BCE convoca bancos às pressas após IA revelar milhares de brechas em sistemas críticos

A resposta do BCE em três frentes

Em 26 de maio de 2026, o BCE reuniu os bancos em uma sessão especial para tratar dos riscos de segurança cibernética revelados pelo Claude Mythos Preview e outros modelos avançados . O encontro definiu uma abordagem regulatória baseada em três exigências imediatas.

Corrigir mais rápido, sem desculpas. Frank Elderson, vice-presidente do Conselho de Supervisão do BCE, foi direto: "o relógio está correndo" e os bancos precisam "acelerar significativamente" seus esforços para corrigir as falhas expostas pelo modelo . Descreveu a situação como um trabalho urgente para "consertar as brechas que foram reveladas" .

Compartilhar o que se sabe. Como os bancos europeus estão praticamente excluídos do consórcio limitado que testa o modelo, o BCE pediu que os bancos americanos que possuem acesso compartilhem lições e aprendizados com seus pares europeus. Elderson reconheceu que a situação é "lamentável", mas enfatizou que "a falta de acesso ao modelo não é desculpa para a inação" .

Responder ao supervisor. O BCE está usando seu diálogo regular de supervisão para interrogar sistematicamente os bancos sobre sua preparação para ameaças cibernéticas impulsionadas por IA, coletando informações sobre exposição a riscos, frequência de correções e ferramentas de defesa . A abordagem espelha uma ação regulatória global coordenada, embora o BCE não tenha emitido o tipo de convocação de alto perfil vista no Tesouro dos EUA .

A urgência é respaldada por validação no mundo real. O Instituto de Segurança de IA do Reino Unido constatou que o Mythos Preview resolveu 73% dos desafios de nível especialista do tipo Capture the Flag, um marco que nenhum modelo de IA havia atingido antes de abril de 2025. A Mozilla lançou o Firefox 150 com 271 correções para vulnerabilidades encontradas pelo modelo .

O que o Claude Mythos Preview realmente descobriu

As vulnerabilidades não são teóricas. Durante um período de avaliação controlada, o modelo identificou e produziu sozinho explorações funcionais para milhares de falhas de alta gravidade. Entre elas:

• Uma falha de execução remota de código de 17 anos no servidor NFS do FreeBSD, que concede acesso root não autenticado a qualquer atacante conectado à internet
• Uma vulnerabilidade de crash de 27 anos no OpenBSD, que escapou dos auditores humanos por décadas

O escopo é sistêmico, não restrito a um fornecedor. Todos os principais sistemas operacionais e navegadores estão afetados . Mais de 99% das vulnerabilidades descobertas ainda não foram corrigidas, deixando uma superfície de ataque imensa exposta na infraestrutura de tecnologia legada do setor financeiro .

A capacidade de exploração do modelo vai além da detecção passiva. Durante a janela de avaliação, o modelo demonstrou de forma autônoma caminhos de exploração para falhas críticas em softwares amplamente utilizados, confirmando os achados com provas de conceito funcionais . Especialistas em segurança cibernética agora veem o modelo como um desafio significativo para a indústria bancária e seus sistemas de tecnologia legados .

Por que a Europa está no escuro

O desafio mais grave para as instituições europeias não é só a existência das vulnerabilidades, mas o acesso assimétrico à ferramenta que as encontrou. A Anthropic estruturou a liberação do Claude Mythos Preview por meio do Project Glasswing, uma prévia de pesquisa controlada, com acesso priorizado para usos defensivos de segurança cibernética — mas limitada a um consórcio de parceiros majoritariamente americanos, como AWS, Google Cloud e CrowdStrike .

Bancos, reguladores e empresas de segurança cibernética europeus estão, em grande parte, do lado de fora. Eles precisam corrigir falhas que não podem investigar ou verificar de forma independente com a mesma capacidade de IA . Isso cria uma assimetria defensiva: atacantes com acesso podem explorar vulnerabilidades que os defensores na Europa não conseguem analisar ou reproduzir com facilidade.

A lacuna regulatória é particularmente frustrante para os formuladores de políticas da UE. O BCE e o Parlamento Europeu pressionam por respostas e ações, mas não têm o acesso tecnológico direto que os membros do consórcio nos EUA possuem, o que dificulta a supervisão e a avaliação independente de riscos . A Associação de Bancos Alemães (BdB) afirmou ao S&P Global Market Intelligence que está em "diálogo contínuo" com seus bancos associados, o Ministério Federal das Finanças, a BaFin (autoridade supervisora financeira alemã), o banco central alemão e instituições europeias e internacionais — mas esse engajamento segue reativo, não proativo .

A Anthropic se comprometeu a divulgar publicamente, em até 90 dias, os achados do Project Glasswing — uma publicação que o setor acompanha de perto . Até lá, os reguladores europeus estão entre uma ameaça operacional urgente e uma ferramenta que não podem tocar, pedindo aos bancos que corrijam falhas mais rápido contra um adversário que ainda não conseguem enxergar completamente.