Governador do Banco da Inglaterra pede avaliação urgente de riscos cibernéticos para bancos do modelo IA Mythos da Anthropic

André Bailey, governador do Banco da Inglaterra, pediu aos reguladores globais que avaliem rapidamente a ameaça que o modelo de IA Mythos da Anthropic pode representar para os bancos. Esta declaração em si é importante não apenas pela menção de uma empresa ou modelo específico. Ela sinaliza que a discussão sobre inteligência artificial no setor financeiro está se deslocando de questões de eficiência e automação para preocupações com resiliência cibernética e risco sistêmico.

Para bancos centrais e autoridades de supervisão, o foco agora não é apenas no potencial da IA, mas em quão rapidamente ela poderia alterar o perfil de ameaças para as maiores organizações financeiras. Bailey comanda um dos principais bancos centrais do mundo, e seus avisos públicos são tipicamente interpretados como um sinal para a comunidade reguladora mais ampla. Quando se trata de risco cibernético, as preocupações não são sobre abstratos "levantamentos de máquinas" mas sobre cenários mais concretos: aceleração de ataques de phishing, automação de reconhecimento de vulnerabilidades, geração de código malicioso, contorno de procedimentos internos e redução de custos para ataques sofisticados por atores maliciosos.

Os bancos são particularmente sensíveis a tais mudanças porque simultaneamente gerenciam dinheiro, infraestrutura crítica de pagamentos e vastos acervos de dados confidenciais. Significativamente, Bailey está falando especificamente sobre uma resposta reguladora global. Bancos grandes operam em múltiplas jurisdições, dependem de serviços em nuvem internacionais, estão conectados a canais de pagamento compartilhados e usam longas cadeias de fornecedores externos de tecnologia.

Se um poderoso sistema de IA reduz a barreira de entrada para ataques cibernéticos ou acelera a preparação de operações complexas, o problema não permanece localizado. Um elo fraco em um país ou com um contratante pode rapidamente se tornar um problema para fluxos financeiros transfronteiriços. Por isso a ideia de avaliação rápida soa como um chamado à coordenação, não simplesmente outro relatório interno.

A menção a Mythos também é reveladora. Reguladores frequentemente discutem IA como uma classe de tecnologias mas raramente apontam publicamente para um modelo específico que exija avaliação urgente de riscos. Isto indica que o foco está se deslocando gradualmente de princípios gerais para análise prática das capacidades de um produto: quão autonomamente ele pode executar cadeias de ações, como se sai com tarefas técnicas, se pode usar ferramentas externas, como escala o uso indevido potencial e quão rapidamente suas capacidades melhoram de versão para versão.

Tal abordagem não equivale a acusar o desenvolvedor de criar uma ferramenta perigosa. Mais bem, reflete o reconhecimento de que as capacidades do modelo em si estão se tornando uma questão de supervisão financeira. Para os bancos, tais sinais significam que a higiene cibernética formal sozinha não é mais suficiente.

Eles provavelmente precisarão reavaliar controles de acesso, processos para uso de funcionários de serviços de IA externos, verificação de contratantes, testes de cenários de fraude, proteção de repositórios internos de código e qualidade de monitoramento de atividades incomuns. Ao mesmo tempo, a IA complica o cenário porque as mesmas tecnologias podem simultaneamente fortalecer tanto a defesa quanto o ataque. Sistemas que ajudam analistas a detectar rapidamente anomalias e automatizar investigações poderiam potencialmente também acelerar a preparação de ataques mais precisos e em larga escala.

Por causa disso, o velho modelo de auditorias infrequentes e atualização lenta de requisitos parece cada vez mais insuficiente. A declaração de Bailey pode ser lida como um marcador inicial de uma nova fase de regulação: IA em finanças agora está sendo vista não apenas através da lente de inovação mas também através da lente de resiliência operacional. Se os reguladores globais realmente acelerarem tal avaliação, os bancos provavelmente enfrentarão requisitos mais rigorosos para testes, divulgação e gerenciamento de dependências tecnológicas externas.

Se não, a vantagem em velocidade pode estar com os atacantes. A questão central aqui não é se o setor financeiro precisa de IA, mas se as regras e medidas de proteção conseguem acompanhar o ritmo de desenvolvimento dos próprios modelos.