Resolução CFM nº 2.454/2026 regula a Inteligência Artificial na Medicina: o que muda, na prática?

A inteligência artificial na medicina deixou de ser promessa e passou a compor a rotina do consultório, do pronto-socorro e do centro cirúrgico. Sistemas de apoio à decisão analisam imagens, sugerem diagnósticos diferenciais, ajudam a estruturar prontuários e, cada vez mais, participam — direta ou indiretamente — de escolhas terapêuticas. Até fevereiro de 2026, essa expansão ocorria sem um marco federal específico, deixando o médico em uma zona cinzenta de responsabilidade.

O cenário mudou em 27 de fevereiro de 2026, quando o Conselho Federal de Medicina publicou a Resolução CFM nº 2.454/2026, o primeiro marco regulatório federal dedicado exclusivamente ao uso da IA na prática médica brasileira. A norma entrou em vacatio legis de 180 dias e passa a vigorar integralmente em agosto de 2026. A mensagem é clara: a IA não substitui o médico, mas eleva o patamar de diligência exigido dele — e institui deveres de governança que nenhum profissional ou instituição deveria encarar como detalhe técnico.

A seguir, os pontos que todo médico precisa conhecer antes do fim do período de adaptação.

1. A regra de ouro: a Inteligência Artificial na medicina é apoio, a decisão é humana;

O eixo de toda a resolução está no artigo 4º, inciso I: o médico deve empregar a IA exclusivamente como ferramenta de apoio, mantendo-se como responsável final pelas decisões clínicas, diagnósticas, terapêuticas e prognósticas. Em outras palavras, por mais sofisticado que seja o algoritmo, não existe “decisão autônoma da máquina” no ato médico.

Duas consequências práticas derivam desse princípio.

A primeira é o dever de julgamento crítico: o médico precisa avaliar a coerência das sugestões geradas pela IA com o quadro clínico, as evidências científicas disponíveis e as boas práticas. Aceitar passivamente uma recomendação algorítmica, sem reflexão, é violar o próprio dever de diligência.

A segunda é a proibição expressa de delegar à IA a comunicação de diagnósticos, prognósticos ou decisões terapêuticas diretamente ao paciente. Chatbots que “conversam com o paciente” em substituição ao médico estão, desde já, fora dos limites éticos.

2. Os quatro níveis de risco — e por que você precisa conhecer o seu;

   
   

A resolução classifica os sistemas de IA em quatro níveis: baixo, médio, alto e inaceitável. A categorização considera o impacto nos direitos fundamentais, a complexidade do modelo, o grau de autonomia do sistema e a sensibilidade dos dados processados.

Na prática, a classificação determina o peso das exigências de governança. Um sistema de baixo risco — um assistente de transcrição de consulta, por exemplo — demanda controles mais simples. Já sistemas de alto risco — como apoio à decisão oncológica, triagem automatizada em emergências ou análise de imagens para diagnóstico — exigem auditoria contínua, documentação robusta e supervisão reforçada. Sistemas de risco inaceitável, por sua vez, são vedados.

O ponto crítico: a responsabilidade de classificar o risco é da instituição que utiliza o sistema. Clínicas e hospitais que ainda não fizeram o inventário das ferramentas em uso podem se encontrar em desconformidade a partir de agosto de 2026.

3. Deveres do médico: o novo padrão de diligência;

   
   

O artigo 4º da resolução lista os deveres do médico no uso da IA. Além do já mencionado dever de julgamento crítico, o profissional deve manter-se atualizado quanto às capacidades, limitações, riscos e vieses conhecidos dos sistemas que utiliza; empregar apenas sistemas que atendam às normas éticas, técnicas, legais e regulatórias vigentes; registrar em prontuário o uso da IA como suporte à decisão clínica sempre que relevante; e informar o paciente, de forma clara e acessível, quando a IA for utilizada como apoio material ao cuidado.

O dever de registro em prontuário merece atenção especial. Até aqui, muitos profissionais utilizam ferramentas de IA sem qualquer rastro documental. Após agosto de 2026, essa prática deixa de ser neutra: a ausência de registro dificulta, no contencioso, a prova do uso diligente e crítico exigido pela norma — e pode se converter em presunção desfavorável em eventual ação.

4. Direitos do médico: autonomia e escudo contra responsabilização indevida;

   
   

O artigo 3º consolida direitos relevantes. O médico pode utilizar IA em apoio à decisão clínica, à gestão em saúde, à pesquisa científica e à educação médica continuada, desde que dentro dos limites éticos. Tem direito, também, de recusar o uso de sistemas que não apresentem validação científica adequada, certificação regulatória pertinente, ou que contrariem princípios éticos, técnicos ou legais — ainda que a instituição os tenha contratado.

Mais importante: a resolução estabelece que o médico não será responsabilizado por falhas atribuíveis exclusivamente a sistemas de IA, desde que comprovado o uso diligente, crítico e ético da ferramenta. Esse é o verdadeiro escudo legal da norma. Mas a expressão “desde que comprovado” é decisiva: sem documentação do julgamento crítico, sem registro em prontuário, sem evidência de que o sistema possui certificação adequada, o escudo desaparece.

5. Governança institucional: a Comissão de IA e Telemedicina;

   
   

Para hospitais, clínicas e qualquer instituição que desenvolva ou utilize sistemas próprios de IA, a resolução exige três estruturas mínimas. A primeira é a avaliação preliminar de risco de cada sistema, com base nos critérios do Anexo II da resolução. A segunda é a constituição de uma Comissão de IA e Telemedicina, sob coordenação médica e vinculada à diretoria técnica, com atribuição de validar, homologar e monitorar o uso das ferramentas. A terceira são processos internos de governança aptos a garantir segurança, qualidade e ética, incluindo auditoria e monitoramento contínuos.

A supervisão fica a cargo do Conselho Regional de Medicina da respectiva jurisdição. O diretor técnico passa a ser o principal responsável pela conformidade institucional — e sua responsabilidade é direta, não se dilui entre a equipe.

Para o médico que atende em clínica ou hospital que ainda não constituiu essa estrutura, o alerta é prático: cobrar a instituição agora, por escrito, é autoproteção. Em caso de evento adverso, a ausência de governança formal pode deslocar para o próprio médico uma responsabilidade que deveria ser institucional.

6. O paciente tem o direito de saber;

   
   

O paciente, parte mais vulnerável da relação, passa a contar com direitos específicos: ser informado de forma clara sempre que a IA for utilizada como apoio relevante no seu cuidado; acessar informações sobre seu estado de saúde; buscar segunda opinião; ter seus dados pessoais protegidos nos moldes da LGPD; e não ser submetido a intervenções experimentais sem consentimento específico.

Na prática, isso significa revisar o Termo de Consentimento Livre e Esclarecido de procedimentos que envolvam apoio relevante de IA, incluindo cláusula específica sobre o tipo de ferramenta utilizada, o seu papel na decisão e a preservação da autoridade final do médico. Termos genéricos, copiados de modelos antigos, tendem a ser inadequados.

7. Quando o médico responde — e quando não responde;

   
   

O artigo 8º é expresso: o descumprimento dos deveres da resolução sujeita o médico às sanções éticas cabíveis, sem prejuízo das responsabilidades civil e penal. Isso significa três frentes simultâneas de risco: ética (CRM), civil (ação indenizatória do paciente) e, em casos graves, penal.

A fórmula protetiva existe: uso diligente, crítico e ético somado à documentação adequada resulta em escudo jurídico. A fórmula de exposição também: uso automatizado, sem registro, de sistema não validado resulta em responsabilização integral. A diferença entre as duas situações não é técnica — é documental. O prontuário, o TCLE, a política interna de IA e o contrato com o fornecedor são os quatro pilares da defesa.

8. Checklist prático até agosto de 2026;

   
   

Para encerrar, um roteiro do que médicos e instituições devem fazer nos próximos meses:

•       Inventário: listar todas as ferramentas de IA em uso, inclusive as “informais”, como assistentes generativos utilizados para redigir laudos ou resumir prontuários;

•       Classificação de risco: avaliar o nível de risco de cada sistema com base nos critérios do Anexo II da resolução;

•       Governança: designar responsável formal pela IA na instituição e, quando aplicável, constituir a Comissão de IA e Telemedicina;

•       Contratos: revisar contratos com fornecedores de sistemas de IA, prevendo cláusulas de auditoria, atualização, responsabilidade por falhas e conformidade regulatória;

•       Prontuário: padronizar campo específico para registro do uso de IA como apoio à decisão;

•       TCLE: revisar termos de consentimento, incluindo informação clara sobre o uso de IA quando houver impacto material no cuidado;

•       Treinamento: capacitar a equipe quanto a limitações, vieses e adequações dos sistemas utilizados;

•       Política interna: elaborar documento que consolide regras sobre quais sistemas podem receber dados de pacientes, em quais situações e sob quais controles.

9. Conclusão;

   
   

A Resolução CFM nº 2.454/2026 não pune o uso da IA — ao contrário, reconhece sua contribuição crescente para a medicina. O que ela faz é transformar em deveres normativos aquilo que, até aqui, era tratado como boa prática opcional. Quem chegar a agosto de 2026 com inventário, governança documentada e prontuários adequadamente preenchidos atravessará a transição com segurança. Quem mantiver a informalidade carregará, sozinho, o peso de um risco que a norma explicitamente propôs redistribuir.

O momento, portanto, é de ação preventiva. A estrutura legal está posta; o que falta é adequá-la à realidade de cada consultório, clínica e hospital.