A Securities and Exchange Board of India emitiu um alerta urgente para instituições do mercado financeiro revisarem imediatamente seus sistemas e práticas de segurança cibernética diante do avanço de ferramentas de inteligência artificial voltadas à descoberta automatizada de vulnerabilidades.
O comunicado destaca a preocupação com modelos de IA como o Claude Mythos, apontados pelo regulador como potenciais aceleradores de ataques cibernéticos devido à capacidade de identificar falhas em aplicações, APIs e infraestruturas em escala muito superior aos métodos tradicionais.
A autoridade indiana, equivalente à U.S. Securities and Exchange Commission nos Estados Unidos e à Financial Conduct Authority no Reino Unido, afirmou que ferramentas de IA para identificação de vulnerabilidades introduzem uma nova dimensão de risco para organizações reguladas.
Segundo o órgão, tecnologias emergentes baseadas em IA podem ampliar significativamente a exposição de empresas ao acelerar a descoberta de falhas existentes, reduzir o tempo necessário para exploração e aumentar o potencial de ataques automatizados. O regulador também destacou preocupações relacionadas à confidencialidade de dados, integridade de aplicações e confiabilidade das respostas produzidas por sistemas de inteligência artificial.
Como resposta, a Securities and Exchange Board of India criou uma força-tarefa especializada para analisar os riscos associados a modelos como o Mythos. O grupo será responsável por compartilhar inteligência de ameaças, reportar incidentes relevantes e revisar a postura de segurança de fornecedores terceirizados que prestam serviços tanto ao regulador quanto às entidades supervisionadas.
O comunicado também determina que instituições financeiras reforcem medidas básicas de cibersegurança com caráter imediato. Entre as recomendações estão aplicação contínua de patches de segurança, auditorias frequentes para identificação de vulnerabilidades, proteção adequada de APIs, monitoramento ativo via SOCs e adoção de arquiteturas baseadas em Zero Trust.
O foco específico em APIs demonstra a preocupação crescente com interfaces que conectam sistemas bancários, plataformas digitais, serviços de autenticação, corretoras, aplicações financeiras e dados sensíveis de clientes. Em cenários impulsionados por IA, APIs mal protegidas ou mal documentadas podem se tornar alvos prioritários para exploração automatizada.
Além disso, o regulador orientou que organizações do mercado acionário acionem seus comitês de tecnologia para desenvolver estratégias específicas voltadas à mitigação de riscos criados por ferramentas de IA ofensiva. As instituições também foram incentivadas a incorporar inteligência artificial em seus próprios mecanismos de defesa, incluindo gestão contínua de vulnerabilidades e modernização de SOCs com recursos automatizados.
A orientação foi enviada para 19 categorias diferentes de entidades reguladas, incluindo fundos de investimento, bancos de investimento, bolsas de valores, fundos mútuos, fintechs e empresas responsáveis por operações de Know Your Customer (KYC), processo utilizado para validação e identificação de clientes no setor financeiro.
A movimentação da Índia acompanha uma tendência crescente entre reguladores globais. Nos Estados Unidos, o secretário do Tesouro Scott Bessent convocou recentemente reuniões emergenciais com bancos para discutir riscos associados à inteligência artificial. Reguladores de Singapura, Austrália e Hong Kong também vêm ampliando exigências relacionadas à segurança cibernética em cenários impactados por IA.
O posicionamento indiano, porém, se diferencia por tratar o avanço dessas tecnologias como uma ameaça imediata e operacional. Em vez de apenas discutir riscos futuros, o regulador exigiu medidas práticas, incluindo revisão de controles internos, fortalecimento da cadeia de fornecedores e atualização urgente das estratégias defensivas.
Especialistas avaliam que o alerta representa uma mudança importante no cenário de segurança do setor financeiro. Ferramentas de IA capazes de identificar vulnerabilidades possuem aplicações legítimas em auditorias e testes de segurança, mas também podem reduzir drasticamente a janela entre descoberta e exploração de falhas quando utilizadas por agentes maliciosos.
Para bancos, corretoras e demais participantes do mercado financeiro, o desafio passa a envolver não apenas a proteção dos próprios ambientes, mas também a análise de risco de fornecedores, integrações e aplicações terceirizadas que sustentam operações críticas. Em ambientes altamente conectados, uma vulnerabilidade explorada em um parceiro pode gerar impactos operacionais, financeiros e regulatórios em múltiplas instituições simultaneamente.
