O Banco Central Europeu está pressionando os bancos da zona do euro a investir mais em cibersegurança, alertando que a inteligência artificial está ampliando a escala e a velocidade dos ataques digitais. Em uma nova diretiva enviada às instituições supervisionadas, o BCE afirmou que o aumento das ameaças impulsionadas por IA exige uma atualização significativa nos gastos com defesa — não apenas ajustes incrementais. Os bancos que não acompanharem esse ritmo correm o risco de comprometer não apenas seus próprios sistemas, mas também a estabilidade da rede financeira como um todo, destacou o regulador.
Por que o alerta vem agora
Cibercriminosos começaram a usar ferramentas de IA generativa e aprendizado de máquina para criar e-mails de phishing mais convincentes, automatizar varreduras de vulnerabilidades e burlar sistemas tradicionais de detecção. A avaliação do BCE, compartilhada com os bancos nas últimas semanas, observa que esses ataques estão chegando mais rápido e com menos sinais de alerta. Uma única credencial comprometida pode desencadear uma violação transfronteiriça antes mesmo que a equipe de segurança do banco perceba a intrusão. A mensagem do banco central é direta: o manual antigo não será suficiente.
A escolha do momento não é acidental. Os bancos europeus já estão lidando com regras de capital mais rígidas e uma economia lenta. Adicionar uma corrida armamentista de cibersegurança a esse cenário sobrecarrega os orçamentos, mas o BCE deixa claro que subinvestir não é mais uma opção. Documentos internos do BCE revisados pelo GFdaily descrevem o ambiente de ameaças atual como “sem precedentes em velocidade e alcance”, embora o banco tenha se recusado a detalhar incidentes específicos que desencadearam o alerta.
O que o BCE está exigindo
A diretiva não estabelece uma meta específica de gastos — nem porcentagem da receita nem valor fixo em euros. Em vez disso, pede que cada banco realize uma nova avaliação de riscos focada em vetores de ataque habilitados por IA e apresente um plano de investimento plurianual. Esses planos devem mostrar medidas concretas: contratação de pessoal especializado, atualização de softwares de detecção de ameaças e realização de simulações de equipe vermelha que imitem intrusões impulsionadas por IA. Os bancos que demorarem podem esperar inspeções no local mais frequentes e, em casos extremos, maiores reservas de capital vinculadas ao risco cibernético.
O BCE também quer que os bancos compartilhem inteligência de ameaças de forma mais agressiva. “Nenhum banco é mais uma ilha”, afirma a diretiva. “A colaboração em padrões de ataque e ferramentas de defesa é essencial para o sistema como um todo.” Vários grandes bancos da zona do euro já começaram a compartilhar dados por meio de uma plataforma piloto administrada pela Autoridade Bancária Europeia, e o BCE espera que esse esforço se expanda.
O panorama regulatório mais amplo
Essa pressão de Frankfurt está alinhada com uma tendência regulatória mais ampla. A Lei de Resiliência Operacional Digital (DORA) da UE, que entrou em vigor em janeiro de 2025, já exige que as instituições financeiras testem suas defesas cibernéticas regularmente e relatem incidentes graves em questão de horas. O mais recente apelo do BCE vai além, focando especificamente na dimensão da IA. É um sinal de que os reguladores veem a tecnologia como uma ameaça distinta, não apenas mais um item na lista de verificação de riscos.
Os bancos menores, que muitas vezes não têm os recursos financeiros de seus concorrentes maiores, enfrentam o maior desafio. O BCE reconheceu essa disparidade e está explorando se deve oferecer serviços compartilhados de cibersegurança ou aquisição coordenada de ferramentas de defesa. Nenhum plano concreto foi anunciado, mas espera-se que o conselho do banco central discuta opções em sua reunião de junho.
Por enquanto, o tempo está correndo. Os bancos têm até o final do terceiro trimestre para apresentar suas avaliações de risco de IA e roteiros de investimento. Aqueles que perderem o prazo enfrentarão uma revisão formal e, potencialmente, uma menção pública nos relatórios de supervisão do BCE.
