PORTARIA RFB Nº 647, DE 5 DE FEVEREIRO DE 2026

(DOU de 12/02/2026)

Dispõe sobre a política de Inteligência Artificial no âmbito da Secretaria Especial da Receita Federal do Brasil (RFB), estabelecendo garantias à sociedade do uso responsável de soluções de Inteligência Artificial.

O SECRETÁRIO DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o art. 350, caput, inciso III, do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela Portaria ME nº 284, de 27 de julho de 2020, e tendo em vista o disposto na Resolução CTSI/RFB nº 2 de 14 de junho de 2024, resolve:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Política de Inteligência Artificial estabelece diretrizes, princípios, limites e salvaguardas para o uso, o desenvolvimento, a contratação, a implantação, o monitoramento e a desativação de soluções de Inteligência Artificial (IA) no âmbito da Secretaria Especial da Receita Federal do Brasil (RFB), visando à melhoria do desempenho operacional e ao uso responsável da IA, assegurando à sociedade a competência decisória exclusiva do agente público.

§ 1º A Política a que se refere o caput disciplina o uso, o desenvolvimento, a contratação, a implantação, o monitoramento e a desativação de soluções de Inteligência Artificial - IA, e deve ser observada por todos os usuários de ambientes informatizados.

§ 2º Os usuários mencionados no caput abrangem o agente político, o servidor público, o empregado público, o prestador de serviços, o terceiro colaborador ou todo aquele que exerce, ainda que transitoriamente ou sem remuneração, mandato, cargo, emprego, função ou atividade na Secretaria Especial da Receita Federal do Brasil.

Art. 2º Para fins do disposto nesta Portaria, consideram-se:

I - ambiente informatizado da Secretaria Especial da Receita Federal do Brasil: conjunto de ativos e recursos de tecnologia da informação e comunicação que compõem o ecossistema digital do órgão, compreendendo infraestruturas, redes, hardwares, softwares, bancos de dados e serviços de processamento e armazenamento, independentemente de sua localização física, natureza da hospedagem ou modalidade de acesso;

II - área de negócio: unidade administrativa da Secretaria Especial da Receita Federal do Brasil competente para dispor sobre determinado assunto ou processo de trabalho;

III - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

IV - dado sigiloso: dado submetido temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado e aquele abrangido pelas demais hipóteses de sigilo estabelecidas pela legislação;

V - inteligência artificial - IA: sistema baseado em máquina que, para objetivos explícitos ou implícitos, permite, a partir das informações recebidas e mediante inferências, a geração de saídas, tais como previsões, conteúdos, recomendações ou decisões, que podem influenciar ambientes físicos ou virtuais, com variados níveis de autonomia e adaptabilidade;

VI - IA generativa: categoria específica de IA capaz de produzir conteúdo novo e original, incluindo textos, imagens, sons ou códigos, a partir de padrões aprendidos;

VII - caso de uso de IA: problema, demanda ou oportunidade mapeada pela área de negócio da Secretaria Especial da Receita Federal do Brasil que potencialmente pode ser atendida, total ou parcialmente, por solução de IA, compreendendo finalidade, escopo, requisitos, riscos e resultados esperados;

VIII - solução de IA: sistema que implementa técnicas de IA para viabilizar um ou mais casos de uso, sejam próprios ou de terceiros;

IX - solução de IA em estágio experimental: solução de IA de caráter temporário, que tem por objetivo produzir protótipos ou provas de conceito para testes e apurações de viabilidade e eficácia, sendo vedado seu uso como piloto ou em ambiente produtivo;

X - nível de acurácia da IA: grau de exatidão com que a solução de IA produz resultados corretos em relação ao objetivo para o qual foi desenvolvida, aferido por indicadores quantitativos definidos no processo de avaliação e monitoramento do modelo;

XI - modelo de IA: estrutura computacional composta por algoritmos e parâmetros treinados a partir de grandes volumes de dados, capaz de identificar padrões, inferir relações ou gerar resultados para apoiar ou automatizar análises, decisões ou interações;

XII - explicabilidade: no contexto da IA, refere-se à capacidade de um sistema ou modelo de IA de apresentar, de forma compreensível ao ser humano, as razões, os fatores ou o processo que levaram ao resultado ou à decisão produzida;

XIII - soberania do modelo de IA: grau de controle institucional da Secretaria Especial da Receita Federal do Brasil sobre o armazenamento, a execução e a evolução de um modelo de IA, visando evitar dependências indevidas e preservar a segurança e a autonomia da Instituição;

XIV - alucinação: situação em que um modelo de IA gera informações inexatas, irrelevantes ou totalmente fabricadas, mesmo que pareçam confiáveis e coerentes;

XV - viés: valoração ou desvalorização indevida de informações em favor ou em detrimento de pessoas, coisas ou ideias;

XVI - alfabetização em IA (AI literacy): desenvolvimento de conhecimentos, habilidades e competências críticas relativas à IA, que permite ao usuário:

a) compreender o funcionamento, as limitações e a natureza probabilística das soluções;

b) exercer supervisão humana informada e interpretar criticamente os resultados das soluções; e

c) reconhecer, mitigar e reportar riscos técnicos, éticos e sociotécnicos associados ao seu uso; e

XVII - curador de solução de IA generativa: servidor da área de negócio, formalmente designado para:

a) acompanhar o funcionamento da solução de IA generativa;

b) zelar pela qualidade e acurácia dos resultados obtidos no uso da solução de IA generativa; e

c) identificar, comunicar e mitigar riscos, desvios de finalidade ou comportamentos inadequados.

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

Art. 3º As soluções de IA desenvolvidas deverão promover:

I - a melhoria do desempenho operacional;

II - a qualificação dos serviços prestados ao cidadão; e

III - a inovação responsável, em alinhamento aos objetivos estratégicos institucionais.

Art. 4º No uso de tecnologia de IA, deverão ser observados, cumulativamente, os seguintes princípios:

I - preservação da autonomia e da supervisão humana, de forma a assegurar que a IA apoie, e não substitua, a decisão humana;

II - adoção de abordagem centrada no ser humano, para assegurar que o uso da IA:

a) contribua para a produtividade e o bem-estar de servidores e cidadãos; e

b) não se destine à manipulação, coação ou influência indevida para promover comportamentos ou decisões específicos;

III - garantia de direitos humanos, dignidade e equidade, mediante prevenção contínua de vieses e discriminações, de forma a garantir decisões justas e imparciais;

IV - privacidade e proteção de dados, com respeito ao sigilo legal e à proteção de dados pessoais;

V - transparência, com informação clara aos usuários quando houver uso de IA e assegurar explicabilidade e auditabilidade proporcionais ao risco, priorizando soluções que viabilizem tais atributos;

VI - segurança, resiliência e não maleficência, com adoção de salvaguardas que assegurem operação segura e resiliente, prevenindo falhas, vulnerabilidades e impactos adversos aos cidadãos, aos dados protegidos e às atividades institucionais;

VII - inovação responsável e eficiência institucional, com estímulo à aplicação da IA para ganhos de eficiência e melhoria da qualidade do serviço ao cidadão, observadas as salvaguardas de segurança e ética;

VIII - responsabilização e prestação de contas, com definição clara de papéis e responsabilidades ao longo do ciclo de vida das soluções de IA;

IX - promoção de capacitação contínua sobre o uso responsável da IA, com atenção às suas capacidades, limitações, riscos e à mitigação de vieses; e

X - melhoria contínua e o compromisso permanente com a evolução das práticas de uso, desenvolvimento e governança de IA, de forma a assegurar a atualização das soluções de IA frente ao ritmo acelerado das mudanças tecnológicas na área.

Art. 5º As soluções de IA utilizadas no âmbito da Secretaria Especial da Receita Federal do Brasil não substituem, não condicionam e nem vinculam o exercício das competências legais atribuídas aos agentes públicos nos termos da legislação vigente.

Parágrafo único. A decisão final e a prática de ato administrativo decorrente do uso de solução de IA competem exclusivamente ao agente público responsável, que deverá exercer juízo crítico e independente sobre os resultados de análises, recomendações, classificações ou resultados automatizados gerados pela solução, sendo responsável pela respectiva decisão.

Art. 6º É vedado o desenvolvimento ou utilização de sistemas de IA cujo uso seja incompatível com direitos fundamentais, valores democráticos ou garantias constitucionais, por envolver práticas que causam prejuízos graves ou irreversíveis às pessoas ou à sociedade, incluindo, entre outros, sistemas voltados à manipulação subliminar de comportamento, à pontuação social ou à vigilância massiva e indiscriminada.

CAPÍTULO III

DA GOVERNANÇA DE IA

Art. 7º A governança de IA na Secretaria Especial da Receita Federal do Brasil observará a seguinte matriz de direitos de decisão:

I - decisões de negócio: a área de negócio é a unidade responsável por decisões relativas ao valor público, à viabilidade para o negócio e à aceitação dos riscos operacionais associados aos casos de uso de IA;

II - decisões tecnológicas: a Coordenação-Geral de Tecnologia e Segurança da Informação - Cotec é a unidade responsável por decisões relativas à arquitetura, à viabilidade técnica, à segurança da informação, à integridade dos modelos e à infraestrutura tecnológica das soluções de IA; e

III - decisões éticas e estratégicas: o Comitê de Tecnologia e Segurança da Informação - CTSI é o responsável por decisões relacionadas à aderência dos casos de uso de IA à estratégia institucional, à avaliação dos riscos éticos relevantes, bem como à deliberação, em nível institucional, sobre dilemas éticos, vieses e conformidade com os princípios de direitos humanos.

Art. 8º Compete ao CTSI, no que se refere à governança de IA:

I - aprovar e priorizar os casos de uso de IA, em alinhamento aos objetivos estratégicos institucionais e aos níveis de risco aceitáveis;

II - analisar e deliberar sobre soluções de IA que apresentem risco moderado, bem como sobre os tratamentos de soluções de IA que apresentem risco alto ou extremo, nos termos da Declaração de Apetite de Riscos da Secretaria Especial da Receita Federal do Brasil;

III - acompanhar o desempenho, a segurança, a explicabilidade das soluções de IA e sua aderência ao interesse público;

IV - determinar medidas corretivas, mitigatórias ou preventivas diante de riscos ou incidentes relacionados ao uso de IA;

V - deliberar sobre a necessidade de revisão, suspensão ou descontinuação de soluções de IA que apresentem riscos altos ou extremos, obsolescência, não conformidade ou impacto indevido; e

VI - propor atualizações e aprimoramentos da Política de que trata esta Portaria.

§ 1º O disposto no inciso I do caput não se aplica às soluções de IA em estágio experimental, as quais poderão ser desenvolvidas sem a aprovação do CTSI, com o objetivo de estimular a inovação institucional.

§ 2º O CTSI poderá, mediante deliberação, estabelecer tipologias de casos de uso de IA que, em razão do seu nível de risco, da similaridade com soluções já aprovadas ou de critérios técnicos previamente definidos, sejam consideradas automaticamente aprovadas, dispensando análise individual.

Art. 9º Compete à Cotec a governança tecnológica de IA, com atuação na definição, coordenação e acompanhamento dos aspectos técnicos, operacionais e de segurança, incluindo, sem prejuízo de outras competências regimentais, as seguintes atribuições:

I - gerir o catálogo institucional de soluções de IA, contendo informações sobre finalidade, responsáveis, riscos, modelos, curadores, nível de acurácia e tipos de dados permitidos;

II - propor padrões técnicos, requisitos de segurança, diretrizes de interoperabilidade e normas complementares aplicáveis ao ciclo de vida das soluções de IA;

III - realizar a análise técnica dos casos de uso de IA;

IV - gerir ambientes, plataformas e infraestrutura necessários ao desenvolvimento, teste, implantação e execução segura das soluções de IA;

V - definir critérios técnicos para classificação e avaliação de risco das soluções de IA;

VI - divulgar e manter canal institucional para recebimento de comunicações sobre incidentes, desvios de finalidade, alucinações, vieses ou resultados inadequados;

VII - apoiar as áreas de negócio na definição e acompanhamento das atividades dos curadores de IA;

VIII - estabelecer fluxos de comunicação transparentes e constantes entre áreas técnicas, áreas de negócio e usuários durante todas as fases do ciclo de vida da IA, mediante utilização de linguagem clara para alinhar expectativas sobre benefícios e riscos; e

IX - prover apoio técnico ao CTSI, em especial:

a) propor critérios, métodos e parâmetros técnicos para a aprovação e priorização dos casos de uso de IA;

b) apoiar a elaboração de análises de risco, pareceres técnicos e estudos necessários ao processo deliberativo do CTSI; e

c) prover assessoria técnica para a avaliação e o monitoramento das soluções de IA quanto à conformidade com a Política de que trata esta Portaria.

Art. 10. Os casos de uso de IA deverão ser previamente submetidos à Cotec, que realizará a análise técnica e consolidará os subsídios necessários para a deliberação do CTSI.

Parágrafo único. Compete à área de negócio a análise de impacto e dos riscos de negócio.

Art. 11. As soluções de IA generativa no âmbito da Secretaria Especial da Receita Federal do Brasil deverão contar com controles adicionais proporcionais ao risco, de responsabilidade da área de negócio, incluindo a designação de curador, a definição do nível de acurácia aceitável e o monitoramento contínuo dos resultados produzidos.

Art. 12. Compete ao curador de solução de IA generativa:

I - monitorar, de forma contínua, as respostas e os resultados produzidos pela solução, avaliando sua qualidade, precisão e aderência ao caso de uso;

II - assegurar o atendimento ao nível de acurácia aceitável definido para o caso de uso, comunicando tempestivamente quaisquer desvios;

III - verificar a existência de alucinações, vieses, comportamentos anômalos ou desvios de finalidade, adotando as medidas corretivas cabíveis;

IV - realizar supervisão contínua da qualidade dos dados utilizados e processados pela solução de IA, bem como possíveis alterações no grau de sigilo dos dados, avaliando riscos e reportando aos responsáveis;

V - acompanhar a evolução dos modelos e suas atualizações, avaliando impactos no desempenho, segurança e confiabilidade da solução;

VI - registrar evidências relevantes sobre o comportamento da solução, para fins de rastreabilidade, auditoria e melhoria contínua;

VII - atuar em coordenação com a área de negócio e com a Cotec para o aprimoramento da solução e para a implementação de ajustes, reavaliações ou restrições de uso; e

VIII - comunicar imediatamente à Cotec e à área de negócio qualquer desempenho, comportamento ou resultado inesperado, inadequado ou que represente risco à Instituição, aos dados protegidos ou ao cidadão.

Parágrafo único. Para o cumprimento de suas atribuições, o curador de solução de IA generativa deverá dispor de acesso aos registros, logs e demais informações técnicas relevantes sobre o funcionamento da solução, inclusive, quando disponíveis e observadas as restrições legais, técnicas e contratuais, os prompts, as saídas geradas e os metadados associados, exclusivamente para fins de supervisão, rastreabilidade, auditoria e melhoria contínua.

CAPÍTULO IV

DO DESENVOLVIMENTO E TREINAMENTO DE MODELOS DE IA

Art. 13. No desenvolvimento de soluções de IA e no treinamento de modelos de IA no âmbito da Secretaria Especial da Receita Federal do Brasil, deverão ser observados:

I - a utilização de amostras de dados representativas, de modo a evitar vieses e assegurar equidade nas conclusões;

II - o emprego de dados pessoais e de dados sigilosos em conformidade com os normativos vigentes;

III - a confiabilidade dos dados de treinamento, com mecanismos de rastreabilidade e versionamento dos conjuntos de dados utilizados, associados às versões dos modelos, sempre que tecnicamente possível;

IV - a adoção de práticas de desenvolvimento responsáveis, incorporando, desde a concepção, princípios de privacidade, segurança, direitos humanos e ética com mecanismos de monitoramento contínuo da conformidade ao longo de todo o ciclo de vida;

V - a priorização de modelos de IA que viabilizem explicabilidade e auditabilidade proporcionais ao risco e ao impacto do caso de uso;

VI - a preferência, quando compatível com os requisitos de segurança, por soluções e modelos de código aberto que favoreçam transparência, interoperabilidade e colaboração;

VII - a aderência às regras de governança de dados;

VIII - a utilização, quando aplicável, de interfaces de programação que permitam interoperabilidade e reaproveitamento de módulos por outros sistemas;

IX - o armazenamento e a execução dos modelos de IA em ambientes compatíveis com os padrões de segurança da informação e soberania adotados pela Secretaria Especial da Receita Federal do Brasil, observados os controles mínimos necessários à proteção da integridade, disponibilidade e confidencialidade; e

X - a robustez e a resiliência, de forma a garantir o funcionamento adequado diante de falhas, incidentes ou tentativas de comprometimento da segurança.

Art. 14. Deverá ser privilegiado, sempre que possível, o maior grau de soberania e de controle institucional sobre os modelos de IA, com priorização de ambientes sob governança técnica da Secretaria Especial da Receita Federal do Brasil e avaliação técnica de riscos nos casos de uso de modelos externos ou não soberanos.

Parágrafo único. A utilização de modelos de IA em ambientes externos ou não soberanos dependerá de avaliação técnica quanto aos controles de segurança, proteção de dados, integridade do modelo e prevenção de acessos indevidos, a ser realizada pela Cotec, observadas as instâncias de governança aplicáveis quando envolver aceitação de riscos.

CAPÍTULO V

DO USO DE SOLUÇÕES DE IA

Art. 15. O uso de IA no ambiente informatizado da Secretaria Especial da Receita Federal do Brasil é restrito às soluções desenvolvidas, contratadas ou homologadas pela Instituição, em ambiente seguro e sob sua governança.

Art. 16. A inserção de dados pessoais e de dados sigilosos em soluções de IA é vedada, salvo se expressamente autorizada.

§ 1º A Cotec deverá manter repositório atualizado e acessível aos usuários do ambiente informatizado da Secretaria Especial da Receita Federal do Brasil, que contenha a relação das soluções de IA autorizadas a utilizar dados pessoais ou sigilosos, bem como as respectivas condições de uso.

§ 2º O disposto no caput não se aplica às soluções de IA em estágio experimental, desde que realizadas em estação de trabalho institucional ou em ambiente experimental institucional, observadas as medidas de segurança da informação e de proteção de dados aplicáveis.

Art. 17. Os usuários de soluções de IA são responsáveis:

I - pelas informações fornecidas às soluções de IA;

II - por revisar, validar e checar fatos e avaliar eventuais vieses dos conteúdos produzidos por IA; e

III - por justificar e responder pelo uso, em processos de trabalho ou decisões, das informações geradas por IA.

Art. 18. Os usuários de soluções de IA da Secretaria Especial da Receita Federal do Brasil deverão comunicar quaisquer ocorrências de alucinação, viés, desvio de finalidade, comportamento anômalo ou resultado incompatível com os parâmetros estabelecidos para a solução, ou que representem risco aos dados, ao cidadão ou à instituição.

Parágrafo único. A Cotec deverá divulgar, no âmbito interno da Secretaria Especial da Receita Federal do Brasil, o canal oficial destinado ao recebimento dessas comunicações.

CAPÍTULO VI

DA RASTREABILIDADE, MONITORAMENTO E AUDITORIA

Art. 19. Devem ser mantidos, no mínimo, os registros relativos a:

I - autorização para início, evolução ou contratação de soluções de IA;

II - descrição do problema a ser tratado com o uso de IA;

III - descrição dos objetivos esperados com a solução de IA;

IV - avaliação de impacto do uso de IA sobre a Instituição e a sociedade;

V - principais decisões e parâmetros técnicos das etapas de planejamento, desenvolvimento, testes, implantação e monitoração das soluções de IA;

VI - definição dos dados utilizados para treinamento e operação, com as respectivas autorizações; e

VII - incidentes significativos e as medidas de correção adotadas.

Parágrafo único. Compete à Cotec manter o ambiente institucional de registros de que trata este artigo, cabendo à área de negócio o registro, a atualização e a responsabilidade pelas informações.

Art. 20. Toda solução de IA desenvolvida, contratada ou homologada pela Secretaria Especial da Receita Federal do Brasil deverá:

I - ser monitorada de forma contínua, com avaliação periódica de desempenho, acurácia, segurança, vieses e aderência ao caso de uso, observado o nível de risco da solução; e

II - estar sujeita a auditorias técnicas e de conformidade à Política de que trata esta Portaria.

Parágrafo único. A periodicidade e os procedimentos de monitoramento, avaliação e auditoria deverão ser definidos em normas técnicas complementares a serem editadas pela Cotec.

Art. 21. A identificação de irregularidades, incidentes ou desvios relevantes de desempenho de solução de IA implicará a adoção imediata de medidas corretivas, mitigatórias ou de suspensão, a serem determinadas pela Cotec em conjunto com a área de negócio, com posterior submissão das motivações e das medidas adotadas ao CTSI, para fins de avaliação e deliberação quanto à continuidade, restrição ou retomada da solução.

CAPÍTULO VII

DA EDUCAÇÃO, TREINAMENTO E CONSCIENTIZAÇÃO

Art. 22. A Cotec deverá promover plano permanente de capacitação, orientação, conscientização e alfabetização em IA, com o objetivo de desenvolver as competências críticas para o exercício da supervisão humana e a compreensão da natureza probabilística dos resultados gerados por soluções de IA e a mitigação de riscos sociotécnicos associados ao seu uso, que inclua:

I - o funcionamento, as capacidades e as limitações das tecnologias de IA;

II - os riscos de alucinação, os vieses e as decisões automatizadas;

III - as boas práticas de uso responsável; e

IV - os princípios éticos e legais e as responsabilidades associadas ao uso de IA.

Art. 23. É vedada a oferta de capacitação sobre soluções de IA não homologadas, exceto nos casos previamente autorizados pela Cotec, destinados exclusivamente à avaliação de soluções existentes para verificar sua aderência às necessidades da Secretaria Especial da Receita Federal do Brasil e sua eventual homologação ou contratação.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 24. Os contratos de prestação de serviços e convênios celebrados pela Secretaria Especial da Receita Federal do Brasil devem contemplar, quando aplicáveis, as normas de IA instituídas por esta Portaria e demais normas relativas à IA.

Parágrafo único. Nos contratos de prestação de serviços de que trata o caput, a contratada atuará exclusivamente como fornecedora de infraestrutura ou licenciamento, sendo vedada a adoção de soluções cujos termos de uso permitam o aproveitamento de dados para treinamento, aperfeiçoamento ou calibração de modelos de IA próprios ou de terceiros.

Art. 25. A Cotec editará normas complementares, padrões técnicos e boas práticas para o uso, o desenvolvimento, a contratação, a implantação e o monitoramento de soluções de IA no âmbito da Secretaria Especial da Receita Federal do Brasil.

Art. 26. O descumprimento do disposto nesta Portaria e nas demais normas relativas à IA caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da aplicação das responsabilidades penal e civil.

Art. 27. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.

ROBINSON SAKIYAMA BARREIRINHAS