Illinois aprova SB 315 e impõe auditoria anual independente a Anthropic, OpenAI e Google DeepMind

A Câmara dos Deputados de Illinois aprovou em 27 de maio por 110 a 0 o SB 315, a Artificial Intelligence Safety Measures Act, e enviou o texto à mesa do governador J.B. Pritzker, que declarou publicamente que vai sancioná-lo. O Senado havia aprovado a lei em 21 de maio. Illinois se torna o terceiro estado dos Estados Unidos a regular desenvolvedores de modelos de fronteira, atrás de Nova York, que aprovou a RAISE Act, e da Califórnia, que aprovou a Transparency in Frontier AI Act (SB 53).

O coração da lei: auditoria independente anual

O SB 315 obriga "covered developers" a contratar auditores terceiros independentes anualmente para avaliar protocolos internos de segurança. A definição inclui empresas que treinam modelos acima de limites de compute fixados na lei, faixa que captura hoje OpenAI, Anthropic, Google DeepMind, xAI, Meta AI e Mistral. O auditor terá acesso a documentação de processos, resultados de testes adversariais e métricas de capacidade, conforme nota da Transparency Coalition.

A lei estabelece quatro obrigações operacionais concretas. A primeira é divulgar relatórios de auditoria com nível de detalhe definido pelo Departamento de Inovação e Tecnologia de Illinois. A segunda é reportar incidentes críticos de segurança em janela curta, prevista em regulamento complementar. A terceira é submeter resumos periódicos de risco de uso interno, formato semelhante aos Responsible Scaling Policy reports voluntários da Anthropic. A quarta é manter registros para inspeção. As penalidades civis são monetárias e escalonam com receita anual da empresa.

O mosaico americano e a comparação com Bruxelas

A combinação de RAISE Act em Nova York, SB 53 na Califórnia e agora SB 315 em Illinois cobre três das cinco maiores economias estaduais e a maior parte do parque computacional declarado pelos seis labs alvo. Para CISOs de bancos americanos, a próxima rodada de avaliações de fornecedor de modelo terá que comparar relatórios independentes entre as três jurisdições. A diferença mais visível é o gatilho: Califórnia foca em compute treinado, Nova York foca em incidentes reportáveis, Illinois exige cadência fixa anual com auditor independente.

A leitura europeia muda de tom. A União Europeia adiou em maio para 2 de dezembro de 2027 a entrada em vigor dos requisitos para Annex III high-risk AI sob o Digital Omnibus, e a obrigação de criar pelo menos um sandbox nacional foi empurrada para 2 de agosto de 2027. O resultado prático é que, durante 12 a 18 meses, a régua americana estadual vai estar mais próxima de um regime de auditoria contínua do que a régua federal europeia. Empresas francesas e alemãs que vinham apostando em compliance "EU first" agora precisam montar dossiê americano antes do europeu. Para Brando Benifei, eurodeputado relator do AI Act, em entrevista ao Politico, "o atraso europeu cria espaço para que terceiros definam de fato o padrão global de auditoria de modelos".

O que muda para consultorias, bancos e gigantes de software

Big Four, MBB, Accenture e Capgemini já tinham equipes de "responsible AI" em ramp-up para o regime europeu. O SB 315 abre uma frente de receita imediata: auditoria de protocolos de segurança em frontier labs cobertos. KPMG, Deloitte e PwC, com licenças de auditoria nos Estados Unidos, estão posicionadas para disputar mandato, mas o texto da lei exige independência funcional do auditor frente a contratos de tecnologia. PwC, que mantém parceria comercial com OpenAI no enterprise, e Deloitte, com parceria de revenda Anthropic, terão de estruturar firewalls internos antes de disputar contrato de auditor independente.

Para bancos brasileiros e europeus que rodam OpenAI ou Anthropic em produção, o relatório anual público vira insumo direto de avaliação de risco de fornecedor. Itaú, Bradesco, BTG Pactual e Nubank no Brasil, Deutsche Bank, BBVA, ING, Santander e UBS na Europa, Mizuho e MUFG no Japão, todos rodam pipelines críticos sobre modelos de fronteira via AWS Bedrock ou Azure OpenAI. O comitê de risco operacional vai precisar incorporar a nova fonte ao ciclo de revisão trimestral.

O cronograma que define a leitura de risco

O Departamento de Inovação e Tecnologia de Illinois precisa publicar regulamento complementar em janela definida pelo texto da lei, e a primeira janela de auditoria abre 12 meses depois da sanção. Para frontier labs que ainda discutem internamente quais documentos podem virar públicos sem expor risco competitivo, o relógio começou a contar em 27 de maio. Para clientes corporativos que assinaram MSA com cláusula de "best industry practice" em segurança de IA, a definição do que é "industry practice" passa a ser auditada pela primeira vez por terceiro independente, com publicação compulsória.

A próxima leitura virá da Casa Branca. A administração federal tem dito a labs que prefere padrão único nacional, mas não enviou ao Congresso projeto de lei correspondente. Cada estado que aprovar lei própria reduz a margem política para harmonização federal, e Illinois consolida o cenário em que o regime estadual virou o de facto.