Uma instituição financeira dos Estados Unidos reportou a si própria à SEC, órgão regulador do mercado financeiro norte-americano, após identificar que dados confidenciais de clientes foram inseridos em uma aplicação de inteligência artificial não autorizada pela organização.

O caso envolve o Community Bank, banco regional com operações nos estados da Pensilvânia, Ohio e Virgínia Ocidental. A empresa informou que iniciou uma investigação interna sobre o incidente e decidiu formalizar a ocorrência por meio de um documento 8-K enviado à Securities and Exchange Commission (SEC), devido ao “volume e à natureza sensível das informações não públicas” envolvidas.

Segundo o comunicado, os dados expostos incluem nomes de clientes, datas de nascimento e números de Social Security Number (SSN), equivalente ao CPF nos Estados Unidos. O banco não revelou quantas pessoas foram afetadas nem forneceu detalhes técnicos adicionais sobre o vazamento.

A instituição também não especificou qual era a “aplicação de software baseada em IA não autorizada” utilizada internamente. Ainda assim, a descrição do incidente levanta a possibilidade de que funcionários tenham inserido informações sigilosas em ferramentas de IA generativa fora do ambiente corporativo aprovado pela instituição.

Caso esse cenário seja confirmado, especialistas apontam que os dados podem ter sido transmitidos para plataformas terceirizadas de inteligência artificial, o que abre discussões sobre retenção, processamento e possível reutilização dessas informações pelos provedores dos serviços.

Nos Estados Unidos, números de Social Security são considerados dados extremamente sensíveis e estão protegidos por diversas legislações estaduais e federais. Vazamentos desse tipo podem aumentar significativamente o risco de fraude financeira, roubo de identidade e golpes direcionados contra clientes.

O episódio também reforça uma preocupação crescente no setor financeiro: o uso não controlado de ferramentas de IA generativa dentro de ambientes corporativos. Nos últimos meses, empresas de diversos segmentos passaram a restringir ou monitorar o uso de plataformas de IA por colaboradores após casos envolvendo exposição involuntária de código-fonte, documentos internos, dados financeiros e informações pessoais.

Apesar do incidente, o Community Bank afirmou que não houve impacto operacional. Segundo a instituição, os clientes continuaram tendo acesso normal às contas e aos serviços de pagamento durante toda a investigação.

O banco informou ainda que está avaliando quais dados foram efetivamente afetados e conduzindo as notificações obrigatórias conforme exigências regulatórias e leis federais e estaduais aplicáveis. A organização também confirmou que segue em contato com reguladores bancários e financeiros dos Estados Unidos enquanto implementa medidas corretivas para evitar novos incidentes.

O caso evidencia um desafio crescente para instituições financeiras e empresas altamente reguladas: equilibrar o uso de inteligência artificial com políticas rígidas de governança, classificação da informação e prevenção contra vazamento de dados sensíveis. Sem controles claros, ferramentas de IA podem acabar se tornando um novo vetor de exposição involuntária de informações críticas.