7 min leitura
“Dear CEO”: o aviso do BCE aos banqueiros europeus para se prepararem para a ameaça da IA
Supervisor da União Europeia pede uma resposta "sem demora" e fixa o final de outubro como prazo para a apresentação de planos abrangentes com medidas concretas para combater a ameaça da Inteligência Artificial
07 Jul 2026 - 11:12
7 min leitura
Claudia Buch, presidente do Conselho de Supervisão do BCE | Foto: BCE/ Adrian Petty
Mais recentes
- UBS vê potencial de rentabilidade de 8% ao ano nas ações do Millennium bcp
- “Dear CEO”: o aviso do BCE aos banqueiros europeus para se prepararem para a ameaça da IA
- Lucros da banca moçambicana caem quase 39% para 208 milhões de euros em 2025
- Agenda da semana: o que não pode perder na banca e sistema financeiro
- AMLA lança consulta sobre regras de partilha de comunicações de operações suspeitas entre Estados-Membros
- BCE mostra que os bancos atrasam a remuneração das poupanças quando as taxas de juro sobem para proteger os lucros futuros
Claudia Buch, presidente do Conselho de Supervisão do BCE | Foto: BCE/ Adrian Petty
É uma das cartas mais contundentes alguma vez enviadas pelo Banco Central Europeu (BCE). Conhecida como a missiva “Dear CEO”, é dirigida aos presidentes executivos das instituições financeiras mais significativas da União Europeia (UE) e contém um alerta urgente para a necessidade de elaborar planos abrangentes, com medidas concretas, para fazer face às ameaças que a Inteligência Artificial poderá representar para o sistema bancário.
Assinada por Claudia Buch, presidente do Conselho de Supervisão do BCE, a carta, divulgada pelo supervisor nesta terça-feira, refere que «os modelos de IA de última geração são capazes de identificar vulnerabilidades de software e de gerar explorações (exploits) funcionais a uma velocidade sem precedentes, reduzindo drasticamente o intervalo entre a descoberta de uma vulnerabilidade e a sua exploração».
«Estes desenvolvimentos têm implicações potencialmente profundas para a confidencialidade, a integridade e a resiliência dos sistemas de tecnologias da informação e comunicação (TIC) dos bancos», afirma o BCE, acrescentando que «se trata de uma alteração estrutural e de longo prazo do panorama das ameaças, e não de um fenómeno temporário ou de um risco associado a uma ferramenta específica».
«A responsabilidade pela resposta à evolução do ambiente de risco cibernético cabe, em primeiro lugar, aos órgãos de administração dos bancos», prossegue a carta. «As decisões estratégicas relacionadas com as TIC, incluindo os investimentos em TIC, a afetação de recursos e os quadros de tolerância ao risco associados aos riscos das TIC (Risk Tolerance Frameworks – RTF), poderão ter de ser reavaliados. Em particular, espera-se que os sistemas de governo e de controlo sejam reforçados sempre que necessário.»
O BCE sublinha ainda a importância de «dar resposta, sem demora, às constatações e medidas de supervisão ainda pendentes relacionadas com as áreas prioritárias das TIC e com os riscos de segurança identificados em anteriores atividades de supervisão, como inspeções no local, análises direcionadas (targeted reviews) e o teste de esforço sobre ciber-resiliência realizado em 2024».
«Tendo em conta a aceleração do panorama das ameaças, as fragilidades existentes que permaneçam por resolver poderão tornar-se cada vez mais relevantes e representar riscos significativos para a resiliência operacional», acrescenta.
Face a este cenário, o BCE «apela às instituições significativas para que avaliem, sem demora, o impacto da evolução do panorama das ameaças e elaborem um plano de ação abrangente que defina medidas concretas destinadas a reforçar os controlos relevantes, assegure a afetação dos recursos necessários, atribua funções e responsabilidades claras e estabeleça um calendário para a sua implementação».
Esse plano de ação deverá basear-se na estratégia de ciber-risco já existente em cada banco e abranger tanto as prioridades imediatas como os aspetos estratégicos de mais longo prazo.
A curto prazo, o BCE pede especial atenção às seguintes áreas:
- acelerar, em larga escala, a gestão de vulnerabilidades e a aplicação de correções de segurança (patch management);
- reforçar as capacidades de monitorização, deteção e defesa apoiadas por inteligência artificial;
- verificar se a gestão do risco associado a terceiros continua a ser adequada às circunstâncias atuais, tendo em conta o papel desempenhado pelos prestadores de serviços TIC nas cadeias de abastecimento críticas.
«No âmbito destas medidas de curto prazo, é essencial dar prioridade à proteção das tecnologias de perímetro e dos ativos de TIC acessíveis a partir da Internet ou expostos externamente, incluindo software fornecido por terceiros e componentes de código aberto (open source), por forma a preparar as instituições para o aumento das ameaças à cibersegurança potenciadas pela inteligência artificial», refere a carta.
Para além destas ações de curto prazo, a resiliência operacional e a ciber-resiliência deverão ser reforçadas através de medidas estruturais, nomeadamente do reforço da estratégia de defesa em profundidade (defence-in-depth) e das boas práticas de higiene cibernética (cyber hygiene), da modernização das infraestruturas através da substituição ou atualização de tecnologias legadas, sem suporte ou em fim de vida, e do reforço da resiliência operacional mediante a melhoria dos mecanismos de resposta e recuperação, incluindo a gestão de crises, bem como dos mecanismos de partilha de informação.
Este plano de ação deverá ser apresentado à respetiva Equipa Conjunta de Supervisão (Joint Supervisory Team – JST) até 31 de outubro de 2026.
A JST prosseguirá o diálogo com os bancos para discutir o plano de ação e acompanhar a sua execução.
Paralelamente, o BCE realizará uma análise horizontal dos planos de ação apresentados, com o objetivo de identificar tendências, desafios e áreas suscetíveis de melhoria. As conclusões dessa análise serão partilhadas com as instituições significativas, de modo a apoiar o reforço da sua resiliência em matéria de TIC.
Se necessário, poderão igualmente ser organizados eventos ou workshops dirigidos ao setor, em função dos resultados das avaliações e da evolução dos modelos de inteligência artificial de fronteira (frontier AI).
O BCE mantém o compromisso de permitir que as instituições supervisionadas definam prioridades de forma eficaz e concentrem os seus recursos nas áreas mais relevantes.
Por esse motivo, o BCE irá prorrogar o prazo para a recolha anual do Questionário sobre Risco Informático (IT Risk Questionnaire), passando de setembro de 2026 para fevereiro de 2027.
À luz destes desenvolvimentos e em consonância com o aviso do Comité Europeu do Risco Sistémico (European Systemic Risk Board – ESRB) sobre os «riscos cibernéticos sistémicos decorrentes dos modelos de inteligência artificial de fronteira», igualmente publicado esta terça-feira, «o BCE espera que as instituições significativas adotem, de imediato e de forma proativa, medidas destinadas a fazer face ao aumento dos riscos».
«Importa salientar que as autoridades competentes responsáveis pelas Equipas de Resposta a Emergências Informáticas (Computer Emergency Response Teams – CERT) ou pelas Equipas de Resposta a Incidentes de Segurança Informática (Computer Security Incident Response Teams – CSIRT) poderão disponibilizar informações adicionais sobre ameaças (threat intelligence) e orientações relevantes, suscetíveis de apoiar o reforço da postura defensiva das instituições», acrescenta o supervisor.
O BCE participa igualmente de forma ativa em fóruns internacionais, como o G7, o Comité de Basileia para a Supervisão Bancária (Basel Committee on Banking Supervision – BCBS) e o Conselho de Estabilidade Financeira (Financial Stability Board – FSB), promovendo a coordenação internacional na resposta às ameaças à cibersegurança potenciadas pela inteligência artificial.
Por último, o BCE salienta que outras tecnologias emergentes, como os progressos em curso rumo à computação quântica prática, terão igualmente um impacto significativo no panorama da cibersegurança.
A adoção da criptografia pós-quântica (post-quantum cryptography) poderá exigir um horizonte temporal mais alargado, mas deverá iniciar-se desde já, implicando um investimento estratégico sustentado ao longo do tempo.
O BCE acrescenta que abordará, oportunamente, o risco emergente que os avanços da computação quântica representam para os métodos tradicionais de encriptação através de uma carta específica.
Mais recentes
- UBS vê potencial de rentabilidade de 8% ao ano nas ações do Millennium bcp
- “Dear CEO”: o aviso do BCE aos banqueiros europeus para se prepararem para a ameaça da IA
- Lucros da banca moçambicana caem quase 39% para 208 milhões de euros em 2025
- Agenda da semana: o que não pode perder na banca e sistema financeiro
- AMLA lança consulta sobre regras de partilha de comunicações de operações suspeitas entre Estados-Membros
- BCE mostra que os bancos atrasam a remuneração das poupanças quando as taxas de juro sobem para proteger os lucros futuros