O número de ataques cibernéticos é alarmante e assustador. Estima-se que, globalmente, ocorram cerca de 6.500 ataques por mês. De ransomware e ataques DDoS a phishing, smishing e vishing, há muitos motivos para preocupação. Paralelamente, estamos diante de duas grandes transformações tecnológicas – Inteligência Artificial (IA) e Criptografia Pós-Quântica (PQC) – ambas com potencial para revolucionar os negócios e a vida cotidiana de formas que nunca imaginaríamos. No entanto, esses avanços também trazem riscos significativos.
Combinando esses fatores, o potencial para uma infinidade de incidentes cibernéticos é muito grande e superar esses desafios exigirá mais do que uma boa infraestrutura de cibersegurança. A solução? Regulamentações mais rigorosas.
Apesar das preocupações e dos recentes alertas de executivos proeminentes sobre regulamentações de IA – incluindo o CEO da SAP, Christian Klein – a quantidade de regulamentações direcionadas a ela só continuará a crescer em todo o mundo, em resposta às suas crescentes capacidades e uso. Em tempos em que "maus elementos" causam grandes danos, leis mais fortes e abrangentes podem ser uma das nossas melhores ferramentas de defesa.
É por isso que acredito que será positivo vermos um número crescente de regulamentações sendo aprovadas e implementadas por governos em 2025. Na verdade, acredito que as regulamentações mais cruciais se concentrarão no controle da IA, mas isso não significa que outras áreas regulatórias não estarão em destaque neste ano.
Implementar IA está no foco de todos
A atividade regulatória em torno da IA começará já no início do próximo ano na Europa, especificamente na União Europeia (UE). A Lei de Inteligência Artificial entrou em vigor em agosto, mas as proibições de "risco inaceitável" entrarão em vigor em 2 de fevereiro e devem ajudar a limitar, ou até eliminar, certos aspectos dos sistemas de IA de alto risco. O que se entende por risco inaceitável são sistemas de IA considerados prejudiciais aos direitos fundamentais das pessoas, como aqueles que manipulam seu comportamento, levando-as a fazer coisas que normalmente não fariam, bem como sistemas de IA que exploram vulnerabilidades das pessoas como idade, status social ou econômico, ou deficiência.
Futuramente, em Agosto, os requisitos de transparência também entrarão em vigor, o que deve ser impactante, pois exigirá que as empresas informem os indivíduos quando estão interagindo com sistemas de IA ou conteúdo gerado por ela. Com o crescente desconforto público sobre a capacidade da IA de criar conteúdos que imitam humanos, essa transparência pode ajudar a restaurar a confiança dos usuários e garantir que a tecnologia não seja usada de maneira maliciosa ou enganosa.
Nos Estados Unidos, embora o país tenha recentemente aderido à Convenção-Quadro do Conselho da Europa sobre Inteligência Artificial e Direitos Humanos, ainda não foram aprovadas regulamentações federais para IA. Entretanto, dado o volume de atividade em outras partes do mundo, devemos esperar muito mais ações em nível federal no país no próximo ano. Propostas como o Algorithmic Accountability Act e o National AI Initiative Act são as mais prováveis de avançar. Também recomendo acompanhar o US Bipartisan Senate AI Working Group. Haverá muitos debates e discussões sobre regulamentações em nível estadual, principalmente na Califórnia e em Nova Iorque. Até Elon Musk, conhecido por sua postura contra regulamentações, apoiou o Projeto de Lei 1047 da Califórnia, que introduz regulamentações de segurança para grandes modelos de IA, a fim de evitar riscos para a sociedade.
O mergulho do FinTech no DORA
Como mencionei anteriormente, a IA não é a única que verá movimento em torno da regulamentação. O setor de tecnologia financeira (fintech) está se preparando para o lançamento em janeiro do Digital Operational Resilience Act (DORA). A rigorosa regulamentação de cibersegurança, comparada ao GDPR, trará mudanças significativas para o mercado de tecnologia financeira. Segundo a BMC Software, o novo ato regulatório estabelece uma estrutura única para todo o setor financeiro europeu, eliminando lacunas e inconsistências entre os países da UE.
A nova regra será levada a sério, e sanções financeiras serão aplicadas às empresas que não a cumprirem. Como resultado, veremos muitas organizações reavaliando e atualizando suas estruturas de cibersegurança existentes. O que, como consequência, deve melhorar o panorama geral de segurança, trazendo proteções mais robustas, reduzindo o número de violações.
Mantenha-se informado
Não há dúvida de que regulamentações são necessárias, no entanto, elas devem ser elaboradas com muito cuidado para evitar burocracias desnecessárias que possam prejudicar a inovação e o avanço tecnológico. Uma vez que essas regulamentações estejam em vigor, independentemente do tema ou mercado, empresas ou organizações que não estiverem em conformidade estarão em risco e pagarão o preço, literalmente, na forma de multas. Para o futuro, será fundamental acompanhar de perto as regulamentações existentes e estar atento às mudanças para garantir que sua organização esteja preparada para novas exigências e não seja impactada negativamente.
Lila Kee, Chief Product Officer da GlobalSign.
