O problema da janela de atribuição: responsabilização quando o tempo apaga o fio causal

As decisões médicas desenrolam-se ao longo do tempo. Uma IA de cuidados que ajustou a dose de medicação em março pode ter iniciado um resultado adverso que só aparece em setembro. Um agente de hardware que aceitou uma leitura anómala de calibração num trimestre pode ter permitido a acumulação de desvio num sensor que aciona um alerta clínico três trimestres depois. Um agente de gestão de chaves que aprova hoje um conjunto de parâmetros criptográficos pode criar uma fraqueza que só se torna explorável quando o ambiente externo de ameaça muda daqui a dois anos.

Em cada caso, a cadeia causal é real. A decisão do agente de IA contribuiu para o resultado. Mas a ligação entre decisão e dano é separada pelo tempo, e o tempo, em sentido probatório, é corrosivo. A evidência degrada-se. Os sistemas são atualizados. Outras intervenções ocorrem. Quando o dano se materializa, as condições em que a decisão original foi tomada podem já ser irrecuperáveis.

O que é a janela de atribuição

A janela de atribuição é o intervalo entre a decisão de um agente de IA e o dano para o qual essa decisão contribuiu, o período durante o qual o fio causal pode ser degradado, obscurecido ou cortado. É definida por duas assimetrias. A decisão do agente é instantânea e precisa: um parâmetro específico, num carimbo temporal específico, num contexto específico. O percurso causal dessa decisão até ao dano é temporal e mediado: passa por outros sistemas, outros agentes, outras intervenções e por um mundo que entretanto mudou.

A suposição normal de responsabilização é que as decisões podem ser avaliadas em retrospetiva. O problema da janela de atribuição desafia essa suposição. Quando o percurso causal é suficientemente longo e as mudanças intermédias são numerosas, a avaliação retrospetiva pode deixar de ser tecnicamente viável, não porque os registos se tenham perdido, mas porque os registos sobreviventes já não contêm informação suficiente para reconstruir a contribuição causal de uma decisão isolada.

No cruzamento pós-quântico

A migração pós-quântica introduz calendários de implementação de vários anos, durante os quais escolhas de parâmetros feitas hoje permanecerão em produção muito depois de o ambiente de ameaça ter mudado. Um agente de gestão de chaves que seleciona parâmetros de cifra agora fá-lo num cenário de ameaça que mudará substancialmente antes de essas chaves serem retiradas. Se a escolha se revelar errada, porque um novo resultado criptoanalítico reduziu a margem de segurança presumida ou porque avanços de hardware tornaram prático um ataque teórico, a falha pode só aparecer quando houver exploração.

Demonstrar que a seleção original de parâmetros foi a causa próxima de uma violação posterior exige rastrear uma cadeia causal através de várias gerações de sistemas de auditoria, cada uma com a sua política de retenção e modelo de dados. A janela de atribuição aqui não é um problema de perda de dados. É um problema de arquitetura probatória. Os registos existem, mas as ligações entre eles nunca foram desenhadas para suportar reconstrução causal nessa escala temporal.

No cruzamento de hardware

Agentes de IA embebidos gerem sistemas que se degradam gradualmente. Uma decisão de calibração tecnicamente defensável no momento da implantação pode tornar-se o amplificador de uma trajetória de degradação à medida que o hardware envelhece, as tolerâncias dos componentes derivam e as condições operacionais mudam. O dispositivo não falha de repente: deriva. Cada decisão individual ao longo dessa trajetória é localmente justificável; o efeito acumulado pode ser o que torna a falha final possível.

Quando ocorre uma falha física, determinar se a arquitetura de decisão do agente contribuiu exige reconstruir uma trajetória a partir de medições pontuais recolhidas durante anos de operação. A maioria dos registos de dispositivos foi concebida para diagnóstico em tempo real e perícia ao nível do evento. Raramente foi concebida para reconstrução causal plurianual.

No cruzamento dos cuidados no mundo físico

Sistemas de IA de cuidados operam em ambientes onde as cadeias causais são longas e as intervenções numerosas. Um agente que gere uma condição crónica toma centenas de microdecisões, limites de alerta, critérios de escalamento, momento de transição de cuidados, que isoladamente parecem inconsequentes mas em conjunto moldam uma trajetória de saúde ao longo de meses.

Separar a contribuição da decisão original do agente das contribuições de intervenções posteriores raramente é tecnicamente viável com registos normais. O problema não é ausência de registos, mas ausência do modelo causal que permitiria interpretá-los.

O que a janela de atribuição exige

Fechar a janela de atribuição exige tratar a rastreabilidade causal como uma restrição de desenho, não como um exercício retrospetivo. Isto significa registar não apenas a decisão, mas o modelo causal da decisão: as variáveis ponderadas, os valores de confiança atribuídos e o estado do mundo sobre o qual o agente estava a agir.

Também significa reconhecer que a janela de atribuição é uma superfície de ataque. Um agente malicioso com acesso ao processo decisório pode construir escolhas que produzem dano fora da janela: decisões localmente defensáveis no momento, mas cujas consequências nunca serão conclusivamente rastreadas até à origem.