BCE exige a grandes bancos plano de ação contra ciberataques de IA até outubro

O Banco Central Europeu (BCE) exigiu esta terça-feira aos maiores bancos da área do euro que lhe apresentem, até 31 de outubro, um plano de ação detalhado para reforçar a resiliência face a ciberataques cada vez mais sofisticados pela utilização de inteligência artificial. O pedido, dirigido às 110 instituições sob supervisão direta do BCE — entre as quais várias com atividade em Portugal —, marca a transição de avisos genéricos para exigências concretas com prazo fixo.

A carta “Dear CEO” e o que o BCE está a pedir

O pedido chega através de uma carta dirigida diretamente aos presidentes executivos das instituições financeiras mais significativas da União Europeia — uma comunicação conhecida no jargão da supervisão bancária como “Dear CEO letter”, reservada às mensagens mais diretas que o BCE envia ao setor. Nela, a autoridade de supervisão pede que os bancos avaliem sem demora o impacto da evolução do panorama de ameaças e elaborem um plano de ação abrangente, que defina medidas concretas para reforçar controlos, assegure a afetação dos recursos necessários, atribua funções e responsabilidades claras e estabeleça um calendário de execução.

Este plano deve ser apresentado à respetiva Equipa Conjunta de Supervisão até ao final de outubro e deve basear-se na estratégia de ciber-risco já existente em cada instituição, cobrindo tanto prioridades imediatas como aspetos estratégicos de mais longo prazo. O BCE fará depois uma análise horizontal de todos os planos recebidos, para identificar tendências e áreas de melhoria comuns ao setor, cujas conclusões serão partilhadas com as instituições — podendo ainda dar origem a workshops sectoriais, dependendo dos resultados e da evolução dos modelos de IA de fronteira.

Claudia Buch, presidente do Conselho de Supervisão Prudencial do BCE, foi direta quanto à responsabilidade: “A responsabilidade pela resposta a este ambiente de risco em mutação recai, acima de tudo, sobre os órgãos de direção dos bancos.” A mensagem retoma um aviso que o BCE já vinha preparando desde junho, quando o membro do Conselho Executivo Frank Elderson anunciou, após uma reunião com bancos comerciais, que a instituição passaria “de conversas para exigências”.

Porque a IA está a mudar a equação do risco cibernético

O argumento central do BCE não é meramente retórico. Segundo Elderson, os modelos de IA de fronteira mais recentes representam “uma mudança estrutural na economia do risco cibernético”, permitindo a atacantes descobrir e explorar vulnerabilidades mais depressa, combinar falhas menores em ataques graves e transformar correções de segurança em novas oportunidades de ataque através de engenharia inversa. À medida que a competência técnica, o tempo e o custo necessários para lançar ataques sofisticados diminuem, um leque mais amplo de atores maliciosos ganha acesso a capacidades antes reservadas a grupos altamente especializados.

Elderson foi ainda mais longe numa intervenção em Madrid: “cenários que antes eram considerados riscos de cauda podem tornar-se mais prováveis, como a vulnerabilidade de uma única infraestrutura muito utilizada a escalar rapidamente para uma disrupção em todo o setor, com efeitos em cadeia na capacidade dos bancos operarem.” O Banco de Inglaterra, a FCA e o Tesouro britânico chegaram a uma conclusão semelhante num comunicado conjunto publicado em maio: as capacidades cibernéticas dos modelos de IA de fronteira já excedem o que um profissional competente conseguiria alcançar, operando com maior velocidade, escala e menor custo.

Os bancos portugueses sob supervisão direta do BCE

A exigência não é abstrata para Portugal. Entre as 110 instituições diretamente supervisionadas pelo BCE — e, portanto, destinatárias diretas desta carta — encontram-se a Caixa Geral de Depósitos e o seu universo, o Millennium BCP, o Banco ActivoBank, o Novo Banco, o Santander Totta, o Banco BPI, o BBVA Portugal, o Banco Best e o Banco BIC. Ou seja, praticamente todos os grandes bancos que operam em Portugal têm agora até 31 de outubro para entregar à sua Equipa Conjunta de Supervisão um plano concreto de resposta a ciberameaças ligadas à IA.

Porque é que isto importa em Portugal

Portugal já tem uma infraestrutura de resiliência digital bancária relativamente madura: o TIBER-PT, quadro de testes de cibersegurança avançados para instituições de crédito, tem testes certificados desde 2023, e o CIISI-PT, o centro de partilha de informação sobre ameaças do setor bancário, está ativo desde setembro desse ano. Desde janeiro de 2025, o Regulamento de Resiliência Operacional Digital (DORA) aplica-se diretamente a todo o setor financeiro europeu, obrigando à unificação de planos de segurança, recuperação e continuidade de negócio, e à uniformização de testes de penetração.

É precisamente sobre esta base que a nova exigência do BCE se constrói: não pede aos bancos que comecem do zero, mas que atualizem os planos já existentes à luz de uma ameaça que evolui mais depressa do que os ciclos habituais de revisão regulatória. Para o Banco de Portugal, que participa no Mecanismo Único de Supervisão e já identificou o reforço da resiliência operacional como uma das duas prioridades de supervisão para 2026, o pedido do BCE reforça uma linha de trabalho que já estava em curso a nível nacional. Dados citados pela agência de rating DBRS Morningstar mostram que o número de incidentes cibernéticos significativos reportados por bancos sistémicos praticamente duplicou entre 2022 e 2024, de 77 para 153 ocorrências — uma tendência que a chegada de ferramentas de IA acessíveis a atacantes só deverá acelerar.

Para as equipas de risco, compliance e segurança dos bancos portugueses abrangidos, o prazo de outubro implica trabalho imediato: rever a estratégia de ciber-risco existente com o novo prisma da IA, mapear que investimentos e responsabilidades ainda faltam atribuir, e preparar-se para um diálogo continuado com a Equipa Conjunta de Supervisão que não termina com a entrega do plano — o BCE deixou claro que fará depois o acompanhamento da sua execução.

Esta informação tem caráter noticioso e baseia-se em comunicações públicas do Banco Central Europeu e em declarações dos seus responsáveis divulgadas através de fontes oficiais e da imprensa especializada.