A 12 de maio de 2026, na sua conferência de imprensa anual, a BaFin juntou-se aos reguladores financeiros internacionais que começaram a alertar formalmente para os riscos que os modelos avançados de inteligência artificial representam para o setor financeiro. A frase do seu presidente, Mark Branson, diz muito com pouco. “Os novos modelos de IA conseguem identificar muitas vulnerabilidades, tanto em sistemas novos como nos já existentes, com uma velocidade notável. E vão conseguir explorá-las cada vez mais depressa.”
O que esse parágrafo diz de forma sóbria, em linguagem regulatória, é que o relógio mudou. Onde antes o tempo de resposta a uma vulnerabilidade se media em meses, agora mede-se em horas. Isto obriga a repensar onde colocamos a atenção quando falamos de cibersegurança bancária.
O que disse a Alemanha e porque importa ao resto da Europa?
A autoridade alemã anunciou duas coisas em simultâneo. Uma era previsível e conhecida; os riscos cibernéticos são “crescentes e consistentes”. A outra é mais interessante. Vai criar uma nova divisão dedicada a inspeções técnicas mais curtas e mais frequentes sobre instituições financeiras concretas. Chamou-lhes “IT spotlight”.
O raciocínio por trás é lógico. Se os atacantes conseguem encontrar e explorar falhas em horas, as auditorias anuais ou trimestrais chegam tarde. Branson disse-o com franqueza. “No passado, os ciclos de patch mediam-se em meses. No futuro terão de ser concluídos em poucos dias, se não em horas.” Uma inspeção que demora seis meses a fechar o seu relatório já não inspeciona o presente. Inspeciona um passado que o mercado deixou para trás.
A mesma lógica está a mover-se para o resto da Europa. A indústria espera que a FCA e a PRA do Reino Unido publiquem nos próximos meses um quadro coordenado sobre risco cibernético induzido pela IA na finança, modelado em boa medida sobre a BaFin. Itália e Espanha, já sujeitas a DORA e à Diretiva NIS2, vão receber pressão semelhante do Banca d’Italia e do Banco de España. A América Latina, com o BCRA na Argentina e a CNBV no México como referências, não opera noutro planeta. As casas-mãe europeias e os processos de auditoria cruzada vão empurrar a mesma exigência.
O que resolvem as inspeções “IT spotlight” e o que deixam de fora
Uma inspeção “IT spotlight” é uma revisão técnica reduzida em alcance, desenhada para fechar em semanas e não em meses. Não substitui as auditorias tradicionais; complementa-as com uma camada mais reativa. A ideia é responder melhor ao que está a acontecer agora.
É um passo na direção certa. Também é um passo parcial.
O alcance da inspeção fica no que se pode medir do lado de fora da pessoa. Uma revisão técnica verifica configurações, patches, segmentação de rede, gestão de identidades, controlos criptográficos. Pode confirmar que todo o perímetro técnico está atualizado. Não pode confirmar que o colaborador que vai receber um email de phishing terça-feira às onze e dez sabe reconhecê-lo, duvidar, reportá-lo, não clicar.
A metáfora do “spotlight” é eloquente sem querer. O holofote ilumina uma parte do palco com muita intensidade. O que fica fora do feixe, fica às escuras.
Onde olham os reguladores e onde golpeiam os atacantes
O Verizon Data Breach Investigations Report de 2025 mantém um dado que se repete, ano após ano, com variações menores. Cerca de 60% das brechas confirmadas envolvem um elemento humano: erro, engenharia social, abuso interno. O número não muda muito porque o vetor não mudou. O que muda é a sofisticação com que se executa cada tentativa.
É isso que acrescenta a IA generativa. Há dois anos atrás, um email de phishing dirigido a um colaborador específico exigia tempo de investigação, ortografia cuidada e conhecimento do contexto da empresa. Hoje um modelo de linguagem gera esse email em segundos, com o tom adequado à indústria, com o cargo correto do destinatário, citando uma reunião real visível no LinkedIn, com o formato exato de comunicação interna que essa entidade usa.
O colaborador recebe um email que parece pensado para ele. Se nunca praticou decidir sob pressão num cenário realista, as firewalls que tem atrás não o vão salvar do clique. A porta abre-se por dentro, sem necessidade de forçar nada.
Há algum tempo escrevemos neste blog sobre porque a IA não pode substituir a orientação humana em programas de consciencialização, e também sobre como integrar o comportamento humano nas estratégias de deteção. O que se assinalava então acelera com cada novo modelo. Os SIEM não veem o que se passa na cabeça do colaborador nos segundos anteriores ao clique.
O que podem fazer hoje as instituições financeiras de Itália, Espanha e América Latina?
A resposta está em construir um programa que treine as pessoas com a mesma frequência e a mesma especificidade com que os atacantes as atacam. Duplicar o orçamento técnico não chega.
Para a realidade regulatória de cada mercado, os passos práticos variam. O princípio é o mesmo.
Em Itália, onde Banca d’Italia e IVASS supervisionam o cumprimento de DORA e das orientações do Banco Central Europeu sobre risco operacional, o fator humano já está nomeado nas pautas. Está nomeado como mais um dado, não como o eixo. Construir um programa de consciencialização mensurável, segmentado por papéis críticos e ligado ao esquema de gestão de risco é o que fecha o círculo entre a auditoria e a operação real.
Em Espanha, onde Banco de España e CNMV replicam o quadro DORA com as próprias inspeções, os achados recorrentes apontam a três lacunas repetidas. As simulações internas existem mas são anuais, os relatórios existem mas ficam ao nível agregado, e os segmentos de maior risco identificam-se tarde. Uma camada de simulação realista, distribuída no tempo, traduz esses achados em métricas que o supervisor consegue ler.
Na América Latina, onde o BCRA na Argentina e a CNBV no México mantêm exigências específicas para entidades financeiras, a lógica é a mesma com menos infraestrutura prévia. O espaço para construir desde o início um programa moderno de defesa contra o risco humano é mais aberto do que na Europa.
Na SMARTFENSE acompanhamos instituições financeiras de Itália, Espanha e América Latina com simulações contextualizadas por setor, módulos formativos em língua local e relatórios que ligam os resultados de campanha a perfis de risco individuais. A plataforma foi desenhada para que uma equipa de segurança consiga manter a cadência que um regulador atento já começa a exigir.
A regra nova. Medir a resiliência humana ao ritmo da IA
Branson fechou com uma frase que vai ser muito citada. No passado, os ciclos de patch mediam-se em meses; no futuro, em horas. Toda a atenção mediática vai para a velocidade de resposta técnica, e com razão.
Há um corolário que aparece pouco. Se o ciclo do patch passou de meses a horas, o ciclo de medição do fator humano tem de mover-se na mesma direção. Uma simulação de phishing anual funciona como evento isolado. Chega tarde ao risco que pretende controlar.
O que muda, então, vai além dos reguladores. Muda o relógio sobre o qual as áreas de segurança medem a própria gente. A regulação é o sinal externo. A pergunta interna é outra. Com que frequência consegues dizer ao teu CEO o quanto subiu ou desceu a resiliência de cada equipa face à última geração de ataques, em vez de mostrar um dado semestral?
Essa pergunta anda há tempos. A diferença é que agora a resposta importa mais, e a tecnologia para responder está disponível. A defesa ativa contra o risco humano funciona como superfície operacional concreta. É onde um programa bem desenhado consegue produzir melhorias visíveis entre uma inspeção e a seguinte.
Deixe um comentário