Banca preocupada com risco da IA expor falhas na segurança

O mais recente modelo de inteligência artificial (IA) da Anthropic, denominado Mythos, tem gerado grande preocupação no setor bancário mundial devido às suas capacidades avançadas de detetar e, potencialmente, explorar vulnerabilidades de segurança informática.
O Mythos pode deixar os servidores dos bancos mais vulneráveis, e o tema não passou despercebido às instituições portuguesas.
Com as implicações para a cibersegurança do Claude Mythos, o novo modelo de IA da Anthropic, na ordem do dia, o Jornal Económico questionou vários bancos portugueses sobre o risco que o Mythos representa para a segurança do sistema bancário global, tendo em conta a sua capacidade de expor fragilidades na ciberdefesa das instituições financeiras.
A Caixa Geral de Depósitos explicou que “a cibersegurança constitui uma prioridade estratégica”.
“Neste âmbito, os desenvolvimentos em inteligência artificial e noutras tecnologias emergentes são acompanhados de forma contínua para a gestão do risco tecnológico, com adaptação permanente dos mecanismos de prevenção, mitigação e resposta a ciberameaças”, sublinha o banco liderado por Paulo Macedo.
A CGD acrescenta que “este trabalho é desenvolvido por equipas especializadas, em articulação regular com as autoridades de supervisão e através da participação em fóruns nacionais e europeus do setor financeiro, assegurando uma abordagem prudente, coordenada e compatível com o enquadramento regulatório”.
De forma geral, a Caixa entende que “a utilização responsável e segura da tecnologia de inteligência artificial pode contribuir para a melhoria dos mecanismos de controlo de riscos — em particular no domínio da cibersegurança —, bem como para o serviço ao cliente e a eficiência dos seus processos”, sublinha o banco.
Já uma fonte oficial do Millennium BCP afirma que “a segurança é essencial em todas as atividades do setor financeiro, tanto online como offline, e está integrada em tudo o que fazemos. Proteger os clientes, os dados e as operações exige processos seguros, tecnologia fiável e atenção constante”.
“É também fundamental acompanhar de forma contínua potenciais ameaças como ciberataques, fraude e riscos operacionais, para antecipar problemas e agir de forma eficaz”, defende o BCP que acrescenta que “esta abordagem inclui ainda o acompanhamento da evolução tecnológica, a colaboração com as entidades reguladoras e o uso responsável e ético da inteligência artificial, garantindo transparência, proteção de dados e adequada supervisão humana”.
Quando a Anthropic revelou o Claude Mythos — uma variante da sua inteligência artificial concebida especificamente para localizar falhas de segurança complexas —, o modelo identificou rapidamente “milhares de vulnerabilidades de dia zero” (zero-day) de elevada ou crítica severidade em praticamente todos os principais sistemas operativos e navegadores web.
Trata-se de um modelo tão poderoso que a Anthropic o considerou demasiado perigoso para uma disponibilização generalizada. Por isso, o Mythos foi disponibilizado apenas a um grupo restrito de cerca de 40 empresas, incluindo gigantes como Amazon, Apple e o banco JPMorgan Chase, permitindo que estas testem o modelo e corrijam vulnerabilidades antes de um eventual lançamento mais alargado.
Os riscos do Mythos deixaram o Banco Central Europeu (BCE) em alerta que já reuniu bancos da Zona Euro para discutir estes riscos.
Isto depois de as autoridades dos Estados Unidos, como o secretário do Tesouro, Scott Bessent, e o presidente da Reserva Federal, Jerome Powell, alertarem para os riscos que esta tecnologia representa para a infraestrutura digital dos bancos.
Também gestores executivos de bancos americanos foram convocados para reuniões de urgência no Departamento do Tesouro.
O CEO do Goldman Sachs, David Solomon, declarou mesmo que o banco está “hiperatento” às capacidades do novo modelo Mythos.
Entretanto, reguladores financeiros do Reino Unido iniciaram uma corrida contra o tempo para avaliar os riscos de cibersegurança associados a este recente modelo da Anthropic. A movimentação envolve discussões urgentes entre o Banco de Inglaterra (BoE), a Autoridade de Conduta Financeira (FCA), o Tesouro de Sua Majestade e o Centro Nacional de Segurança Cibernética (NCSC).