A Uber não esperava que a produtividade fosse tão cara. Em apenas quatro meses, a empresa esgotou seu orçamento anual de computação — resultado direto do uso massivo do Claude Code por suas equipes de engenharia. É o que afirma Praveen Neppalli Naga, CTO da empresa. O episódio virou símbolo de um risco corporativo inédito: o passivo gerado não pela falha da tecnologia, mas pelo seu sucesso excessivo. A ferramenta funcionou bem demais.
Para os departamentos jurídicos, o caso acende um alerta urgente. Contratos de IA assinados sem cláusulas de controle de consumo transformam-se rapidamente em cheques em branco. E, enquanto a regulação brasileira ainda engatinha, é o contrato que define quem arca com a conta — e em que valor.
O risco que ninguém leu no contrato
A lógica predominante nos contratos de IA segue o modelo pay-as-you-go: o cliente paga pelo que consome, sem travas automáticas por padrão. Na prática, portanto, o risco financeiro do uso intensivo recai sobre a empresa contratante — não sobre o fornecedor e tampouco sobre o funcionário que operou a ferramenta. Isso transforma a hiperprodutividade em um risco sistêmico invisível.
Juliana Sene Ikeda, especialista em direito digital e sócia do Campos Thomaz Advogados, confirma que essa estrutura já é padrão de mercado. "A maioria dos contratos prevê que, em caso de uso excessivo, o cliente é cobrado automaticamente caso exceda os limites contratados. Ao mesmo tempo, os fornecedores tendem a incluir cláusulas robustas de limitação de responsabilidade, restringindo sua exposição financeira", diz.
Cláusulas que protegem — e as que criam riscos
Nem todo contrato de IA é igual. Alguns transferem riscos de forma tão técnica e fragmentada que passam completamente despercebidos pelo jurídico da empresa. Cláusulas que autorizam cobrança automática irrestrita, expansão de capacidade sem aprovação prévia ou faturamento por integrações de terceiros são exemplos recorrentes de armadilhas contratuais. Por isso, a due diligence pré-contratual deixou de ser opcional.
Thomaz Côrte Real, sócio do M.A. Santos Côrte Real Advogados, alerta para a necessidade de uma negociação mais sofisticada. "Não basta mais discutir apenas disponibilidade, governança, propriedade intelectual e proteção de dados. O controle financeiro do uso passou a ser elemento central da contratação", afirma. Entre as cláusulas essenciais, ele destaca: limites máximos de consumo (hard caps), alertas automáticos por faixas de utilização, dashboards de monitoramento em tempo real e suspensão automática após determinado teto financeiro.
O funcionário pode ser responsabilizado?
Em regra, não. O direito do trabalho brasileiro adota lógica protetiva: o risco da atividade econômica pertence ao empregador. Assim, se o colaborador agiu dentro de suas atribuições e com ferramentas autorizadas, a responsabilidade financeira permanece com a empresa. Apenas em casos de dolo, fraude ou descumprimento expresso de política interna surge espaço para responsabilização individual.
Ikeda esclarece, contudo, que as políticas internas de IA cumprem dois papéis fundamentais: "preventivo, estabelecendo limites de uso, boas práticas e controles internos; e probatório, permitindo demonstrar, em caso de problema, se houve uso irregular ou descumprimento de diretrizes." Sem essa documentação, a empresa dificilmente sustenta qualquer alegação de uso indevido.
Soft Law como escudo jurídico
Diante do vácuo regulatório, as políticas internas de uso de IA — a chamada Soft Law corporativa — emergem como o principal instrumento de governança disponível. Mais do que um documento de compliance, elas delimitam responsabilidades e fortalecem a posição da empresa em auditorias, investigações e litígios com fornecedores.
Côrte Real projeta a trajetória dessas políticas com precisão: "No futuro próximo, provavelmente veremos as políticas corporativas de IA ocupando papel semelhante ao que hoje possuem as políticas de segurança da informação e proteção de dados pessoais."
Brasil: o contrato como única lei disponível
O Brasil ainda não tem um marco regulatório específico para IA em vigor. O PL 2338/2023 tramita no Congresso, mas o cenário permanece em construção. Normas como o Código Civil, a LGPD e o Marco Civil da Internet se aplicam de forma indireta — sem disciplinar especificamente a responsabilidade financeira por consumo excessivo de IA.
Côrte Real resume o cenário com objetividade: "Como ainda não existe regulamentação específica sobre billing algorítmico, consumo de tokens ou responsabilidade por hiperescala computacional, o contrato acaba assumindo papel central. É ele que definirá limites de uso, mecanismos de monitoramento, alertas de consumo, distribuição de riscos e responsabilidade financeira entre as partes." Para os advogados empresariais, a conclusão é direta: a proteção contratual é, hoje, o único escudo disponível — e ele precisa ser negociado antes da assinatura.