Testes de Garantia de Qualidade com IA para Indústrias Regulamentadas: Qualigentic vs. Ferramentas de IA Genéricas

Quando uma equipa de garantia de qualidade (QA) num banco avalia ferramentas de teste de IA, a conversa tende a começar com o mesmo conjunto de questões que qualquer equipa de engenharia colocaria: quantos casos de teste gera, quão precisa é a geração, quão bem lida com a manutenção de testes, que frameworks suporta. Estas são questões legítimas. São, no entanto, o ponto de partida errado, porque tratam o problema de QA assistido por IA numa instituição financeira regulamentada como se fosse o mesmo problema de QA assistido por IA numa startup SaaS. Não é.

A diferença não está no código a ser testado. Está no que acontece depois de os testes serem executados. Para a equipa de QA de uma startup, saber se o software funciona é suficiente. Para um banco, a mesma questão acarreta um requisito adicional — prová-lo, aos supervisores, aos auditores e, na fase de aplicação do DORA, que começou em 2026, às autoridades competentes nacionais que estão ativamente a analisar se os programas de testes de resiliência produzem evidências que se sustentam sob escrutínio regulamentar.

Essa distinção é o alicerce sobre o qual a Qualigentic foi construída. Não como uma ferramenta genérica de testes de IA com um módulo de conformidade adicionado, mas como uma plataforma concebida desde o início para as restrições específicas de garantia de qualidade em indústrias regulamentadas. Compreender o que isso significa exige precisão sobre o que as ferramentas genéricas de testes de IA realmente fazem, onde funcionam bem e onde a arquitetura de uma instituição regulamentada cria requisitos para os quais nunca foram concebidas.

Geração de testes
No que a maioria das ferramentas de IA compete — volume, velocidade, cobertura
Manutenção de teste
Onde reside o verdadeiro custo de um conjunto de testes — 60–70% de esforço de controlo de qualidade
Cadeia de provas
Que indústrias reguladas exigem e ferramentas genéricas não produzem
Perímetro de dados
A restrição arquitetónica que as ferramentas baseadas na nuvem não conseguem resolver

Seria impreciso e inútil descartar ferramentas como GitHub Copilot, Testim, ou as funcionalidades de teste com IA em plataformas de desenvolvimento de propósito geral. Elas resolvem problemas reais para as equipas de engenharia e fazem-no bem em contextos onde esses problemas são a principal preocupação.

Geração e manutenção de testes

A capacidade central da maioria das ferramentas de teste de IA é a geração de testes a partir de código ou especificação. Dada uma assinatura de função, uma estrutura de classe ou uma descrição em linguagem natural do comportamento esperado, estas ferramentas podem gerar casos de teste de forma mais rápida e sistemática do que um engenheiro humano que escreve testes do zero. Cobrem condições de limite que são fáceis de ignorar, produzem padrões de teste consistentes em uma base de código e reduzem o tempo necessário para atingir um nível de cobertura basal. Para equipas que estão a fazer testes insuficientes — o que descreve a maioria das equipas de engenharia — esta é, portanto, uma melhoria genuína e material.

Uma capacidade secundária é a assistência na manutenção de testes: detetar quando uma alteração no código tornou um teste obsoleto, sugerir atualizações, assinalar testes que podem já não estar a testar o que parecem testar. A Capgemini Relatório Mundial de Qualidade 2025–26 observa que, na maioria das organizações, 60–70% do esforço dedicado ao controlo de qualidade é canalizado para a manutenção de testes existentes, em vez de para a criação de novos testes. Consequentemente, qualquer ferramenta que reduza essa carga liberta uma capacidade significativa de engenharia, e várias ferramentas de teste baseadas em IA fazem isso razoavelmente bem.

O que estas ferramentas não foram concebidas para fazer, no entanto, é produzir um registo estruturado, rastreável e auditável que conecte cada teste ao requisito regulamentar específico que aborda, com registos de execução assinados, controlos de acesso baseados em funções sobre quem pode aprovar resultados e políticas de retenção configuráveis que correspondam às obrigações regulamentares da instituição. Não se trata de uma funcionalidade em falta. É uma categoria de produto completamente diferente.

Onde a arquitetura das instituições reguladas altera os requisitos

Existem dois constrangimentos estruturais em instituições financeiras reguladas que reformulam a maneira como a infraestrutura de teste de IA deve ser. O primeiro é o perímetro de dados. O segundo é o formato da evidência.

Restrição 1
O perímetro de dados
Os bancos e seguradoras operam sob rigorosos requisitos de governação de dados que limitam os dados que podem sair do perímetro da instituição. Os dados de teste derivados de sistemas de produção – mesmo anonimizados ou sintéticos – estão sujeitos a estas restrições. Uma ferramenta de teste de IA baseada na nuvem que processa dados de teste fora da infraestrutura da instituição cria uma transferência de dados de terceiros que deve ser governada, contratualizada e avaliada quanto ao risco, tanto ao abrigo do DORA como das políticas de dados da própria instituição. Para muitas instituições, isto é um veto, não uma consideração a gerir.
Restrição 2
O formato da evidência
Os Artigos 24–27 do DORA exigem que os testes de resiliência de sistemas TIC críticos produzam documentação estruturada para revisão de supervisão. Um resultado de teste registado num pipeline CI/CD é um registo de execução para uma equipa de desenvolvimento. Não é, no formato em que tipicamente existe, um registo de prova regulamentar. A diferença é a rastreabilidade — do requisito específico do DORA, ao sistema TIC em causa, ao caso de teste projetado para o verificar, ao registo de execução assinado. Ferramentas de teste genéricas produzem resultados ao nível do desenvolvimento. Não produzem provas ao nível regulamentar.
Estas restrições não se aplicam a todas as instituições reguladas da mesma forma. A exposição depende de quais sistemas são designados como suporte a funções críticas sob a avaliação de risco DORA de cada instituição.

O problema do risco de terceiros que as ferramentas de QA baseadas na nuvem criam ao abrigo do DORA

Em janeiro de 2026, a BaFin, a autoridade de supervisão financeira da Alemanha, confirmou, através de orientações não vinculativas, que os sistemas de IA utilizados em instituições financeiras - incluindo ferramentas usadas em testes e garantia de qualidade - se enquadram no quadro de governação das TIC da DORA. Isto tem uma consequência direta para qualquer banco ou seguradora que esteja a avaliar uma plataforma de testes de IA baseada na cloud como parte do seu programa de testes de resiliência DORA.

Sob os Artigos 28.º-31.º da DORA, os prestadores de serviços terceirizados de TIC que suportam funções críticas devem ser geridos formalmente: avaliados quanto à criticidade, sujeitos a requisitos contratuais que cumpram as especificações do regulamento e monitorizados continuamente. Consequentemente, uma ferramenta de teste de IA baseada na nuvem que processa dados relacionados com testes de sistemas que suportam funções críticas é, ao abrigo deste quadro, um prestador terceirizado de TIC que requer gestão formal. A instituição que adotou a ferramenta para melhorar a sua conformidade com a DORA criou simultaneamente uma nova entrada de risco de terceiros sob a DORA para gerir.

A implementação no local não resolve apenas o problema do perímetro de dados. Remove uma dependência de terceiros de TIC que, de outra forma, teria de ser gerida, contratada e monitorizada ao abrigo dos Artigos 28.º a 31.º do DORA.

Isto não é uma preocupação hipotética para futuras revisões de supervisão. É uma falha de governação que existe desde o momento em que a ferramenta é adotada e que os supervisores estão agora em posição de identificar durante uma revisão ativa. As instituições que descobriram esta falha em 2026, durante o seu primeiro contacto de supervisão substantivo, estão a trabalhar na remediação sob pressão de tempo. Aquelas que a identificaram antes da adoção não estão.

Como a comparação se parece na prática

Em vez de uma comparação característica a característica que abstrai de como estas ferramentas são realmente utilizadas, é mais útil descrever os cenários específicos em que a escolha entre uma ferramenta de teste de IA genérica e uma orientada para a conformidade produz resultados diferentes.

Três cenários onde a escolha produz um resultado diferente
Revisão de supervisão
A NCA solicita comprovativos de testes de resiliência para um sistema crítico específico.
Classificação de incidentes
Incidente grave requer notificação inicial de 4 horas com prova de testes anteriores
Avaliação por terceiros
O Artigo 28.º da DORA exige uma avaliação formal da ferramenta de teste em si, como fornecedor de TIC.
Em cada cenário, uma ferramenta genérica de testes de IA fornece resultados a nível de desenvolvimento. Uma plataforma orientada para a conformidade fornece evidência da camada regulatória — estruturado, rastreável, recuperável a pedido.

No cenário de revisão de supervisão, uma equipa que utiliza uma ferramenta genérica de teste de IA enfrenta um problema de montagem: extrair registos dos registos de CI/CD, correlacioná-los com os requisitos de um sistema separado, confirmar a aprovação de um fluxo de trabalho de aprovação separado e apresentar o resultado num formato que responda à questão específica do supervisor. A informação pode existir. Ela existe, no entanto, em múltiplos sistemas, em formatos concebidos para operações de desenvolvimento em vez de submissão regulatória. A própria montagem é um risco — evidências incompletas, atrasadas ou formatadas de forma inconsistente constituem uma lacuna de conformidade, independentemente de os testes subjacentes terem sido sólidos.

O problema de classificação de incidentes

No cenário de classificação de incidentes, a janela de notificação inicial de 4 horas, de acordo com os requisitos de reporte de incidentes da DORA, pressupõe que a instituição consegue determinar rapidamente a natureza e o âmbito do incidente, incluindo se o sistema afetado foi testado recentemente e o que esse teste revelou. Uma equipa cujos registos de testes estão distribuídos por ferramentas de desenvolvimento e requerem montagem manual não dispõe de 4 horas para recuperação.

O que a Qualigentic não é

A precisão sobre o que uma ferramenta faz exige igual precisão sobre o que ela não faz. Qualigentic não substitui o julgamento de engenharia que a garantia de qualidade em sistemas complexos requer. Ela não sabe quais modos de falha são mais importantes para o perfil de risco de uma instituição específica. Ela não interpreta os requisitos regulamentares nem determina quais sistemas de TIC se qualificam como suporte a funções críticas ao abrigo do DORA. Ela não substitui a experiência de domínio das equipas de QA que compreendem como os sistemas da sua instituição se comportam em condições que nenhum sistema automatizado foi treinado para antecipar.

Geração de casos de teste a partir de requisitos — a definição de quais requisitos são relevantes para fins regulatórios ainda exige julgamento humano sobre o perfil de risco específico da instituição ao abrigo do DORA.
Manutenção da cadeia de evidências assinada — A revisão e aprovação em cada etapa ainda requer revisores humanos autorizados com a autoridade institucional para confirmar que um resultado de teste é adequado para o seu propósito regulatório.
Implementação no local — a execução dentro da infraestrutura da própria instituição ainda requer a mesma gestão de alterações, avaliação de segurança e integração operacional que qualquer sistema de produção exige.
Produção de prova de camada regulatória — um programa de conformidade DORA envolve governação, gestão de incidentes, risco de terceiros e requisitos de partilha de informação que se estendem muito para além do que qualquer plataforma de testes aborda.

A questão que clarifica a escolha

Quando falamos com os líderes de QA e CTOs de instituições reguladas sobre a Qualigentic, a conversa que gera mais clareza não é uma comparação de funcionalidades. É esta: quando a sua próxima revisão supervisionada pedir a evidência de testes de resiliência para os seus três sistemas de TIC mais críticos, o que será capaz de produzir e quanto tempo levará para o fazer?

A lacuna de infraestruturas por trás da lacuna de testes

Se a resposta envolver confiança — um registo estruturado, recuperável em minutos, com uma cadeia ininterrupta desde o requisito até ao registo de execução assinado — então a infraestrutura atual é provavelmente adequada. No entanto, se a resposta envolver incerteza sobre onde se encontram os registos, se estão completos ou se satisfazem o formato que um supervisor espera, então a falha não está nos testes em si. Está na infraestrutura construída em torno dos testes — a camada que transforma registos de qualidade de desenvolvimento em provas de qualidade regulamentar.

Essa não é uma lacuna que uma ferramenta genérica de teste de IA melhorada resolve. Em vez disso, requer infraestrutura concebida para os requisitos específicos de uma instituição regulamentada — com implementação on-premise, cadeias de evidências orientadas para a conformidade e fluxos de trabalho de aprovação controlados por RBAC integrados na arquitetura, em vez de adicionados posteriormente.

A escolha entre ferramentas não se trata de qual gera mais casos de teste. Trata-se de qual produz evidências que sobrevivem a uma revisão de supervisão. Em indústrias regulamentadas, esses são produtos diferentes.

Caixa Mágica Software
Caixa Mágica Team
A Caixa Mágica Software é uma empresa portuguesa de software com mais de 20 anos de experiência a fornecer software à medida, soluções de IA e equipas de desenvolvimento *nearshore* para empresas europeias.
Qualigentic · Caixa Mágica Software
QA de IA concebida para os requisitos de evidência das indústrias regulamentadas
Implementação on-premise. Cadeias de prova assinadas desde o requisito até ao registo de execução. Preparado para auditorias DORA, Solvency II e PSD2. Nenhum dado sai do seu perímetro.