Resolução CFM nº 2.454/2026: como a nova regulamentação da IA na medicina afeta médicos, hospitais, clínicas, healthtechs e desenvolvedores
A Resolução CFM nº 2.454/2026 inaugura, no Brasil, um dos mais relevantes movimentos regulatórios setoriais sobre inteligência artificial em saúde. A norma foi publicada no Diário Oficial em 27 de fevereiro de 2026 e entra em vigor após 180 dias. Seu alcance formal cobre pesquisa, desenvolvimento, governança, auditoria, monitoramento, capacitação e uso responsável de soluções de IA na medicina, com foco em segurança, transparência, ética e direitos fundamentais.
O dado mais importante, porém, não está apenas no texto declaratório. A resolução não trata a IA como tema periférico de ética médica. Ela cria um regime setorial de governança que afeta a forma como hospitais, clínicas, operadoras, healthtechs, desenvolvedores e distribuidores concebem, contratam, implantam, documentam e monitoram soluções algorítmicas em contexto médico. Esse movimento ocorre antes de uma lei geral brasileira de IA estar consolidada e, por isso, tem enorme poder de reorganização prática do mercado.
O que a Resolução CFM nº 2.454/2026 efetivamente regula
A resolução afirma, logo no art. 1º, que disciplina não apenas o uso, mas também a pesquisa, o desenvolvimento, a governança, a auditoria e o monitoramento das soluções de IA na medicina. Ela também define, em anexo, categorias como sistema de IA, aplicação em IA na medicina, ciclo de vida, desenvolvedor, distribuidor, IA generativa, LLM, avaliação preliminar de risco, avaliação de impacto algorítmico, auditabilidade, explicabilidade e contestabilidade. Isso mostra que o CFM deliberadamente adotou uma gramática regulatória ampla, próxima de debates contemporâneos de governança algorítmica e não apenas deontologia profissional.
Além disso, a norma impõe deveres claros ao médico: usar a IA apenas como apoio, manter responsabilidade final pelas decisões clínicas, exercer julgamento crítico, utilizar apenas sistemas compatíveis com normas éticas, técnicas, legais e regulatórias, e registrar o uso da IA no prontuário. Também assegura ao paciente o direito à informação clara quando a IA for utilizada como apoio relevante, preserva a possibilidade de segunda opinião e veda a delegação à IA da comunicação de diagnósticos, prognósticos ou decisões terapêuticas sem mediação humana. \
A resolução também alcança desenvolvedores e distribuidores?
Aqui é preciso evitar dois erros opostos. O primeiro é dizer que a resolução fala apenas com médicos. O segundo é afirmar, sem nuance, que ela cria poder sancionatório direto e imediato do CFM sobre qualquer empresa de tecnologia. Nenhuma das leituras é satisfatória.
A leitura mais defensável é esta: a norma não transforma o CFM em regulador sanitário ou regulador econômico geral das healthtechs, mas cria um ambiente em que desenvolvedores e distribuidores passam a ser atingidos de forma material e operacional. Isso ocorre por quatro razões. Primeiro, porque o próprio texto define “desenvolvedor” e “distribuidor” como categorias relevantes do ecossistema regulado. Segundo, porque os médicos ganham o direito de recusar sistemas sem validação científica adequada ou certificação regulatória pertinente. Terceiro, porque os médicos ficam obrigados a utilizar apenas sistemas compatíveis com normas éticas, técnicas, legais e regulatórias vigentes. Quarto, porque as instituições que desenvolvem ou contratam IA devem estruturar governança, classificação de risco, supervisão humana, mecanismos de auditoria, mitigação de vieses, interoperabilidade e gestão do ciclo de vida. Na prática, isso empurra os fornecedores para uma nova fronteira de documentação, prova de conformidade e desenho contratual.
Em outras palavras, mesmo quando a sanção formal do CRM recair sobre médicos e instituições, o efeito de mercado recai sobre fornecedores. Um produto que não permita rastreabilidade, governança, registro de uso, supervisão humana, documentação de desempenho, explicabilidade possível e segurança compatível passa a ser mais difícil de contratar, defender e sustentar no ambiente médico. Isso vale especialmente para ferramentas de apoio diagnóstico, triagem, priorização, prescrição, monitoramento clínico, elaboração automatizada de conteúdo médico e IA generativa embarcada em fluxos assistenciais.
CFM e Anvisa: quem regula o quê?
A resposta mais correta é que CFM e Anvisa regulam camadas diferentes do problema. O CFM regula o uso ético-profissional e a governança setorial da IA na medicina; a Anvisa regula, quando cabível, a dimensão sanitária do software como dispositivo médico. Uma empresa não pode tratar essas frentes como alternativas. Elas podem ser cumulativas.
A RDC nº 657/2022 da Anvisa dispõe sobre a regularização de software como dispositivo médico. Ela deixa claro que a norma se aplica a SaMD e não a todo software em saúde. Também exclui, por exemplo, softwares voltados apenas a bem-estar, gerenciamento administrativo e financeiro, ou processamento de dados demográficos e epidemiológicos sem finalidade clínica diagnóstica ou terapêutica. Já quando o software atende à definição de dispositivo médico, inclusive em modelo SaaS, ele entra na lógica de regularização sanitária.
O próprio material interpretativo da Anvisa reforça essa linha. Sistemas de prontuário eletrônico, agenda, comunicação e funções típicas de telemedicina, em regra, não são SaMD. Mas, se o sistema incluir funções automáticas de diagnóstico, triagem, sugestão de diagnóstico ou sugestão de tratamento, passa a configurar software como dispositivo médico e deve ser regularizado antes de ser disponibilizado ao público. A mesma lógica aparece em softwares laboratoriais, de bloqueio de ação clínica a partir de diagnóstico ou de auxílio terapêutico.
Portanto, a melhor formulação não é dizer que o CFM “passou na frente” da Anvisa. A formulação correta é mais sofisticada: o CFM antecipou um regime de exigências para o uso médico e para a aceitabilidade setorial da IA, enquanto a Anvisa continua sendo decisiva para o enquadramento sanitário do produto quando houver finalidade médica regulável. Isso amplia o custo jurídico do erro classificatório. Uma healthtech pode falhar por excesso de autoconfiança tanto ao ignorar a Anvisa quanto ao tratar a resolução do CFM como mero detalhe ético.
A resolução do CFM cria um novo padrão de governança para hospitais, clínicas e healthtechs
A Resolução CFM nº 2.454/2026 exige avaliação preliminar de risco, categorização em baixo, médio, alto ou inaceitável, informação dessa classificação ao usuário e processos internos de governança aptos a garantir segurança, qualidade e ética. Em instituições com sistemas próprios de IA, a norma prevê Comissão de IA e Telemedicina sob coordenação médica e subordinada à diretoria técnica. Também impõe supervisão humana obrigatória e explicita que as soluções não são soberanas.
O Anexo III é particularmente importante para o mercado. Ele fala em relatórios gerenciais de desempenho, limitações e vieses, mitigação de discriminação, priorização de interoperabilidade, preferência por soluções adaptáveis e auditáveis, gestão do ciclo de vida como produto, APIs e integração com sistemas de saúde, além de acesso de órgãos de controle a relatórios de auditoria e monitoramento. Isso desloca a conversa do simples “uso da IA” para a arquitetura de governança, documentação e accountability.
Para desenvolvedores, essa parte da norma é decisiva. Mesmo que o produto não dependa, no caso concreto, de registro sanitário imediato, ele pode fracassar comercialmente se não entregar o que hospitais e clínicas passarão a exigir contratualmente: parametrização, rastreabilidade, logs, política de atualização, gestão de modelo, documentação técnica, critérios de validação, mecanismos de revisão humana, matriz de risco, política de dados e linguagem compatível com auditoria.
O ponto cego do mercado: nem toda IA em saúde precisa de registro na Anvisa, mas quase toda IA médica relevante precisará de estratégia regulatória
Esse é um dos erros mais comuns no setor. Nem todo software em saúde é SaMD. A própria Anvisa distingue softwares administrativos, de prontuário, comunicação e armazenamento de dados daqueles com função diagnóstica, terapêutica, de triagem ou apoio clínico relevante. Também prevê hipóteses específicas para SaMD in house de classes I e II, de uso exclusivo do serviço de saúde, sem comercialização ou doação, desde que mantidos registros completos de validação e observados os requisitos da norma.
Mas o fato de nem todo produto precisar de registro não significa baixa exposição jurídica. Um sistema que não seja SaMD ainda pode estar sujeito a exigências pesadas de LGPD, sigilo médico, segurança da informação, responsabilidade civil, transparência ao paciente, adequação contratual, governança institucional e prova de diligência. A Resolução CFM nº 2.454/2026 torna esse espaço intermediário muito mais relevante, porque ele é justamente onde muitas ferramentas de IA generativa, copilotos clínicos, sistemas de documentação e fluxos de apoio assistencial tendem a operar.
Comparação com os Estados Unidos: menos ética profissional setorial, mais foco em device pathway e ciclo de vida
Nos Estados Unidos, a lógica regulatória é diferente. O FDA não opera por uma resolução ética da profissão médica semelhante à do CFM. Sua abordagem é centrada em produtos sujeitos à regulação de medical devices, com vias de premarket review como 510(k), De Novo e PMA, além de documentos específicos para IA/ML, lifecycle management, Good Machine Learning Practice, transparência e Predetermined Change Control Plans. O próprio FDA reconhece que o paradigma tradicional de dispositivos não foi desenhado para IA adaptativa e vem publicando guias para lidar com mudanças iterativas em dispositivos habilitados por IA.
Mais recentemente, o FDA passou a manter uma lista pública de AI-enabled medical devices e sinalizou que pretende facilitar a identificação de dispositivos com funcionalidades baseadas em foundation models, inclusive LLMs. Isso reforça uma lógica mais pragmática, de autorização de mercado, atualização de produto e transparência regulatória para device software.
A diferença estratégica para o Brasil é clara. O modelo norte-americano é mais fortemente orientado por produto regulado e por trajetória de submissão e atualização. Já a Resolução do CFM introduz uma camada setorial que pressiona mesmo soluções que ainda estejam em fronteiras mais ambíguas de enquadramento sanitário. Para quem desenvolve IA médica no Brasil, isso significa que não basta perguntar “precisa de Anvisa?”. É preciso perguntar também “esse produto é clinicamente contratável, eticamente defensável e auditavelmente utilizável à luz do CFM?”.
Comparação com a Europa: modelo em camadas, com AI Act + MDR/IVDR
A União Europeia seguiu outro caminho. O AI Act, Regulamento (UE) 2024/1689, criou uma estrutura horizontal para IA, com calendário de aplicação escalonado e incidência relevante a partir de 2 de agosto de 2026, com algumas obrigações já antecipadas e outras aplicáveis em 2027. Para sistemas de IA relacionados a produtos abrangidos pela legislação harmonizada da União, como dispositivos médicos, a lógica de alto risco se articula com a necessidade de avaliação de conformidade por terceiro sob regimes como o MDR e o IVDR.
No MDR europeu, software pode ser dispositivo médico e a Regra 11 classifica, como regra geral, o software destinado a fornecer informações usadas para decisões diagnósticas ou terapêuticas ao menos em classe IIa, podendo chegar a IIb ou III conforme o impacto sobre a saúde. Isso mostra que, na Europa, a IA médica é tratada dentro de um arranjo mais nitidamente integrado entre regulação de IA e regulação sanitária de dispositivos.
Comparado à Europa, o Brasil ainda não possui uma arquitetura horizontal consolidada equivalente ao AI Act. Porém, a Resolução do CFM aproxima o debate brasileiro de algumas agendas europeias: classificação de risco, ciclo de vida, supervisão humana, transparência, contestabilidade, explicabilidade possível, mitigação de vieses e documentação contínua. A diferença é que, aqui, esse avanço veio por via setorial-profissional e não por uma lei geral de IA.
O que médicos, hospitais, clínicas, operadoras e healthtechs deveriam fazer agora
O prazo de 180 dias não é longo para quem depende de contratos, fluxos assistenciais, prontuário, TI, fornecedores, comitês internos e documentação regulatória. Hospitais e clínicas precisam mapear onde a IA já está presente, inclusive quando “invisível” em software de terceiros, e classificar esses usos por criticidade. Também precisam revisar contratos, registrar papéis e responsabilidades, avaliar quais soluções permitem supervisão humana real, logs e prova de validação.
Para healthtechs e desenvolvedores, o caminho mais prudente é construir uma esteira regulatória integrada: enquadramento do produto; análise de incidência ou não de SaMD; revisão da documentação técnica; política de dados e segurança; arquitetura de governança; matriz de risco; política de atualização; critérios de validação; cláusulas contratuais de alocação de riscos; e playbooks de transparência ao cliente institucional e ao paciente, quando aplicável. A agenda regulatória 2026-2027 da Anvisa ainda sinaliza revisão da regulação de SaMD, o que aumenta a importância de soluções já nascerem preparadas para um ambiente de maior sofisticação regulatória.
Perguntas frequentes sobre a Resolução CFM nº 2.454/2026
A Resolução CFM nº 2.454/2026 vale só para médicos?
Não. O eixo sancionatório ético está centrado no médico e na instituição médica, mas a resolução define desenvolvedor e distribuidor, disciplina governança, risco, ciclo de vida, transparência, supervisão e cria efeitos concretos sobre contratação e uso de soluções por todo o ecossistema.
Toda IA em saúde precisa de registro na Anvisa?
Não. A RDC nº 657/2022 não abrange todo software em saúde. Mas funções automáticas de diagnóstico, triagem, sugestão de diagnóstico, auxílio terapêutico ou finalidades médicas equivalentes podem enquadrar o produto como SaMD e exigir regularização.
Um prontuário eletrônico com IA generativa precisa de Anvisa?
Depende da finalidade concreta. Se a funcionalidade for apenas organização, comunicação, redação ou armazenamento, o enquadramento sanitário pode não ocorrer. Se a solução passar a sugerir diagnóstico, tratamento, triagem ou influenciar clinicamente a decisão de forma enquadrável como dispositivo médico, a análise muda substancialmente.
O CFM substituiu a Anvisa?
Não. O CFM criou um regime setorial de uso e governança na medicina. A Anvisa continua sendo a autoridade central para regularização sanitária de SaMD. Em muitos casos, as duas camadas se somam.
Opinião Calaza Doreto
A nosso ver, a Resolução CFM nº 2.454/2026 é mais do que uma norma de ética médica sobre novas tecnologias. Ela é um sinal regulatório forte de que o mercado brasileiro de saúde digital entrou em uma nova fase. A discussão não está mais em saber se a IA será usada na medicina. Essa etapa já foi superada. A pergunta relevante passou a ser outra: quem conseguirá provar que usa, desenvolve, contrata e governa IA de forma defensável?
Também nos parece um erro tratar a resolução como texto dirigido exclusivamente ao consultório. Ela alcança hospitais, clínicas, operadoras, diretorias técnicas, equipes de TI, jurídico interno, comitês de inovação, startups e fornecedores. Alcança, sobretudo, porque altera o padrão de exigência do mercado. A partir daqui, produto tecnicamente interessante, mas mal documentado, pouco auditável ou contratualmente frágil, tende a perder espaço.
Por fim, entendemos que o verdadeiro diferencial competitivo, daqui em diante, não será apenas “ter IA”, mas ter governança de IA. É isso que sustentará adoção segura, expansão comercial, defesa regulatória, confiança institucional e resiliência em eventual litígio. Quem compreender cedo essa virada estará melhor posicionado para transformar obrigação regulatória em estratégia, reputação e valor de mercado. Essa é, para nós, a principal mensagem da nova resolução.
