Tenho falado bastante nos últimos tempos sobre a IA e seus riscos, e aliás acho que vamos continuar falando ainda mais sobre este tema, que deve ser recorrente diante primeiro da novidade do mesmo, assim como do crescimento do uso da IA cada dia mais em tudo, e por fim pelas incertezas e novos riscos que isto traz junto com todas estas oportunidades e moda, mas hoje queria focar em algo que ainda não abordei sobre este tema da IA que é uma visão do Risco Sistêmico.
Como disse este avanço acelerado da inteligência artificial (IA) e sua aplicação em larga escala nos mercados financeiros representam possivelmente uma das transformações mais disruptivas e estratégicas da história recente do sistema financeiro internaciona, aonde este tema deixou há muito tempo de ser um exercício meramente tecnológico ou de eficiência operacional. Com a incorporação da IA nas estruturas de decisão, nos modelos de crédito, nos algoritmos de precificação, nos sistemas de monitoramento de fraudes, nas operações de negociação e nos próprios produtos financeiros transformou a IA em um componente estrutural da arquitetura financeira contemporânea.
Entretanto a medida que as instituições financeiras migram rapidamente para modelos de negócio que dependem de IA, inclusive como tenho percebido de que muitas vezes até mesmo sem compreender plenamente os seus mecanismos, limitações e riscos, o debate prudencial, regulatório e de estabilidade financeira sobre os impactos dessa nova tecnologia atingiu um novo patamar de urgência e complexidade.
Acho que podemos dizer de que de forma estratégica e agora até principalmente sistemática, que a IA, além de seus indiscutíveis benefícios, passou a ser considerada também um novo fator de riscos sistêmicos, ou seja deixou de ser apenas uma ferramenta de inovação e eficiência para se tornar simultaneamente uma fonte potencial de instabilidade estrutural do sistema financeiro, caso sua adoção não seja acompanhada de governança robusta, controles eficazes, supervisão adequada e compreensão técnica aprofundada, e vou tentar explicar melhor por que neste texto.
A velocidade com que a IA está se expandindo, combinada com sua capacidade de atuar de forma autônoma, sua opacidade algorítmica e a elevada concentração dos provedores de modelos, que está criando um novo tipo de fragilidade estrutural, que não se manifesta apenas no nível das instituições isoladas (risco microprudencial), mas que se configura como vulnerabilidade do sistema financeiro como um todo (risco macroprudencial ou sistêmico), e disto que queria refletir mais hoje.
Essa constatação tem enorme relevância prática, sobretudo porque o histórico recente do sistema financeiro global já demonstrou, com a crise do mercado financeiro de 2008, que inovações financeiras desprovidas de adequada gestão de riscos, como securitizações mal calibradas, uso indiscriminado de ratings, excesso de confiança em modelos quantitativos e dependência de dados enviesado, podem rapidamente gerar choques de liquidez, perdas massivas, efeito contágio e perda de confiança sistêmica.
Estou falando aqui de quase como uma antecipação de um novo "Rinoceronte Cinza", em um evento de risco previsível, crescente e mal endereçado, que pode se materializar em futuras crises financeiras derivadas do mau uso da IA.
Queria então falar de algumas do que considero as principais fontes desses novos riscos agrupando em 4 grandes blocos de riscos, que seriam:
O uso da IA em decisões financeiras essenciais (crédito, seguros, modelagem de risco).
O uso da IA nos mercados financeiros (trading, investimentos, algoritmos autônomos).
A dependência de provedores externos de IA (concentração operacional e risco de falha).
O aumento dos riscos cibernéticos potencializados pela IA (fraudes, ataques, manipulações).
Vou então tentar detalhar os mecanismos desses riscos, e dar uma visão estratégica da resposta regulatória necessária com o monitoramento contínuo, desenvolvimento de capacidades internas pelas instituições, criação de arranjos de governança de IA, avaliação de resiliência dos fornecedores, simulações de estresse específicas, coleta de dados incidentais e diálogo público-privado.
Importante entender de que apesar de que muitos dos riscos associados à IA não se manifestarão de imediato, mas podem sim pior ainda se acumular de forma silenciosa, invisível e latente, até que um evento extremo, que seria um eventual choque de mercado, uma vulnerabilidade cibernética explorada ou uma falha sistêmica de um provedor, e que atue como gatilho para sua materialização.
Esse é justamente o desafio de todos, mas em especial da supervisão macroprudencial do Banco Central do Brasil de conseguir antecipar riscos de baixa frequência, mas de altíssimo impacto, que nascem da interação entre novas tecnologias, estruturas de mercado e comportamentos coletivos.
O Uso Crescente da IA na Tomada de Decisões Financeiras Essenciais e os seus Benefícios Reais, mas também seus Riscos Sistêmicos:
O primeiro e mais importante fator de riscos é a crescente utilização da inteligência artificial (IA) pelas instituições financeiras em processos decisórios diretamente relacionados à concessão de crédito, à precificação de seguros, à modelagem de riscos e ao desenvolvimento de produtos financeiros, que se trata de uma mudança de paradigma operacional e estratégico no setor financeiro global, com potenciais benefícios significativos, mas também com a introdução de novos riscos, em que muitos dos quais ainda pouco visíveis, difíceis de mitigar e, principalmente, com elevada capacidade de gerar efeitos sistêmicos.
Tradicionalmente as decisões financeiras críticas como por exemplo a aprovação de um crédito, ou a definição do preço de um seguro, e mesmo a modelagem de um risco, eram baseadas apenas em modelos estatísticos relativamente transparentes, regras de negócio bem estabelecidas e julgamento humano qualificado. Mas agora com a entrada da IA nesses processos, esta alterando radicalmente essa dinâmica por três razões principais, começando pelo volume de dados analisados, depois a velocidade de processamento, e também na capacidade de aprendizado autônomo dos modelos.
Sempre bom não esquecer o outro lado desta equação com os benefícios potenciais dessa transformação como a potencial ampliação o acesso a produtos financeiros, ou a melhoraria na qualidade da precificação de crédito e seguros, e de tentar reduzir vieses tradicionais, além de tornar os produtos mais personalizados e adequados às necessidades dos clientes, e ainda principalmente neste primeiro momento umentar a eficiência operacional das instituições.
Porém infelizmente muitas instituições financeiras ainda subestimam de que o uso da IA nesses processos críticos também altera a natureza dos riscos envolvidos, principalmente quando observados sob a ótica da estabilidade financeira sistêmica.
Neste sentido queria comentar de que na minha visão os principais novos riscos emergentes estão concentrados em três dimensões:
Riscos Relacionados aos Modelos de IA
Os modelos de IA mais avançados, em especial os sistemas agentic (capazes de tomar ações autônomas) e generativa (capazes de produzir novas informações), possuem características inéditas que dificultam o controle e a supervisão, como a falta de explicabilidade, em que muitos modelos operam como caixas pretas, produzindo resultados cujas lógicas internas não são transparentes nem mesmo para os seus desenvolvedores. Além de um comportamento dinâmico e não-determinístico, aonde os modelos de IA atualizam suas premissas com dados em tempo real, podendo modificar seu comportamento ao longo do tempo de formas não previstas originalmente. Assim com a dificuldade de validação robusta, em que muitas vezes os testes tradicionais de modelos financeiros, baseados em validação histórica e backtesting, muitas vezes não são suficientes para capturar a complexidade dos novos modelos de IA. Por fim e não menos preocupante uma autonomia excessiva em que em determinados cenários, os modelos podem passar a tomar decisões financeiras de impacto relevante (por exemplo, negar um crédito ou alterar o preço de um seguro) com pouca ou nenhuma intervenção humana, o que agrava o risco de decisões não desejadas ou mal calibradas.
Riscos Relacionados aos Dados Utilizados na IA
A qualidade e a integridade dos dados utilizados nos modelos de IA se tornam variáveis críticas para a segurança do sistema financeiro, em que a utilização de grandes volumes de dados, muitas vezes extraídos de fontes externas e não tradicionais (dados alternativos), aumenta o risco de contaminação, viés e manipulação. Tem ainda a ausência de governança adequada dos dados pode levar à utilização de informações desatualizadas, enviesadas ou imprecisas, e em casos extremos, ataques cibernéticos podem contaminar datasets críticos, induzindo o modelo a conclusões erradas e gerando decisões financeiras incorretas em escala.
Riscos Relacionados à Interdependência dos Modelos
Talvez o risco mais sistêmico de todos seja risco de modelo comum, ou na prática a interdependência dos modelos, aonde o que está em jogo aqui é o fato de que muitas instituições estão utilizando modelos de IA construídos a partir dos mesmos fornecedores, com as mesmas arquiteturas, e frequentemente com datasets muito semelhantes, o que o cria uma nova forma de fragilidade estrutural.
Pois se um viés, erro ou falha técnica estiver presente nesses modelos, seu impacto não será limitado a uma única instituição, mas se espalhará rapidamente pelo mercado financeiro. Assim como a consequência prática é a possibilidade de erro coletivo na precificação de crédito, no cálculo de riscos ou na definição de parâmetros de seguros, afetando simultaneamente diversas instituições.
Podemos dizer de que esse fenômeno se assemelha ao menos conceitualmente, ao que ocorreu na crise de 2008, em que lá os modelos de risco de crédito que subestimaram a probabilidade de inadimplência dos ativos estruturados, logicamente de que aqui a diferença é que com IA esse risco é potencialmente muito mais rápido e automatizado.
As Consequências Sistêmicas Desse Novo Cenário
A materialização desses riscos pode gerar uma série de impactos adversos com características tipicamente sistêmicas, tais como uma perda repentina de acesso ao crédito para determinados segmentos da população ou empresas, por decisões automatizadas mal calibradas, e a concentração excessiva do crédito ou dos seguros em determinados perfis de clientes, com exclusão financeira de grupos inteiros. Assim como a perda de confiança dos clientes e do mercado nas decisões baseadas em IA, em função de erros massificados, e o surgimento de litígios e processos legais em larga escala contra instituições financeiras por alegados vieses, discriminações ou erros cometidos por modelos de IA. Tem ainda a redução da liquidez e da disponibilidade de crédito no sistema, em função da revisão dos modelos e da necessidade de ajustes emergenciais e os possiveis efeitos de contágio e propagação do problema para outras instituições, mercados ou segmentos, especialmente se os mesmos modelos ou dados estiverem amplamente disseminados.
A Necessidade de Governança Robusta e Supervisão Pró-Ativa
A dica aqui é que para a mitigação desses riscos devemos para começar fortalecimento das práticas de governança de modelos de IA, dando uma maior transparência sobre o funcionamento dos modelos e dados utilizados, com limitações claras à autonomia dos modelos em decisões críticas. Sem esquecer de fazer testes de robustez, cenários adversos e validação contínua dos modelos, com a a adoção de accountability explícita para as decisões automatizadas, e revisão dos contratos com fornecedores externos de IA. Fundamental a criação de mecanismos internos de explicabilidade e mais ainda no desenvolvimento de capacidade interna para compreensão e auditoria dos modelos.
Mas depois de falar tudo isto, fioco com a sensação de que o atual arcabouço regulatório tradicional, ainda que importante, pode não ser suficiente para lidar com a complexidade dos riscos de IA, e que por tudo isto acima será necessário evoluir para frameworks de supervisão específicos, alinhados com a nova realidade tecnológica e adaptados à velocidade de transformação dos modelos. Será que veremos Basiléia 4 focada em riscos de IA no mercado financeiro?
A Utilização Crescente da Inteligência Artificial nos Mercados Financeiros e a Busca por Eficiência Operacional sem esquecer do Risco Sistêmico de Comportamento de Manada
O segundo fator crítico que precisamos nos preocupar diria de que pe um fenômeno que vem se intensificando de maneira silenciosa, porém estrutural no funcionamento dos mercados financeiros globais, que é o uso cada vez mais sofisticado da inteligência artificial (IA) na formulação de estratégias de investimento, na execução de operações de trading e no desenvolvimento de algoritmos autônomos para análise e tomada de decisão em ambientes de alta volatilidade e competição extrema, que embora traga evidentes ganhos de eficiência, liquidez e rapidez nas operações, também carrega um potencial de risco sistêmico profundamente preocupante, especialmente quando se analisa o efeito coletivo e simultâneo do comportamento das máquinas, em oposição à ação isolada de investidores humanos.
Tradicionalmente os mercados financeiros sempre incorporaram elementos de automação, modelagem quantitativa e uso de dados na formulação de estratégias de investimento. O diferencial é que a atual geração de IA utilizada nos mercados, particularmente em fundos de hedge sistemáticos, em empresas de trading algorítmico de alta frequência e em gestoras de ativos, ultrapassa as fronteiras dos modelos estatísticos convencionais, migrando para estruturas baseadas em machine learning, deep learning e redes neurais, que são capazes de capturar padrões ocultos, interpretar dados não estruturados e adaptar suas estratégias de forma autônoma em tempo real.
Este novo estágio tecnológico está ampliando o leque de fontes de dados utilizadas pelos algoritmos, aonde já não se trata apenas de indicadores econômicos clássicos ou preços históricos de ativos, mas agora este novos modelos de IA estão sendo alimentados por exemplo com informações capturadas em redes sociais, fóruns online, comportamentos de navegação na internet, sentimentos extraídos de textos, imagens, vídeos e até sinais alternativos de atividade econômica (como dados de mobilidade ou imagens de satélite). Essa capacidade de lidar com dados não convencionais ampliou significativamente a velocidade de resposta dos algoritmos às mudanças de mercado, permitindo identificar oportunidades e riscos antes dos investidores tradicionais.
Mas importante não esquecer de que todo esse avanço tecnológico tem sim um alto risco oculto, que é a possibilidade real e crescente de que em situações de estresse de mercado os modelos de IA, por serem treinados de maneira semelhante, operarem com dados parecidos e buscarem padrões convergentes, acabem se comportando de maneira extremamente correlacionada. Em outras palavra, os algoritmos ao captarem os mesmos sinais de deterioração dos mercados, podem iniciar vendas ou compras em massa de ativos de forma simultânea, amplificando volatilidade, colapsando liquidez e desencadeando movimentos de preços com velocidade e intensidade inéditas.
Esse fenômeno do "comportamento de rebanho" já é conhecido dos reguladores e pesquisadores de mercados, mas agora o grande diferencial no contexto da IA é que essa dinâmica passa a ocorrer não mais por uma decisão consciente de investidores humanos imitando estratégias bem-sucedidas, mas por uma ação automática, rápida e massificada de sistemas algorítmicos que respondem de maneira muito similar a determinados sinais do mercado.
Em condições normais o uso da IA pode de fato aumentar a eficiência dos mercados, reduzindo spreads, melhorando a precificação dos ativos e ampliando a liquidez, mas em cenários de crise, esse mesmo grau de automação e comportamento correlacionado pode sim se transformar em um fator de desestabilização, trazendo este paradoxo em que:
O que é virtuoso em tempos estáveis se torna um risco grave em situações de stress de mercado.
A materialização desse risco pode ocorrer por exemplo em eventos de stress repentinos, como choques geopolíticos, crises de liquidez, colapsos setoriais ou mudanças abruptas nas condições macroeconômicas. Nessas circunstâncias os algoritmos de IA, ao detectarem os mesmos sinais de deterioração (ex: aumento de volatilidade, fuga de capitais, queda de preços de determinados ativos), podem iniciar, de forma automática, a liquidação de posições (os chamados "fire sales"), exacerbando a velocidade de queda dos preços e a propagação do choque para diversos mercados.
Esse risco é ainda mais crítico em ambientes de elevada alavancagem, como fundos de hedge sistemáticos ou gestoras que operam com margem reduzida, pois a deterioração dos preços ativa mecanismos automáticos de stop-loss, chamadas de margem e liquidações forçadas, alimentando um círculo vicioso de pressão vendedora.
O risco de comportamento de manada não se limita apenas a uma classe de ativos ou a um mercado ou país, mas a interconexão dos mercados, a presença de grandes players globais e o uso de IA por múltiplas instituições em diferentes geografias podem gerar contágio para outros mercados, incluindo títulos soberanos, crédito corporativo, moedas e commodities. O efeito final seria a transmissão rápida do choque para o sistema financeiro real, afetando a oferta de crédito, o custo de capital e a estabilidade macroeconômica.
Outro elemento que agrava o risco sistêmico é a possibilidade, que inclusive já é tecnicamente viável, de que algoritmos de IA mais avançados passem a identificar e explorar de forma autônoma as vulnerabilidades nos próprios mercados ou nos sistemas de outros participantes. Estou falando de cenários em que modelos de IA podem por exemplo perceber que determinadas estratégias de seus concorrentes se tornam vulneráveis em situações de stress, e deliberadamente adotar posições que acelerem a deterioração desses concorrentes, o que seria até um comportamento racional do ponto de vista algorítmico, mas profundamente desestabilizador do ponto de vista da estabilidade sistêmica.
Não podemos descartar inclusive a hipótese de que algoritmos de IA possam inadvertidamente, colidir com normas de conduta de mercado ou mesmo incorrer em práticas que se assemelham à manipulação de preços, não por intenção humana direta, mas por aprendizado autônomo a partir de padrões que maximizam lucros em curto prazo.
Acredito de que a supervisão tradicional do mercado financeiro ainda não está plenamente preparada para lidar com esse novo perfil de riscos, e o que vejo é um enorme desafio regulatório, pois os mecanismos clássicos de monitoramento (ex: análise de dados históricos, fiscalização ex post, auditorias pontuais) já são insuficientes diante da velocidade, complexidade e opacidade dos modelos de IA.
Por isto tudo de que acredito de que será necessário uma evolução para um modelo de supervisão mais orientado à análise estrutural dos riscos de comportamento coletivo, que precisa dar mais atenção ao mapeamento a concentração dos fornecedores de modelos de IA utilizados no mercado, assim como avaliar a similaridade dos datasets de treinamento, e conseguir identificar graus de correlação estrutural entre as estratégias algorítmicas, e até de realizar simulações de estresse específicas para ambientes com predomínio de IA. Assim como de estabelecer exigências de transparência mínima sobre o funcionamento dos algoritmos, e incentivar práticas da decisão final ser humana ou ter algum tipo de interação, garantindo supervisão humana nas decisões de maior impacto.
Além disso importante contar com uma cooperação internacional, dada a natureza global dos mercados financeiros e o caráter transfronteiriço dos principais players que operam com IA. O compartilhamento de informações, a padronização mínima de requisitos prudenciais para IA e a construção de protocolos comuns de supervisão são apontados como caminhos fundamentais para mitigar os riscos emergentes.
Embora o uso da IA nos mercados financeiros seja irreversível e traga ganhos relevantes, o custo de uma supervisão defasada pode ser extremamente elevado, até mesmo por que a experiência histórica recente já demonstrou que a combinação de tecnologia financeira sofisticada, elevada alavancagem, opacidade de modelos e comportamento correlacionado pode ser o catalisador de crises profundas, com impactos não apenas sobre o sistema financeiro, mas sobre a economia real, a confiança dos agentes e a própria estabilidade social.
Como já disse no caso das Criptos, e repito mais uma vez de que:
O papel dos reguladores portanto não é conter a inovação, mas garantir que ela ocorra dentro de um arcabouço de segurança, governança e responsabilidade compatível com o grau de risco que a IA passou a representar para a infraestrutura crítica dos mercados globais.
Riscos Operacionais Decorrentes da Dependência de Provedores Externos de Inteligência Artificial e uma Nova Fragilidade Sistêmica na Infraestrutura do Sistema Financeiro
O terceiro fator crítico que queria comenta, de que embora muitas vezes ainda subestimado por conselhos de administração e comitês de riscos, mas que au meu ver tem um potencial sistêmico crescente e altamente preocupante, é a elevação expressiva da dependência das instituições financeiras em relação a provedores externos de serviços de inteligência artificial (IA), em um cenário global de concentração tecnológica, oligopolização de mercado e infraestrutura digital altamente interconectada.
Em sua essência este risco operacional não nasce da IA em si, mas do modelo predominante de acesso e utilização das soluções de IA mais avançadas, que exige em praticamente todos os casos, o uso intensivo de serviços prestados por terceiros, fora do perímetro de controle direto das instituições financeiras. Estamos falando aqui não apenas de fornecedores tradicionais de tecnologia, mas sobretudo de grandes players globais que operam como provedores exclusivos ou majoritários de modelos fundacionais de IA (Large Language Models ou "LLMs"), muitas vezes acessados via API em nuvem, em uma infraestrutura de cloud computing que hospedam e operam os modelos. Além dos serviços de treinamento, customização e adaptação de modelos às realidades específicas das instituições, e das plataformas de integração entre IA e os sistemas legados das empresas. Falo também dos fornecedores de bases de dados em larga escala, essenciais para alimentar os modelos com dados atualizados, diversificados e de qualidade.
Esse ecossistema de provedores de IA vem se consolidando de maneira rápida e global, resultando em um mercado altamente concentrado, onde poucos players dominam a oferta dos modelos e da infraestrutura necessária para seu funcionamento. Essa realidade cria portanto um risco de concentração operacional de enormes proporções, cuja materialização pode ter impactos gravíssimos sobre a continuidade dos serviços financeiros, a disponibilidade de produtos e a estabilidade dos mercados.
O risco não está apenas na possibilidade, cada vez mais real, de falhas tecnológicas, indisponibilidade ou incidentes operacionais nos serviços prestados por esses provedores, mas ele esta também em outros elementos estruturais, tais como o poder de mercado crescente desses fornecedores, que pode limitar o poder de barganha das instituições financeiras, ou a dificuldade prática de realizar uma migração rápida para outros provedores em caso de incidente ou descontinuidade de serviço. Sem falar da opacidade dos modelos operacionais, das cadeias de subcontratação e dos mecanismos internos de segurança dos provedores, e da presença de riscos geopolíticos, regulatórios ou cibernéticos que possam afetar provedores situados em determinados países. Tem ainda para piorar a interconexão global dos sistemas, em que um incidente localizado em um provedor pode gerar efeitos cascata em diferentes regiões ou segmentos.
As instituições financeiras ao migrarem parte relevante de suas operações críticas para estruturas de IA fornecidas externamente estão na prática criando novos pontos únicos de falha dentro da arquitetura do sistema financeiro, em que esse fenômeno é amplificado pela tendência de adoção de modelos de IA fundacionais comuns, desenvolvidos por poucas empresas globais, muitas vezes baseados em arquiteturas proprietárias, difíceis de replicar ou substituir rapidamente.
Em um cenário adverso como por exemplo um ataque cibernético bem-sucedido contra um grande provedor de LLM, ou ainda uma falha massiva na infraestrutura de cloud computing, ou quem saber uma sanção geopolítica que impeça a operação de um provedor global, o impacto potencial pode ser devastador.
Podemos pensar nas seguintes consequências de uma paralisação dos sistemas de atendimento ao cliente em larga escala, já que muitos chatbots, assistentes virtuais e sistemas de suporte dependem diretamente da IA, ou da interrupção de operações críticas, como concessão de crédito, análise de risco, prevenção a fraudes, gestão de pagamentos e execução de ordens de negociação, com a impossibilidade temporária de realização de operações rotineiras por parte dos clientes finais, e atpe da perda de dados ou exposição indevida de informações sensíveis, com consequências regulatórias e reputacionais severas em relação a LLGPD. E para piorar ainda tem o efeito contágio, no qual o incidente em um provedor afeta não apenas uma instituição, mas múltiplos bancos, seguradoras, fintechs e provedores de serviços de pagamento, dada a utilização compartilhada das mesmas infraestruturas de IA.
Não podemos esquecer ainda de um ponto que sempre tenho falado do risco de modelo e da dificuldade prática das instituições financeiras em auditar, testar e avaliar a robustez dos modelos de IA fornecidos por terceiros. Muitos desses modelos operam em regime de "Caixa Preta", com acesso restrito ao código-fonte, aos datasets utilizados e aos mecanismos internos de governança dos provedores. Isso limita drasticamente a capacidade de avaliação dos riscos associados à operação desses modelos.
A mitigação desse risco requer uma abordagem ampla que passa por uma governança interna robusta nas instituições financeiras, com avaliação detalhada dos riscos associados a cada fornecedor de IA, e revisão dos contratos de prestação de serviços que prevejam cláusulas específicas de resiliência, auditoria, resposta a incidentes, níveis de serviço (SLAs) e direito de acesso a informações, com a adoção de testes periódicos de estresse, contemplando cenários de falha dos provedores externos e estratégias de contingência, e a estruturação de planos de saída viáveis, mesmo que complexos, para mitigar a dependência excessiva de um único provedor. Importante ainda fazer a avaliação contínua do ecossistema de fornecedores, buscando diversificação e evitando concentrações excessivas, e ter a colaboração com reguladores, autoridades de supervisão e grupos internacionais para desenvolvimento de frameworks de gestão de riscos de terceiros específicos para IA.
Temos ainda que falar sobre a necessidade de um modelo de responsabilidade compartilhada, no qual fique claramente definido para cada tipo de serviço de IA, quais são as responsabilidades do provedor externo e quais são as responsabilidades da instituição financeira contratante. Esse modelo visa evitar "zonas cinzentas de accountability", que podem gerar atrasos, conflitos ou lacunas na resposta a incidentes.
O uso intensivo de IA por parte das instituições financeiras está deslocando parte relevante dos riscos operacionais para fora dos limites tradicionais de supervisão, criando novos desafios para a resiliência sistêmica.
O risco não está mais apenas dentro dos bancos, seguradoras ou fintechs, mas na rede invisível de fornecedores de tecnologia que sustentam a operação do sistema financeiro moderno.
A capacidade das instituições de mapear, monitorar e gerir esses riscos determinará a sua capacidade de suportar choques futuros, preservar a confiança dos seus clientes e proteger a integridade do sistema financeiro como um todo.
A Intensificação das Ameaças Cibernéticas Potencializadas pela Inteligência Artificial em uma Nova Dinâmica de Riscos para a Estabilidade Financeira
O quarto fator crítico analisado representa possivelment, o ponto mais sensível, e diria que até mais imprevisível e aceleradamente evolutivo dentro da nova configuração de riscos trazida pela ascensão da inteligência artificial (IA) no sistema financeiro global, que é a transformação do ambiente de ameaças cibernéticas, agora potencializado por tecnologias de IA avançadas, utilizadas tanto por defensores quanto por atacantes, em uma dinâmica que se aproxima de uma verdadeira corrida armamentista digital.
Historicamente os riscos cibernéticos sempre figuraram entre os principais elementos de preocupação dos reguladores financeiros, dada a elevada digitalização dos processos, a sensibilidade dos dados tratados pelas instituições e a sua interdependência com infraestruturas críticas de mercado. Entretanto, o diferencial do momento atual reside na capacidade da IA de alterar profundamente o perfil técnico, operacional e estratégico desses riscos, não apenas ampliando a capacidade defensiva das instituições, mas, sobretudo, potencializando as capacidades ofensivas dos atacantes.
A IA é uma tecnologia de chamado "uso duplo", tem beneficios, mas também riscos, como aqueles que falamos em PLD para armas de destruição em massa. ou seja as mesmas características que tornam a IA útil para fortalecer defesas, como capacidade de análise em tempo real, detecção de padrões anômalos, automação de respostas e identificação de fraudes, também a tornam extremamente poderosa quando utilizada por agentes maliciosos, sejam cibercriminosos, grupos de ransomware, agentes estatais hostis ou fraudadores sofisticados.
O uso da IA por atacantes está se expandindo rapidamente, com o surgimento de novos vetores de ataque e a amplificação dos riscos já existentes, e queria comentar um pouco sobre estes.
Deepfakes e Phishing Avançado
A utilização de IA generativa para criação de conteúdos falsos como: imagens, vídeos, áudios ou textos, está criando um novo patamar de sofisticação nas campanhas de phishing e engenharia social., pois ops criminosos podem agora por exemplo ciar vídeos ou áudios falsos de executivos de alto escalão solicitando transferências financeiras, ou replicar, com alta fidelidade, comunicações internas de bancos ou empresas, e até mesmo personalizar e-mails de phishing com base em dados extraídos de redes sociais, gerando um grau de verossimilhança sem precedentes, e construir perfis falsos em redes profissionais, simulando contatos confiáveis.
Esse tipo de ameaça aumenta exponencialmente o risco de fraude, principalmente em operações de pagamentos, transferências ou autorizações críticas baseadas em canais digitais.
Ataques de Prompt Injection em Modelos de LLM
Outra inovação perversa que a IA trouxe ao ambiente cibernético são os ataques do tipo prompt injection, nos quais os atacantes exploram vulnerabilidades nos modelos de LLM utilizados por instituições financeiras, injetando comandos maliciosos em interações aparentemente legítimas, em que esses ataques podem ter como objetivos como de subverter o comportamento do modelo, ou de extrair informações confidenciais de usuários, além de desviar fluxos de comunicação e explorar falhas na filtragem de conteúdo sensível.
Este vetor de ataque é particularmente preocupante em instituições que utilizam assistentes virtuais, chatbots ou mecanismos de atendimento ao cliente baseados em IA.
Data Poisoning e Manipulação de Datasets
Uma das formas mais sofisticadas de ataque, mapeada pelo relatório, é o chamado data poisoning, no qual agentes maliciosos conseguem contaminar os datasets utilizados para treinamento ou atualização de modelos de IA. Essa manipulação pode fazer com que os modelos passem a produzir respostas enviesadas, incorretas ou perigosas.
Em ambientes financeiros, isso pode significar que os modelos de análise de crédito distorcendo avaliações, ou que os sistemas de detecção de fraude ignorando comportamentos suspeitos e algoritmos de precificação produzindo resultados inconsistentes.
Esse tipo de ataque é extremamente difícil de detectar, pois os efeitos podem se manifestar de maneira gradual, diluída e com baixa rastreabilidade.
Automação em Massa de Fraudes
A IA permite que atacantes criem, em larga escala, campanhas automatizadas de fraude, combinando perfis falsos gerados por IA, como documentos adulterados de maneira hiper-realista e até ataques simultâneos a milhares de clientes ou contas, com testes automáticos de credenciais em diferentes sistemas.
Esse cenário cria um aumento exponencial na pressão operacional sobre as equipes de resposta a incidentes, atendimento ao cliente e segurança cibernética das instituições financeiras.
Exploração de Vulnerabilidades em Infraestruturas Comuns
O relatório alerta que muitos modelos de IA utilizados pelas instituições financeiras são fornecidos por provedores externos ou operam em plataformas de cloud computing compartilhadas. Isso gera um novo vetor de risco sistêmico: a exploração de vulnerabilidades comuns.
Se um atacante identificar uma falha em um modelo LLM amplamente utilizado no mercado, ou em uma API padrão fornecida por um grande provedor, o impacto potencial pode ser transversal, atingindo múltiplas instituições simultaneamente, com efeito contágio imediato.
As Implicações Sistêmicas das Novas Ameaças Cibernéticas Potencializadas pela IA
A materialização desses ataques, especialmente em ambientes de elevada interconectividade, pode gerar impactos que transcendem os limites de uma única instituição e atingem o sistema financeiro como um todo. Entre os efeitos potenciais estão por exemplo a interrupção de serviços críticos (pagamentos, negociações, crédito), ou pior ainda a perda de confiança generalizada dos clientes nos canais digitais com danos reputacionais irreparáveis. dado o riscos à integridade e disponibilidade de dados sensíveis, com efeitos de contágio operacional entre instituições que compartilham infraestruturas comuns, e pior ainda potencial propagação da crise para mercados financeiros, via volatilidade ou fuga de capitais.
Um ataque cibernético bem-sucedido, amplificado por IA, pode gerar efeitos macroeconômicos, afetar a liquidez do mercado, restringir o crédito e prejudicar o funcionamento da economia real.
A Resposta Estratégica com a Colaboração Setorial e Evolução da Governança Cibernética
Diante desse cenário a resposta a essas ameaças precisa ser coordenada, estruturada e sistêmica, por isto as principais recomendações passam pelo fortalecimento das práticas de cibersegurança orientadas a IA nas instituições financeiras e a atualização dos frameworks de gestão de risco cibernético para contemplar os novos vetores de ataque. Assim como com as simulações de cenários extremos envolvendo ataques baseados em IA e a participação ativa em fóruns de colaboração público-privada. Importante também desenvolver as capacidades internas de monitoramento, resposta e defesa contra ameaças automatizadas e incorporação de práticas de segurança desde o design dos modelos, chamado: "secure by design".Uma Nova Era da Supervisão Prudencial — Inteligência Regulatória para um Sistema Financeiro
Inteligência Artificial no Sistema Financeiro e o Desafio de Construir um Modelo de Inovação Responsável com Resiliência Sistêmica
Importante tratar a IA não apenas como um fenômeno transformador, o que por sinal de fato ela é, mas também como uma fonte inédita de complexidade, incerteza e potencial de geração de fragilidades estruturais que podem, se não forem adequadamente endereçadas, comprometer a capacidade do sistema financeiro de cumprir suas funções básicas: a alocação eficiente de recursos, a intermediação de crédito, a precificação adequada dos riscos e a preservação da confiança dos clientes, dos investidores e da sociedade.
Estes grandes fatores de riscos que comentei acima permite mcompreender que o impacto da IA sobre o sistema financeiro não é unidimensional, mas ao contrário ele se manifesta de forma simultânea, interconectada e progressiva em múltiplas frentes.
Como na forma como bancos, seguradoras, gestoras de ativos e fintechs estão incorporando IA em decisões essenciais de crédito, seguros, modelagem de riscos e atendimento ao cliente, com potenciais ganhos de eficiência, mas com riscos graves de opacidade, viés, erros coletivos e perda de controle.
Ou ainda na transformação profunda da dinâmica dos mercados financeiros, com a proliferação de algoritmos de IA em operações de trading, estratégias sistemáticas, precificação e decisões de investimento, ampliando a eficiência de mercado, mas também o risco de comportamento correlacionado, liquidações massivas, fire sales e amplificação de choques.
Temos ainda a crescente dependência estrutural de provedores externos de IA, que muitas vezes poucos, globais e altamente concentrados, o que gera um novo perfil de risco operacional sistêmico, baseado na externalização de infraestruturas críticas, modelos, dados e capacidades de resposta.
A evolução do ambiente cibernético para um patamar de ameaça inédito, com a utilização de IA por atacantes capazes de produzir deepfakes, explorar vulnerabilidades em LLMs, contaminar datasets, automatizar fraudes e comprometer, em larga escala, a integridade dos serviços financeiros.
A necessidade de construção de um novo modelo de supervisão prudencial e governança dos riscos de IA, baseado em inteligência regulatória, flexibilidade adaptativa, coleta contínua de dados, diálogo público-privado permanente e integração internacional.
O maior risco, portanto, não reside apenas em incidentes isolados, falhas técnicas ou ataques cibernéticos pontuais. O verdadeiro risco sistêmico da IA está na combinação perversa entre de uma velocidade da sua adoção, com uma assimetria de conhecimento técnico entre fornecedores e usuários, e a opacidade dos modelos, com uma forte dependência de dados externos, e principalmente a alta concentração de provedores e para piorar a interconexão estrutural dos mercados.
Essa combinação cria as condições ideais para a emergência de eventos de risco sistêmico que podem se manifestar não necessariamente por fraudes ou ataques, mas por erros coletivos de modelagem, decisões automatizadas mal calibradas, efeitos cascata em ambientes de stress e perda de confiança sistêmica na capacidade do sistema financeiro de operar de forma justa, resiliente e eficiente.
Provavelmente o caminho para enfrentar esse novo desafio exige uma mudança de postura em todos os níveis das instituições financeiras e dos organismos reguladores aonde mais uma vez:
Não se trata de frear a inovação, mas de criar as condições adequadas para que a inovação tecnológica baseada em IA ocorra dentro de um ambiente de responsabilidade, segurança, controle e governança robusta.
As implicações práticas desse novo paradigma podem ser resumidas em quatro grandes linhas de ação:
Construção de Governança de IA nas Instituições Financeiras com:
Frameworks internos de gestão de riscos específicos para IA;
Comitês de governança de modelos de IA nos níveis de diretoria e conselho;
Estruturação de accountability clara sobre o uso de IA;
Implementação de controles de explicabilidade, robustez e testes contínuos;
Estratégias de mitigação de vieses e garantia de tratamento justo dos clientes.
Fortalecimento das Práticas de Gestão de Terceiros e Dependência de Provedores de IA com:
Avaliação contínua dos riscos associados aos fornecedores de IA;
Revisão contratual com foco em resiliência, transparência e auditoria;
Estruturação de planos de contingência e exit plans viáveis;
Diversificação de fornecedores e mitigação de concentração excessiva.
Evolução das Estratégias de Cibersegurança e Resiliência Operacional com:
Preparação para novos vetores de ataque baseados em IA;
Simulações de cenários extremos e incidentes cibernéticos complexos;
Desenvolvimento de capacidades internas de cyber threat intelligence orientadas para IA;
Participação em fóruns colaborativos de defesa cibernética setorial.
Integração com os Novos Modelos de Supervisão Prudencial de IA com:
Transparência e reporte contínuo às autoridades;
Participação ativa em pesquisas, consórcios e iniciativas de diálogo público-privado;
Preparação para exigências futuras de testes de estresse, requisitos de capital ou frameworks específicos de regulação de IA.
Podemos então dizer de que o futuro do setor financeiro não será definido apenas pela capacidade de inovar rapidamente, mas pela capacidade de inovar de maneira resiliente, governada, transparente e compatível com a preservação da estabilidade sistêmica.
To este desafio que tem na sua frente os líderes do setor financeiro, sejam eles executivos, membros de conselhos, gestores de risco ou reguladores, não é apenas tecnológico, mas é acima de tudo, um desafio de governança, de cultura organizacional e de responsabilidade estratégica perante o funcionamento de um sistema financeiro cada vez mais complexo, automatizado e exposto a riscos emergentes de difícil antecipação.
Neste novo mundo que esta na nossa frente a gestão de riscos de IA deixa de ser uma função meramente técnica e passa a se, inequivocamente uma competência essencial para a sustentabilidade dos negócios, a confiança dos clientes e a proteção da estabilidade financeira global.
