OpenAI publica Frontier Governance Framework e fixa em US$ 1 bilhão o limiar de risco sistêmico

A OpenAI publicou nesta quinta-feira o Frontier Governance Framework, documento formal que mapeia seus controles de segurança e avaliação de risco para dois requisitos legais específicos: o Código de Prática para IA de Uso Geral (GPAI) da UE, derivado do EU AI Act, e a Transparency in Frontier AI Act (TFAIA) da Califórnia. O documento define risco sistêmico como qualquer cenário em que um modelo contribua para mais de 50 mortes ou US$ 1 bilhão em danos materiais a partir de um único incidente, estabelecendo a primeira escala pública de limiares de risco para os modelos de fronteira da empresa.

Quatro domínios de risco, com limiares operacionais

O framework organiza as ameaças potenciais dos modelos da OpenAI em quatro domínios: ofensiva cibernética, riscos CBRN (químico, biológico, radiológico e nuclear), manipulação nociva e perda de controle. Em cada domínio há três níveis de risco (tiers), com definições funcionais. No domínio CBRN, um modelo de Nível 3 é aquele capaz de habilitar um especialista a desenvolver um vetor de ameaça biológica comparável a um agente da Classe A do CDC americano, ou de completar autonomamente o ciclo de síntese de uma ameaça biológica regulada. A linha entre os tiers define o que um modelo demonstra em avaliações controladas, não o que poderia fazer hipoteticamente.

Por que agora, e o que cada framework exige

O timing tem razão regulatória direta. O Código de Prática GPAI da UE, derivado do EU AI Act, exige que desenvolvedores de modelos treinados com compute acima de 10^25 FLOPs publiquem documentação de risco sistêmico e se submetam a auditorias de terceiros. Os modelos GPT-4, GPT-4o e GPT-5 da OpenAI cruzam esse limiar computacional. A TFAIA da Califórnia, em vigor desde 1 de janeiro de 2026, cobre desenvolvedores de modelos treinados com mais de 10^26 FLOPs e empresas do setor com receita anual superior a US$ 500 milhões; a OpenAI se enquadra em ambas as condições.

A OpenAI alinha seus controles de infraestrutura com as normas ISO 27001, 27017, 27018 e 27701, além de avaliações SOC 2 Tipo II. O framework documenta um Plano de Resposta a Incidentes de Segurança de IA (AIRP), com procedimentos de triagem, investigação e notificação externa para incidentes graves, e um processo de acesso independente para avaliadores externos antes do lançamento de modelos que se aproximem de um novo tier de risco.

O que muda para o CIO ou CISO que implanta modelos da OpenAI

Para organizações que operam GPT-4o ou GPT-5 em automação de processos ou atendimento a clientes, o framework cria três obrigações práticas indiretas. Os contratos de nível de serviço e as análises de risco internos precisam referenciar o AIRP da OpenAI como parte da cadeia de resposta a incidentes. As auditorias de fornecedores de IA exigidas pelo NIS2 na Europa precisam verificar conformidade com os limiares documentados. Qualquer incidente em que um modelo contribua para um dano acima dos limiares definidos ativa obrigações de notificação às autoridades regulatórias nacionais.

Três jurisdições, três leituras

Na União Europeia, o prazo de conformidade plena com o EU AI Act está previsto para agosto de 2026. Para empresas como SAP, Deutsche Telekom e Siemens, que integram APIs da OpenAI em produtos industriais e de gestão, o Frontier Governance Framework torna-se documento de referência obrigatório em suas próprias avaliações de conformidade com o EU AI Act. A Comissão Europeia exige que desenvolvedores de IA de fronteira apresentem esse tipo de documentação ao AI Office até a data-limite de agosto.

Nos Estados Unidos, a TFAIA da Califórnia exige que a OpenAI conduza avaliações de risco antes do lançamento de modelos de fronteira e notifique o Departamento de Tecnologia do Estado em caso de incidente grave. O framework documenta os mecanismos pelos quais essa obrigação é cumprida, o que reduz o risco regulatório da empresa em um estado onde a maioria dos grandes laboratórios de IA tem sede.

No Brasil, onde o PL 2338/2023 (projeto de lei de IA) tramita no Senado com influência direta do modelo europeu de avaliação de risco sistêmico, organizações do setor financeiro e de saúde que já operam modelos GPT em produção precisam verificar se as obrigações descritas no framework da OpenAI correspondem ao que a lei brasileira deverá exigir. O Banco Central e a ANPD têm observado o EU AI Act como referência ativa para orientações setoriais sobre governança de IA.

Google, Anthropic e Meta ainda não publicaram equivalentes formais vinculados ao Código de Prática GPAI. Se o fizerem, o limiar de US$ 1 bilhão que a OpenAI fixou como definição de risco sistêmico pode se tornar a referência de facto do setor, com implicações diretas sobre como reguladores europeus e californiano calibrarão suas próprias escalas de responsabilidade.