A Securities and Exchange Board of India emitiu um alerta para que instituições do mercado financeiro revisem imediatamente seus sistemas e práticas de segurança cibernética diante do avanço de ferramentas de inteligência artificial voltadas à descoberta de vulnerabilidades.
O regulador indiano demonstrou preocupação com tecnologias como o Claude Mythos, que podem acelerar significativamente a localização e possível exploração de falhas em sistemas digitais. Segundo o comunicado, modelos baseados em IA representam um novo vetor de risco para organizações reguladas, especialmente em setores altamente conectados e dependentes de APIs e integrações digitais.
A autoridade, equivalente à Securities and Exchange Commission dos Estados Unidos e à Financial Conduct Authority, destacou que a evolução rápida dessas tecnologias pode ampliar a exposição das empresas ao permitir identificação automatizada de vulnerabilidades em escala muito superior às abordagens tradicionais.
Além dos riscos técnicos, o órgão também alertou para possíveis impactos relacionados à confidencialidade de dados, integridade de aplicações e confiabilidade das respostas produzidas por sistemas de inteligência artificial.
Força-tarefa vai revisar riscos e fornecedores
Como resposta ao cenário, a SEBI anunciou a criação de uma força-tarefa especializada para avaliar ameaças associadas a ferramentas de IA utilizadas em segurança ofensiva. O grupo ficará responsável por compartilhar inteligência de ameaças, monitorar incidentes e revisar a segurança cibernética de fornecedores terceirizados que atendem tanto o regulador quanto instituições supervisionadas.
O comunicado também reforça medidas consideradas essenciais para proteção digital, mas agora tratadas como prioridade urgente. Entre as recomendações estão:
- aplicação contínua de patches de segurança;
- auditorias frequentes de vulnerabilidades;
- inventário e proteção de APIs;
- monitoramento ativo por meio de SOCs (Security Operations Centers);
- adoção de arquitetura Zero Trust;
- redução da superfície de ataque por meio da execução apenas de serviços necessários.
APIs se tornam alvo prioritário
O foco em APIs ganhou destaque no comunicado por causa da importância dessas interfaces no setor financeiro. APIs conectam bancos, corretoras, plataformas digitais, sistemas de autenticação, parceiros e aplicações transacionais.
Em um cenário em que modelos de IA conseguem automatizar a busca por vulnerabilidades, APIs mal configuradas, expostas ou pouco documentadas passam a representar riscos ainda maiores para instituições financeiras.
O regulador também orientou que empresas revisem suas estratégias de defesa usando a própria IA como ferramenta de proteção. Entre as recomendações estão a adoção de gestão contínua de vulnerabilidades com suporte de inteligência artificial e o fortalecimento de SOCs com automação avançada para reduzir o tempo entre detecção e resposta a incidentes.
Tendência global de preocupação regulatória
As orientações foram direcionadas a 19 categorias diferentes de entidades reguladas, incluindo bolsas de valores, bancos de investimento, fundos mútuos, fundos de venture capital e empresas responsáveis por processos de Know Your Customer (KYC).
A preocupação da Índia acompanha movimentos semelhantes em outros mercados globais. Nos Estados Unidos, o secretário do Tesouro Scott Bessent convocou recentemente reuniões emergenciais com bancos para discutir riscos ligados à IA. Reguladores de Singapura, Austrália e Hong Kong também iniciaram discussões sobre segurança cibernética em ambientes impactados por ferramentas de inteligência artificial.
No entanto, a postura da Índia chama atenção por tratar o risco como uma ameaça imediata e exigir ações práticas das instituições reguladas, incluindo revisão de controles internos, fortalecimento da cadeia de fornecedores e atualização das estratégias de defesa digital.
Especialistas apontam que ferramentas de IA capazes de localizar vulnerabilidades podem trazer benefícios legítimos para auditorias e testes de segurança. Porém, quando essas mesmas capacidades se tornam acessíveis a criminosos, a janela entre a descoberta de uma falha e sua exploração pode diminuir drasticamente.
Para o mercado financeiro, o desafio agora passa a envolver não apenas a proteção de ambientes internos, mas também a segurança de fornecedores, integrações e serviços terceirizados que sustentam operações críticas em larga escala.
