O PRESIDENTE DO CONSELHO DE ATIVIDADES FINANCEIRAS - COAF, no uso das atribuições que lhe conferem os incisos IX, X e XII do art. 20 do Regimento Interno do Coaf, divulgado pela Resolução nº 427, de 16 de outubro de 2024, do Banco Central do Brasil - BCB, tendo em vista o disposto na Resolução Coaf nº 38, de 20 de abril de 2021, bem como na Portaria Coaf nº 9, de 12 de julho de 2021, na Portaria Coaf nº 11, de 12 de julho de 2021, na Portaria Coaf nº 13, de 14 de dezembro de 2022, e na Portaria Coaf nº 24, de 18 de julho de 2023, e conforme o aprovado pelo Comitê de Gestão e Governança - CGG do Coaf em sua reunião ordinária realizada em 3 de fevereiro de 2025,

Resolve:

Art. 1º Ficam definidas na forma do Anexo a esta Portaria diretrizes a serem observadas no uso de inteligência artificial generativa (IAG) no âmbito do Conselho de Controle de Atividades Financeiras - Coaf.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

RICARDO LIÁO

ANEXO

DIRETRIZES A SEREM OBSERVADAS NO USO DE INTELIGÊNCIA ARTIFICIAL GENERATIVA (IAG) NO ÂMBITO DO COAF

Definições

Art. 1º Para os fins do disposto no presente anexo são considerados, no que couber, os seguintes conceitos e definições:

I - Inteligência artificial generativa (IAG): tecnologia que gera conteúdo, seja texto, áudio, imagens ou vídeo, partindo de comandos ou perguntas realizadas pelo usuário, podendo ser a funcionalidade principal de um aplicativo ou ser incorporada a outros aplicativos.

II - Large Language Model (LLM): modelo de inteligência artificial treinado com grandes quantidades de dados textuais para compreender e gerar linguagem natural, que se utiliza de arquiteturas de rede neural para realizar diversas tarefas linguísticas, incluindo tradução, resumo de textos e geração de respostas contextualmente relevantes.

III - Plataformas externas de IAG: soluções de IAG de terceiros que não mantêm confidencialidade necessária a dados e informações do Coaf, nem cumprem requisitos definidos nestas diretrizes e em atos normativos relacionados.

IV - Plataformas corporativas de IAG: soluções de IAG aprovadas pelo Comitê de Gestão e Governança (CGG) do Coaf, desenvolvidas internamente ou contratadas de terceiros, que mantêm a confidencialidade de dados e informações do Coaf e cumprem requisitos definidos nestas diretrizes e em atos normativos relacionados.

V - Ativos de informação: meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização.

Diretrizes

Art. 2º É vedado o tratamento de dados e informações sujeitos a regimes jurídicos próprios de sigilo, a exemplo dos relacionados à produção de inteligência financeira, fiscalização de pessoas obrigadas e proteção de dados pessoais sensíveis em plataformas externas de IAG, inclusive a plataforma Microsoft Copilot (Windows, 365 e Bing), tal como atualmente contemplada em instrumentos contratuais vigentes.

Art. 3º Plataformas corporativas de IAG devem ser avaliadas pela Coordenação Geral de Tecnologia da Informação (Cotin) e aprovadas pelo CGG.

Art. 4º O uso de soluções de IAG em relação a qualquer ativo de informação do Coaf poderá ser monitorado pela Cotin, visando a sua compatibilidade com o cumprimento destas diretrizes.

Art. 5º O desenvolvimento e a implementação de plataformas corporativas de IAG no âmbito do Coaf, inclusive protótipos para avaliação de funcionalidades ainda não disponíveis em plataformas já aprovadas pelo CGG, devem ser supervisionados pela Cotin.

Art. 6º É responsabilidade do integrante do Quadro Técnico do Coaf observar o regramento de sigilo de dados e informações que pretenda tratar em soluções de IAG.

Art. 7º O integrante do Quadro Técnico que utilize solução de IAG é responsável pela revisão do resultado obtido, devendo adotar os cuidados necessários para garantir que o conteúdo criado seja apropriado e não discriminatório, incorreto ou prejudicial aos ativos de informação do Coaf ou à sociedade.

Art. 8º Eventuais falhas decorrentes de uso inadequado de IAG não afastam a responsabilidade do integrante do Quadro Técnico usuário da solução.

Art. 9º É vedado o uso de endereços de e-mail e outras credenciais de uso corporativo do Coaf, como números de telefone, para criar conta em plataformas externas de IAG.

Art. 10º Todo uso de solução de IAG durante a realização de atividades no âmbito do Coaf deve ser revisto e avaliado em função destas diretrizes, dos riscos relacionados e da evolução das boas práticas no uso desse tipo de solução.

Art. 11º Além dos requisitos estabelecidos nestas diretrizes, mantêm-se aplicáveis no uso de soluções de IAG no âmbito do Coaf todas as disposições normativas que regem o exercício de suas atribuições institucionais, devendo ser observado, no que couber, notadamente o estabelecido nos seguintes atos normativos:

I - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;

II - Portaria Coaf nº 9, de 12 de julho de 2021, que dispõe sobre a Política de Segurança da Informação e Comunicação (Posic) do Coaf;

III - Portaria Coaf nº 11, de 12 de julho de 2021, que dispõe sobre a Política de Gestão de Riscos (Prisc) do Coaf;

IV - Portaria Coaf nº 13, de 14 de dezembro de 2022, que dispõe sobre a Política de Governança da Informação do Coaf; e

V - Portaria Coaf nº 24, de 18 de julho de 2023, que estabelece procedimentos e responsabilidades a serem observados na execução da Posic.

Art. 12º Os usuários que não observarem o disposto nestas diretrizes sujeitam-se às medidas disciplinares cabíveis.

Art. 13º O uso de IAG em desconformidade com estas diretrizes deverá ser reportado à Cotin.