MENAC, IA e Window Dressing: o novo teste ao compliance

Inteligência Artificial para Empresas PortuguesasBy 3L3C

MENAC já usa IA para fiscalizar o RGPC. Programas de compliance de fachada deixam de passar. Veja como preparar a sua empresa para o escrutínio digital.

MENACcompliance e corrupçãointeligência artificial nas empresasRGPCwindow dressingseguradoras portuguesasgovernança corporativa
Share:

Featured image for MENAC, IA e Window Dressing: o novo teste ao compliance

A notícia é simples e dura: em novembro de 2025, o MENAC abriu 11 processos de contraordenação por falhas na prevenção da corrupção. E, pela primeira vez, assumiu publicamente que está a usar inteligência artificial para analisar em segundos aquilo que antes demorava um dia inteiro de trabalho humano.

Para as empresas portuguesas – em especial seguradoras, financeiras e setores regulados – isto muda o jogo. A prevenção da corrupção deixou de ser um tema “para cumprir calendário” e passou a ser um assunto onde algoritmos vão cruzar dados, detetar incoerências e expor programas de compliance que existem apenas no papel.

Este artigo faz parte da série “Inteligência Artificial para Empresas Portuguesas” e foca um ponto crítico: como é que a IA, aliada ao MENAC, está a mudar a fiscalização e a forma como as organizações desenham, implementam e vivem os seus programas de compliance.

1. O que está a mudar: da prevenção “soft” à fiscalização digital

O ponto central é este: a fase pedagógica acabou e começou a fase sancionatória apoiada em IA.

Desde 2021, com o Regime Geral de Prevenção da Corrupção (RGPC), a prevenção deixou de ser uma recomendação e passou a ser uma obrigação legal. Muitas entidades criaram planos à pressa: planos de prevenção de riscos genéricos, códigos de conduta reciclados, formações pontuais. Serviu para mostrar “boa vontade”, mas pouco mais.

Agora o contexto é outro:

  • O MENAC tem competência para fiscalizar cerca de 14 mil entidades obrigadas.
  • Pode aplicar coimas até 44.891,81€ a pessoas coletivas.
  • Usa ferramentas de IA para analisar rapidamente documentos submetidos na plataforma eletrónica.

Para grandes empresas, o valor da coima pode parecer limitado. Mas o impacto real está noutro lado:

  • Risco reputacional, sobretudo em setores de confiança (banca, seguros, saúde, utilities).
  • Impacto em contratação pública, onde o histórico de cumprimento e integridade começa a ser olhado com lupa.
  • Pressão de supervisores e reguladores para demonstração efetiva de cultura ética.

A fiscalização “inteligente” deixa de depender apenas da equipa humana do MENAC. A IA permite priorizar quem merece ser inspecionado, com base em sinais objetivos de risco.

2. O fenómeno do window dressing: quando o compliance é só fachada

O termo internacional é claro: window dressing é quando as empresas montam uma montra bonita sem mudar o que está na loja.

No RGPC e na prática das empresas portuguesas, isto traduz-se em situações muito concretas:

  • Planos de prevenção de riscos copiados entre entidades, mudando apenas o logótipo.
  • Matriz de riscos genérica, sem refletir a realidade do negócio (por exemplo, tratar uma seguradora como se fosse uma pequena autarquia).
  • Códigos de conduta extensos, mas que ninguém lê ou aplica.
  • Formações feitas apenas para cumprir, com listas de presenças “arranjadas”.
  • Canais de denúncia que existem, mas que ninguém confia em usar.

O problema? O window dressing não só não protege a organização, como agrava a sua responsabilidade. Quando há um incidente de corrupção ou fraude, um programa meramente formal é visto como falta de diligência séria.

Um programa de compliance fraco é pior do que nenhum: dá falsa sensação de segurança, mas não resiste a um inquérito sério.

Aqui entra um ponto relevante para a inteligência artificial: os sistemas do MENAC podem ser treinados para reconhecer sinais típicos de window dressing, como:

  • Estruturas idênticas entre planos de entidades diferentes.
  • Incongruências entre riscos declarados e dados públicos da organização.
  • Falta de atualização de documentos ao longo dos anos.

Ou seja, aquilo que antes podia passar despercebido numa revisão manual começa agora a ser destacado automaticamente.

3. Como a IA está a ser usada na fiscalização do RGPC

A grande vantagem da IA para o MENAC é direta: capacidade de análise massiva, rápida e consistente.

Embora os detalhes técnicos não sejam públicos, um sistema típico deste tipo pode fazer, por exemplo:

3.1. Análise automática de documentos

A IA consegue:

  • Ler e classificar Planos de Prevenção de Riscos, códigos de conduta, políticas de ofertas e hospitalidade, etc.
  • Verificar se o plano contém, pelo menos, os elementos mínimos exigidos pelo RGPC.
  • Avaliar a coerência entre riscos identificados, medidas propostas e a dimensão/atividade da entidade.

3.2. Detetar padrões suspeitos

Com o tempo, o sistema aprende a detetar padrões como:

  • Linguagem excessivamente genérica.
  • Repetição de trechos comuns a múltiplas entidades.
  • Falta de ligação entre riscos específicos do setor (por exemplo, mediação de seguros, gestão de sinistros, contratação de prestadores) e as medidas de controlo.

3.3. Priorização de entidades de maior risco

A IA pode integrar dados de várias origens (setor, dimensão, histórico de incidentes públicos, participação em contratação pública) e gerar um ranking de risco.

Resultado prático: as entidades com maior probabilidade de incumprimento são as primeiras a ser fiscalizadas presencialmente.

Para as empresas portuguesas, isto tem uma consequência muito clara: já não é razoável esperar passar “entre os pingos da chuva”. Quem tem programas fracos vai ser mais facilmente identificado.

4. O que é um programa de compliance robusto na era da IA

A pergunta que muitos conselhos de administração e comissões de auditoria fazem é: “O que é que temos de ter para estar tranquilos quando o MENAC (e a IA) olharem para nós?”

A resposta não é comprar um modelo standard. Não há “copy-paste” que resista a uma fiscalização inteligente.

Um programa credível, hoje, precisa de cumprir quatro critérios:

4.1. Conformidade legal mínima… mas real

  • Cumprir os requisitos do RGPC: plano de prevenção de riscos, canal de denúncia, código de conduta, formação, responsável pelo cumprimento normativo.
  • Garantir que estes instrumentos estão aprovados, comunicados internamente e atualizados.

4.2. Proporcionalidade e ajustamento à realidade da entidade

Um grupo segurador com operações internacionais não pode ter o mesmo tipo de plano de uma pequena entidade local. É essencial:

  • Mapear processos críticos (subscrição, sinistros, relações com mediadores, contratação de peritos, IT, etc.).
  • Identificar pontos de contacto com o setor público e zonas clássicas de risco (patrocínios, ofertas, eventos, consultoria).

4.3. Integração de normas internacionais, sem as idolatrar

Normas como a ISO 37001 (anti-suborno) e a ISO 37301 (compliance) são boas referências. Mas não substituem o trabalho de mapeamento e personalização.

O que funciona melhor é usar estas normas como estrutura-base, adaptando:

  • Matriz de riscos à realidade concreta da empresa.
  • Procedimentos de due diligence a clientes, parceiros e fornecedores críticos.
  • Mecanismos de monitorização contínua.

4.4. Cultura viva, não apenas documentos

Este é o ponto onde muitas organizações falham. A IA pode analisar papel, mas quem avalia a cultura são as pessoas – e é aí que a fiscalização presencial entra.

Alguns sinais de programa “vivo”:

  • Formações frequentes e orientadas para casos reais do setor.
  • Registo efetivo de dúvidas colocadas ao compliance e resposta documentada.
  • Canais de denúncia com histórico de utilização e tratamento sério.
  • Decisões de negócio (por exemplo, rejeitar um contrato duvidoso) documentadas com base em critérios de risco ético.

5. Como as empresas portuguesas podem usar a IA a seu favor

A ironia é esta: a mesma tecnologia que reforça a fiscalização pode e deve ser usada pelas empresas para reforçar o seu próprio compliance.

Na série “Inteligência Artificial para Empresas Portuguesas” temos insistido nisto: quem olhar para a IA apenas como uma ameaça vai ficar para trás. Neste tema também.

Algos exemplos práticos de uso interno de IA:

5.1. Apoio à elaboração e revisão de planos

Ferramentas de IA podem ajudar a:

  • Fazer análise de risco inicial, com base em informação pública do setor e do mercado.
  • Sugerir controlos e medidas de mitigação adequadas a cada tipo de risco.
  • Rever coerência interna entre riscos, medidas, responsáveis e prazos.

Claro: isto não substitui a decisão humana, mas torna o trabalho mais rápido e consistente.

5.2. Monitorização contínua e alertas precoces

Combinando dados internos (transações, aprovações, exceções, contactos com o setor público) com modelos analíticos, é possível:

  • Detetar padrões anómalos em aprovações de pagamentos, ofertas, patrocínios.
  • Sinalizar áreas com ausência de rotação de fornecedores ou peritos.
  • Identificar comportamentos de risco em determinados departamentos.

Nas seguradoras, por exemplo, a IA pode cruzar dados de sinistros, mediadores e prestadores para detetar esquemas de fraude ligados a corrupção ou conluio.

5.3. Formação personalizada e mensurável

Em vez de formações genéricas, empresas podem usar IA para:

  • Adaptar conteúdos ao perfil de cada colaborador (função, risco, histórico de interações).
  • Medir compreensão em tempo real com quizzes, cenários e simulações.
  • Registar evidências objetivas de que a formação foi feita, compreendida e aplicada.

A melhor defesa perante o MENAC não é dizer “temos formação”, é mostrar “é assim que a formação mudou decisões reais dentro da empresa”.

6. Passos concretos para preparar o seu programa para o escrutínio digital

Se tivesse de sugerir um plano pragmático para os próximos 3 meses, seria este:

  1. Auditar o programa atual

    • Rever o Plano de Prevenção de Riscos e o código de conduta.
    • Identificar partes genéricas, desatualizadas ou desalinhadas com o negócio atual.

  2. Confrontar o plano com a realidade operacional

    • Escolher 3–5 processos críticos (por exemplo, contratação pública, sinistros complexos, seleção de peritos, grandes patrocínios).
    • Ver se os riscos reais desses processos estão refletidos no plano.

  3. Reforçar a evidência documental

    • Registar decisões relevantes tomadas por razões de integridade.
    • Organizar provas de formação, comunicação interna, monitorização e resposta a denúncias.

  4. Avaliar onde a IA pode ajudar internamente

    • Usar IA para apoiar a revisão dos documentos e testar coerência.
    • Implementar, mesmo que de forma piloto, modelos simples de deteção de padrões anómalos.

  5. Trabalhar a cultura, não apenas o papel

    • Envolver a gestão de topo com mensagens claras sobre tolerância zero.
    • Criar momentos regulares (curtos, práticos) de discussão de dilemas éticos reais.

7. MENAC, IA e o futuro do compliance em Portugal

A frase do artigo original resume bem o momento: é hora de passar da formalidade para a substância, da norma para a cultura.

A IA está a acelerar essa transição. Obriga as organizações a abandonar o window dressing e a encarar o compliance como um sistema vivo, suportado em dados, tecnologia e, sobretudo, em decisões diárias coerentes.

Para as empresas portuguesas que acompanham esta série sobre Inteligência Artificial para Empresas, este é mais um recado claro: não basta usar IA para vender mais ou reduzir custos – é preciso usá-la também para ser mais íntegro, mais transparente e mais confiável.

Quem tratar o RGPC e o MENAC apenas como uma ameaça vai gastar energia a fugir do escrutínio. Quem os encarar como um “stress test” saudável vai construir organizações mais sólidas, mais preparadas para captar investimento, ganhar contratos e manter talento.

A questão, no final, é simples: se o seu programa de compliance fosse hoje analisado por um algoritmo e, amanhã, por uma equipa de fiscalização no terreno, resistia?