O Ato de IA da UE e a Aposta em Cibersegurança: Os Hackers Não Precisam de Permissão
Com o avanço do desenvolvimento de IA, sua aplicação em cibersegurança torna-se inevitável – ela pode ajudar a detectar e prevenir ameaças cibernéticas de maneiras sem precedentes. No entanto, o outro lado da moeda é preocupante: agentes mal-intencionados também podem usar a IA para desenvolver métodos de ataque mais sofisticados, potencializando suas atividades ilícitas. E os criminosos geralmente não se preocupam em respeitar quaisquer restrições sobre como utilizar essa tecnologia.
À medida que a UE avança com o Ato de IA, muitos profissionais da indústria se questionam: essa regulamentação realmente ajudará, tornando a Europa mais segura? Ou se tornará um obstáculo, impondo novos desafios a empresas que tentam aproveitar a inteligência artificial para se proteger?
As Medidas de Cibersegurança do Ato de IA
O Ato de IA da UE é a primeira estrutura regulatória importante a estabelecer regras claras para o desenvolvimento e a implantação de IA. Entre suas muitas disposições, o Ato aborda diretamente os riscos cibernéticos ao introduzir medidas para garantir que os sistemas de IA sejam seguros e utilizados de forma responsável.
Isso é feito por meio de uma classificação de risco das aplicações de IA, com cada classe tendo diferentes requisitos de conformidade. Naturalmente, os sistemas de maior risco – aqueles que poderiam afetar negativamente a saúde e a segurança das pessoas – estão sujeitos a demandas mais rigorosas de segurança e transparência.
Além disso, os sistemas de IA devem passar por testes de segurança obrigatórios regulares para identificar vulnerabilidades e reduzir as chances de exploração por cibercriminosos. Ao mesmo tempo, estabelece melhores obrigações de transparência e relatórios. Essas são etapas sólidas para trazer estrutura a essa indústria e legitimá-la.
Porém, quando se trata de cibersegurança, essa abordagem apresenta suas complicações e desvantagens.
Exigir que os sistemas de IA passem por tantas verificações e certificações significa que, na prática, a liberação de atualizações de segurança é consideravelmente atrasada. Se cada modificação nas medidas de segurança baseadas em IA precisa de um longo processo de aprovação, isso dá aos atacantes muito tempo para explorar fraquezas conhecidas enquanto as empresas-alvo estão atoladas em burocracia e deixadas vulneráveis.
A questão da transparência também é uma espada de dois gumes, dependendo de como você a analisa. O Ato de IA exige que os desenvolvedores divulguem detalhes técnicos sobre seus sistemas de IA para órgãos governamentais a fim de garantir a responsabilidade. Um ponto válido, sem dúvida, mas isso introduz outra vulnerabilidade crítica: se esse tipo de informação vazar, pode cair nas mãos de agentes mal-intencionados, efetivamente entregando a eles um mapa de como explorar os sistemas de IA. Isso viola um dos princípios básicos da segurança: segurança através da obscuridade.
A Conformidade como Fonte de Vulnerabilidade?
Há outra camada de risco que precisamos examinar mais de perto: a mentalidade de conformidade em primeiro lugar.
Quanto mais rigorosa a regulamentação se torna, mais as equipes de segurança se concentrarão em construir sistemas que atendam a requisitos legais do que em ameaças do mundo real. É muito provável que isso resulte em sistemas de IA que são tecnicamente compatíveis, mas operacionalmente frágeis.
Sistemas construídos para conformidade inevitavelmente compartilharão padrões, e uma vez que agentes maliciosos tenham conhecimento desses padrões, será muito mais fácil para eles engenhar explorações ao redor deles. O resultado final? Sistemas semelhantes ficam igualmente indefesos.
Além disso, como o Ato exige supervisão humana das decisões da IA, há uma possível avenida de exploração via engenharia social. Ataques podem direcionar os revisores humanos, que, com o tempo, podem começar a aprovar decisões tomadas por sistemas de IA automaticamente. Isso é especialmente verdadeiro em ambientes de alto volume, como monitoramento de transações – já estamos vendo sinais disso na conformidade bancária, onde a fadiga de supervisão pode facilmente levar a lapsos de julgamento.
Outro exemplo de bloqueios de segurança inadvertidamente causados pelo Ato de IA seria a tecnologia biométrica. Embora as restrições ao reconhecimento facial sejam destinadas a proteger a privacidade dos cidadãos, elas também limitam a capacidade das forças de segurança de rastrear e prender criminosos usando métodos de vigilância avançados.
Isso também afeta tecnologias de duplo uso — sistemas desenvolvidos para aplicações civis e militares. Embora sistemas militares de IA estejam formalmente excluídos do Ato, o ecossistema circundante que contribui para seu desenvolvimento está agora severamente restringido. Isso retarda o desenvolvimento de ferramentas de defesa de próxima geração que poderiam ter benefícios civis abrangentes.
Os Desafios que as Empresas Enfrentarão
Voltando ao lado empresarial, temos que aceitar que o Ato de IA apresenta obstáculos quando se trata de cumprir essas regras. Para as PMEs, em particular, isso pode ser uma tarefa difícil, uma vez que muitas vezes carecem dos recursos das grandes corporações para dedicar à conformidade.
Testes de segurança, auditorias de conformidade, consultas legais — tudo isso requer investimentos substanciais. Isso cria um cenário em que muitas empresas são forçadas a reduzir a adoção de IA, dificultando o avanço desse setor. É muito provável que elas deixem a UE completamente, optando por avançar suas operações em outras jurisdições mais amigáveis.
Do ponto de vista da cibersegurança, esse retrocesso seria muito perigoso. Não acho que precise ser dito, mas criminosos obviamente não se importam com conformidade — eles são livres para inovar na utilização de IA a qualquer velocidade que desejarem, o que, a esse ritmo, rapidamente superará os negócios legítimos.
Na minha visão, não vai demorar muito até que o processo de descoberta e exploração de vulnerabilidades possa ser feito em questão de horas, senão minutos. Enquanto isso, as partes defensoras ficariam presas re-certificando seus sistemas por dias ou semanas antes que as atualizações de segurança possam ser implementadas.
A engenharia social também está prestes a se tornar mais perigosa do que nunca. Com o poder da IA ao seu lado, os atacantes poderiam extrair dados de funcionários de perfis públicos e, em seguida, criar mensagens de phishing direcionadas ou até gerar chamadas telefônicas deepfake em tempo real para explorar o lado humano dos sistemas de segurança. Esses não são cenários hipotéticos — deepfakes já estão sendo cada vez mais armados.
Como as Empresas Podem Integrar as Diretrizes do Ato de IA – Sem Perder Terreno?
Assim, como podemos ver, há muitos desafios pela frente. E ainda assim, apesar de suas imperfeições, o Ato de IA não é algo que as empresas possam simplesmente ignorar. O que pode ser feito, então? Vejo que a conformidade precisa se tornar mais inteligente, e não mais difícil. Uma abordagem mais proativa seria construir sistemas de IA com regulamentações em mente desde o início, em vez de adaptar posteriormente.
Isso inclui aproveitar ferramentas baseadas em IA para automatizar o monitoramento de conformidade e interagir regularmente com órgãos reguladores para se manter informado. Também faz sentido participar de eventos do setor, compartilhando melhores práticas e tendências emergentes em cibersegurança e conformidade em geral.
Em última análise, o Ato de IA visa trazer ordem e responsabilidade ao desenvolvimento de IA. Mas quando se trata de cibersegurança, ele também introduz fricções e riscos sérios. Se o objetivo é manter a Europa segura, então a regulamentação deve evoluir tão rapidamente quanto a tecnologia que busca governar.
Porque, neste momento, os defensores estão jogando catch-up.
