecimento facial em espaços públicos para identificação de pessoas em tempo real estão proibidas — com exceções muito específicas para forças de segurança em situações de ameaça iminente.

Manipulação subliminar

Sistemas que usem personalização extrema para criar dependência, explorar inseguranças ou manipular decisões de compra de forma que a pessoa não perceba podem enquadrar-se nesta proibição.

Novas proibições adicionadas em março 2026

Com a revisão do Conselho Europeu, foram explicitamente adicionadas duas novas proibições:

• Conteúdo sexual não-consensual gerado por IA de pessoas reais
• Material de abuso sexual de menores criado por IA (CSAM)

Sandboxes regulatórias do AI Act — oportunidade para PMEs inovadoras

Uma das medidas mais favoráveis às PMEs e startups é a criação de sandboxes regulatórias — ambientes controlados de teste onde as empresas podem desenvolver e validar sistemas de IA inovadores com supervisão das autoridades, antes de os colocar no mercado.

Espaços onde as regras normais se aplicam de forma diferente: a empresa pode testar um produto de alto risco num ambiente real, com supervisão regulatória, sem risco de coima durante o período de teste.

Benefícios para PMEs:

• Redução de risco: testar antes de investir em conformidade plena
• Acesso a orientação directa das autoridades nacionais de supervisão
• Reputação: sinal de seriedade e responsabilidade no mercado
• Tempo para iterar o produto antes do lançamento comercial

As sandboxes devem ser estabelecidas pelos Estados-Membros. Em Portugal, a CNPD (Comissão Nacional de Proteção de Dados) tem um papel previsto na supervisão de IA, enquanto o IAPMEI apoia as PMEs no processo de adaptação regulatória. Os prazos para implementação das sandboxes foram alinhados com as obrigações de alto risco: dezembro de 2027.

Multas do AI Act — os valores que as PMEs portuguesas precisam de conhecer

O AI Act estabelece um regime de coimas escalonado conforme a gravidade da infração:

Aplica-se o valor mais elevado entre o fixo e a percentagem.

Regra especial para PMEs: o regulamento prevê que as autoridades nacionais devem ter em conta a dimensão da empresa ao calcular as coimas. Para PMEs, existe orientação explícita para aplicar percentagens em vez de valores fixos quando estes sejam desproporcionados.

Impacto do AI Act nas PMEs portuguesas — o que muda na prática

Apenas 8,6% das PMEs portuguesas usam IA atualmente (INE 2024) — muito abaixo da média europeia e das grandes empresas nacionais (35%). Esta baixa taxa de adoção é paradoxalmente uma vantagem: quem ainda não implementou IA pode agora escolher ferramentas que já nascem conformes com o AI Act, em vez de ter de migrar sistemas legados.

Para as empresas que já utilizam IA em processos administrativos, automação de marketing ou chatbots de apoio ao cliente, as obrigações adicionais são mínimas — o impacto prático é quase zero. Para quem usa IA em recrutamento, avaliação de crédito ou gestão de leads e dados pessoais, é necessário preparar-se para dezembro de 2027.

Portugal 2030 disponibiliza 3,9 mil milhões EUR para digitalização, com o SICE Qualificação PME a financiar IA a fundo perdido (até 50%). Os InovIA vouchers dão acesso gratuito a supercomputação para PMEs. A adoção responsabilizada de IA pode gerar 61 mil milhões EUR no VAB nacional até 2030 (AWS/Strand Partners) — mas isso exige que as empresas entrem no mercado com as ferramentas certas, desde o início.

A janela até dezembro de 2027 é uma oportunidade. As empresas que usarem este tempo para construir práticas responsáveis de IA vão sair mais fortes — com processos mais robustos, melhor gestão de risco e uma vantagem competitiva baseada na confiança dos clientes.

Checklist de preparação para PMEs — passos concretos para cumprir o EU AI Act

Fase 1 — Agora (2026)

• Inventariar todos os sistemas de IA em uso na empresa (softwares de RH, CRM, análise financeira, chatbots, ferramentas de conteúdo)
• Classificar cada sistema nos quatro níveis de risco
• Verificar se algum sistema usa práticas proibidas (reconhecimento emocional, scoring social, biometria)
• Confirmar que os chatbots estão identificados como IA para os utilizadores
• Contactar os fornecedores de software para perceber como estão a preparar a conformidade

Fase 2 — 2026-2027

• Documentar os processos onde IA de alto risco é utilizada
• Implementar supervisão humana nos processos de decisão automática
• Formação da equipa sobre o AI Act e implicações práticas
• Acompanhar as guidelines da Comissão Europeia (esperadas ao longo de 2026)
• Rever contratos com fornecedores de IA para clarificar responsabilidades de conformidade

Fase 3 — Antes de dezembro 2027

• Avaliação de conformidade completa para sistemas de alto risco
• Documentação técnica preparada e disponível para autoridades
• Registar sistemas de alto risco na base de dados europeia
• Designar um responsável interno pela conformidade com IA

Recursos oficiais para acompanhar o AI Act em Portugal

Nível europeu:

• EUR-Lex — texto oficial Regulamento (UE) 2024/1689
• Comissão Europeia — Política de IA
• EU AI Office — orientações técnicas
• AI Act Explorer — análise por artigo

Nível nacional:

• CNPD — Comissão Nacional de Proteção de Dados
• IAPMEI — Regulamento IA da UE
• Portugal Digital

Leitura relacionada: Prazos do AI Act adiados pelo Conselho Europeu em março 2026