A Securities and Exchange Board of India, órgão regulador do mercado de valores mobiliários da Índia, emitiu um alerta para que participantes do setor financeiro revisem imediatamente seus sistemas e práticas de segurança da informação diante do risco de que ferramentas de inteligência artificial voltadas à descoberta de vulnerabilidades, como o Claude Mythos, possam impulsionar uma nova onda de ataques cibernéticos.

O órgão indiano, equivalente à Securities and Exchange Commission dos Estados Unidos e à Financial Conduct Authority do Reino Unido, publicou um comunicado orientando entidades reguladas a tratarem o avanço de modelos de IA para identificação de falhas como um novo vetor de risco. A preocupação central é que esse tipo de tecnologia possa permitir a localização e possível exploração de vulnerabilidades em escala e velocidade muito superiores às abordagens tradicionais.

Segundo o regulador, a rápida evolução de tecnologias emergentes, incluindo ferramentas de identificação de vulnerabilidades conduzidas por IA, introduziu novas dimensões de risco para entidades reguladas. O comunicado cita explicitamente o Claude Mythos como exemplo e alerta que esses modelos podem ampliar a exposição das organizações ao permitir a descoberta rápida de falhas existentes. A autoridade também apontou preocupações relacionadas à confidencialidade dos dados, integridade das aplicações e confiabilidade dos resultados produzidos por sistemas de IA.

Em resposta ao cenário, a Securities and Exchange Board criou uma força-tarefa para examinar os riscos associados a modelos como o Mythos. O grupo deverá compartilhar inteligência de ameaças, reportar incidentes e iniciar uma revisão da segurança cibernética de fornecedores terceirizados de software que atendem tanto o regulador quanto as entidades sob sua supervisão.

A orientação também reforça medidas básicas de segurança da informação, mas com caráter de urgência. Entre as recomendações estão manter sistemas corrigidos com patches atualizados, realizar auditorias para identificar vulnerabilidades, manter inventários de APIs e protegê-las adequadamente, operar um Centro de Operações de Segurança com capacidade efetiva de monitoramento e resposta, além de adotar princípios como redes zero trust e redução da superfície de ataque por meio da execução apenas de serviços essenciais.

O foco em APIs chama atenção porque essas interfaces costumam ser pontos críticos em ambientes financeiros, conectando sistemas internos, plataformas digitais, parceiros, corretoras, serviços de autenticação, dados de clientes e operações transacionais. Em um cenário em que modelos de IA podem acelerar a identificação de falhas, APIs mal documentadas, expostas ou configuradas de forma inadequada tendem a se tornar alvos ainda mais atrativos.

O regulador também orientou os participantes do mercado acionário indiano a acionar seus comitês de TI para emitir diretrizes específicas sobre como mitigar riscos criados por modelos de detecção de vulnerabilidades conduzidos por IA. Além disso, essas entidades devem desenvolver planos para incorporar a própria inteligência artificial como parte de sua estratégia de defesa cibernética.

O comunicado recomenda medidas adicionais, como recalibrar avaliações de risco para ameaças aceleradas por IA, transformar os SOCs com recursos aumentados por inteligência artificial e adotar gestão contínua de vulnerabilidades com o apoio de ferramentas de IA. A lógica é que, se os ataques podem ganhar velocidade e escala com modelos automatizados, a defesa também precisa evoluir para reduzir o tempo entre descoberta, priorização e correção de falhas.

As orientações foram direcionadas a 19 classes diferentes de organizações reguladas, incluindo fundos de venture capital, bancos de investimento, fundos mútuos, bolsas de valores e fornecedores especializados, como agências responsáveis pelo armazenamento de informações de Know Your Customer, processo usado para verificação e identificação de clientes.

A preocupação da Índia acompanha movimentos semelhantes de outros reguladores ao redor do mundo. Nos Estados Unidos, o secretário do Tesouro, Scott Bessent, convocou uma reunião emergencial com bancos do país algumas semanas antes. Reguladores de Singapura adotaram uma postura parecida, enquanto autoridades australianas enviaram aos bancos locais um lembrete firme sobre a necessidade de desenvolver estratégias de IA que considerem os riscos criados pela própria tecnologia. Em Hong Kong, a Autoridade Monetária trabalha em novas orientações de segurança da informação para um cenário influenciado por ferramentas como o Mythos.

A abordagem indiana, no entanto, se destaca por tratar o risco como uma ameaça iminente e ordenar que entidades reguladas adotem medidas preventivas. Em vez de apenas reconhecer os riscos associados à IA, o regulador exigiu ação prática, incluindo revisão de controles, fortalecimento de fornecedores, uso de inteligência de ameaças e atualização da estratégia de defesa.

O alerta reflete uma mudança importante no ambiente de segurança cibernética do setor financeiro. Ferramentas de IA capazes de encontrar vulnerabilidades podem ter aplicações legítimas em testes de segurança, auditorias e gestão de risco. Ao mesmo tempo, quando essas capacidades são acessíveis ou replicáveis por invasores, a janela entre a existência de uma falha e sua exploração pode diminuir significativamente.

Para bancos, corretoras, bolsas, fundos e demais participantes do mercado financeiro, o desafio passa a ser duplo: proteger seus próprios ambientes contra falhas conhecidas e emergentes, e avaliar a cadeia de fornecedores que sustenta aplicações, integrações e serviços críticos. Em mercados altamente regulados, uma vulnerabilidade explorada em um terceiro pode gerar impactos operacionais, financeiros, regulatórios e reputacionais para várias instituições ao mesmo tempo.