Expectativas da BaFin para Gestão de Risco ICT e Uso de IA
Introdução
A Autoridade de Supervisão Financeira da Alemanha emitiu orientações não vinculativas para esclarecer como as instituições financeiras devem gerenciar os riscos de Tecnologia da Informação e Comunicação (ICT) decorrentes de sistemas baseados em Inteligência Artificial (IA), conforme o Regulamento (UE) 2022/2554 e regulamentos relacionados da UE.
Resultados das Orientações
Os sistemas de IA, especialmente IA generativa e modelos de linguagem de grande escala (LLM), devem ser totalmente integrados à governança existente de ICT, testes e estruturas de risco de terceiros, com um aumento na supervisão.
Olhando para o Futuro
As instituições financeiras que utilizam ou planejam implantar IA devem reavaliar suas práticas de governança, testes, terceirização em nuvem e relatórios de incidentes para atender às expectativas de supervisão em evolução.
Conteúdo das Orientações
As orientações visam fornecer direções adicionais às instituições financeiras sob supervisão sobre o tratamento de sistemas baseados em IA e sobre riscos de terceiros e terceirização. Incluem um estudo de caso de uma instituição que opera um assistente de IA baseado em LLM e uma análise ilustrativa dos riscos envolvidos, além do tratamento sob regulamentos específicos.
Governança e Controle de Risco
As instituições financeiras devem garantir que os sistemas baseados em IA sejam governados, seguros e monitorados de forma consistente dentro de suas estruturas de conformidade.
As medidas incluem:
- Adotar uma estratégia de IA aprovada pela gestão, definindo responsabilidades claras e promovendo colaboração interdisciplinar.
- Integrar sistemas baseados em IA no gerenciamento de riscos de ICT, cobrindo identificação, proteção, detecção, resposta a incidentes, recuperação e comunicação de crises.
- Aplicar padrões robustos de desenvolvimento e documentação para desenvolvimentos internos de IA.
- Estender as obrigações de teste a sistemas baseados em IA, dependendo da criticidade.
- Implementar processos definidos durante a operação para sistemas baseados em IA, incluindo controle de acesso e monitoramento de desempenho.
- Gerenciar riscos de terceiros de ICT, realizando avaliações de risco abrangentes e estabelecendo disposições contratuais claras.
- Aplicar controles de segurança cibernética e de dados ao longo do ciclo de vida da IA.
- Assegurar que incidentes relacionados à ICT envolvendo sistemas de IA sejam identificados e reportados adequadamente.
Conclusão
As orientações confirmam que os sistemas baseados em IA não estão sujeitos a um regime separado, mas devem ser incorporados à governança existente de ICT. Embora não sejam vinculativas, espera-se que as autoridades supervisoras as utilizem como referência, aumentando a supervisão sobre a integração de sistemas de IA nas estruturas de riscos de ICT.
