Departamento de Tesouro Nacional Americano publica relatório para regulamentação de uso de sistemas de IA nas instituições financeiras

Por Sílvio Campos

No último dia 27 de março, o Departamento do Tesouro Nacional dos Estados Unidos da América publicou relatório em observação ao direcionamento dado pela Executive Order Presidencial nº 14110 sobre a Segurança e Desenvolvimento da Confiança e Uso da Inteligência Artificial, de 30 de outubro do ano passado.

A Executive Order em questão, numa brevíssima introdução, refere-se a um documento elaborado pela Presidência dos Estados Unidos da América que estabelece os motivos para a proposta de uma regulamentação firma para a fiscalização e supervisão do uso de sistemas de Inteligência Artificial no país, além de apresentar as principais políticas e princípios previstos na regulamentação, tais como o de que a IA deveria ser usada com segurança; para a promoção de inovação e competição responsáveis, tendo em vista a importância para a garantia da participação de pequenas empresas nas soluções tecnológicas para o fomento da inovação; e focado no avanço dos direitos civis e da igualdade, de forma a se evitar e proibir usos de sistemas de IA que ofendam ou dificultem o avanço dos direitos daqueles cidadãos que se encaixam nos grupos minoritários.

Segundo a Subsecretária de Finanças Domésticas americana, Nellie Liang, a Inteligência Artificial está redefinindo a Cibersegurança e fraudes no setor de serviços financeiros e a Presidência está comprometida em trabalhar com as instituições financeiras para a utilização de tecnologias emergentes enquanto admite uma posição relevante de segurança contra ameaças “à resiliência operacional e à estabilidade financeira.”

No relatório, a Secretaria identificou oportunidades importantes e desafios que a IA apresenta para a segurança e resiliência do setor financeiro. Assim, o relatório elenca uma série de próximos passos para o direcionamento imediato do risco operacional, cibersegurança e os desafios de fraude relacionados à IA, quais sejam:

1. Abordagem da crescente lacuna de capacidades. Há uma lacuna cada vez maior entre grandes e pequenas instituições financeiras quando se trata de sistemas internos de IA. As grandes instituições desenvolvendo os seus próprios sistemas de IA, enquanto as instituições menores podem não conseguir fazê-lo porque não possuem os recursos de dados internos necessários para treinamento de grandes modelos. Ademais, as instituições financeiras que já migraram para a nuvem podem ter uma vantagem quando se trata de aproveitar os sistemas de IA de forma segura;
2. Redução da divisão de dados sobre fraude. À medida que mais empresas implementam IA, existe uma lacuna nos dados disponíveis às instituições financeiras para modelos de formação. Esta lacuna é significativa na área da prevenção da fraude, onde há partilha insuficiente de dados entre empresas. À medida que as instituições financeiras trabalham com os seus dados internos para desenvolver estes modelos, as grandes instituições detêm uma vantagem significativa porque possuem uma quantidade muito maior de dados. As pequenas e médias instituições geralmente carecem de tantos dados internos e conhecimentos especializados suficientes para construir os seus próprios modelos de IA antifraude;
3. Coordenação regulatória. As instituições financeiras e os órgãos reguladores estão a colaborar sobre a melhor forma de resolver em conjunto as preocupações de supervisão num ambiente de IA em rápida mudança. No entanto, há fortes preocupações sobre a fragmentação regulamentar, uma vez que diferentes reguladores do setor financeiro, tanto a nível estadual como federal, e internacionalmente, consideram regulamentos para a IA, sob aspectos e perspectivas diversas;
4. Expansão da Estrutura de Gestão de Riscos de IA do NIST. A Estrutura de Gestão de Riscos de IA do Instituto Nacional de Padrões e Tecnologia (NIST) poderia ser expandida e adaptada para incluir conteúdo mais aplicável sobre governança de IA e gestão de riscos relacionados ao setor de serviços financeiros;
5. Melhores práticas para mapeamento de dados da cadeia de abastecimento e “rótulos nutricionais”. Os rápidos avanços na IA generativa expuseram a importância de monitorizar cuidadosamente as cadeias de fornecimento de dados para garantir que os modelos utilizam dados precisos e fiáveis ​​e que a privacidade e a segurança são consideradas. Além disso, as instituições financeiras devem saber onde estão os dados dos cidadãos e clientes e como estão sendo utilizados. O setor financeiro se beneficiaria do desenvolvimento de melhores práticas para o mapeamento da cadeia de abastecimento desses dados pessoais. Além disso, o setor beneficiaria de uma descrição padronizada, semelhante ao um “rótulo nutricional” dos alimentos, para sistemas de IA e fornecedores de dados fornecidos pelos fornecedores. Esses “rótulos nutricionais” identificariam claramente quais dados foram usados ​​para treinar o modelo, onde os dados se originaram e como quaisquer dados enviados ao modelo estão sendo usados;
6. Explicabilidade para soluções de IA de caixa preta. A explicabilidade dos modelos avançados de aprendizagem automática, especialmente da IA ​​generativa, continua a ser um desafio para muitas instituições financeiras, a nível internacional. O setor beneficiaria de investigação e desenvolvimento adicionais em soluções de explicabilidade para sistemas de caixa negra, como a IA generativa, considerando os dados utilizados para treinar os modelos e os resultados e testes robustos e auditoria destes modelos. Na ausência destas soluções, o setor financeiro deve adotar as melhores práticas para a utilização de sistemas de IA generativos que carecem de explicabilidade;
7. Lacunas no capital humano. O ritmo acelerao de desenvolvimento da IA ​​expôs uma lacuna substancial de talentos na força de trabalho para aqueles qualificados na criação e manutenção de modelos e utilizadores de IA. Um conjunto de melhores práticas para profissionais menos qualificados sobre a utilização de sistemas de IA com segurança ajudaria a gerir esta lacuna de talentos. Além disso, existe uma lacuna de competência técnica nas equipes que gerem riscos de IA, tais como nos domínios jurídico e de conformidade. O treinamento em IA específico para funções para funcionários fora da tecnologia da informação pode ajudar a educar essas equipes críticas;
8. Necessidade de um conjunto de termos comum de IA. Há uma falta de consistência em todo o setor na definição do que vem a ser “inteligência artificial”. As instituições financeiras, os reguladores e os consumidores beneficiariam enormemente de um léxico comum específico para a IA, de forma a se adequarem à realidade no uso dessas novas tecnologias no cotidiano, o que garantiria também uma maior segurança jurídica aos players do setor em casos de implicações jurídicas;
9. Desvendando soluções de identidade digital. Soluções robustas de identidade digital podem ajudar as instituições financeiras a combater a fraude e a fortalecer a segurança cibernética de suas infraestruturas. No entanto, estas soluções diferem na sua tecnologia, governança e segurança digital, e oferecem vários níveis de garantia. Um conjunto emergente de padrões técnicos de identidade digital internacionais, industriais e nacionais está em andamento nos Estados Unidos;
10. Coordenação internacional. O caminho a seguir para a regulamentação da IA ​​nos serviços financeiros permanece uma questão em aberto a nível internacional. O Tesouro Americano, assim, conforme a Secretaria, continuará a colaborar com parceiros estrangeiros sobre os riscos e benefícios da IA ​​nos serviços financeiros.

Como parte da pesquisa para a elaboração do relatório, a Secretaria realizou entrevistas com mais de 42 instituições financeiras e desenvolvedoras de tecnologia de todos os tamanhos e relevâncias no mercado para a realização de uma abordagem ampla dos atuais casos de uso de sistemas de IA nessas empresas para o aumento da segurança cibernética e da prevenção de fraudes, além de abordar as melhores práticas e recomendações para uso e adoção de IA nas empresas, com o compormisso de preservar direitos civis e fundamentais e deveres previstos em contratos e regulamentos aplicáveis.

Entre as principais medidas a serem tomadas para o uso ético desses sistemas nas instituições financeiras previstas no Relatório, podem ser destacados:

• A inclusão do gerenciamento de risco de IA aos programas de gerenciamento de riscos da empresas já existentes, de forma que, geralmente, as três linhas de defesa para a gestão de riscos são a linha de negócios corporativa, o gerenciamento de risco e a auditoria de controles de risco. Nessa estrutura, a linha de negócios é a primeira responsável pelo gerenciamento de riscos associados aos seus sistemas de IA e suas ofertas de negócios. A segunda linha fornece sistemas de gestão de conformidade e gestão de riscos e permite que comunicações e decisões sobre o uso do sistema de IA sejam elevadas ao gerenciamento. A auditoria de terceira linha, por fim, garante que o monitoramento, os controles e os relatórios corretos estejam em vigor para gerenciar os riscos específicos do contexto apresentados pela IA;
• Desenvolvimento e implementação de um framework de riscos de IA, de forma que tendo isso, auxilia na identificação de riscos associados à IA, com seu uso de sistemas de IA no contexto de cada empresa. Além disso, o mapeamento fornece uma visão geral dos controles existentes ligados ao risco de IA e destaca lacunas específicas sobre o uso de IA que podem ser preenchidas com planos estruturados de mitigação de riscos; e
• Integrar funções de gerenciamento de risco para a IA. Independentemente da localização dentro da estrutura de governança, as instituições financeiras são aconselhados a integrar planos de IA em suas funções de gerenciamento de riscos corporativos e conectar com outras partes da organização para lidar com os riscos multifacetados representados pela IA.

Diante dessas questões, tanto a nível internacional como também aqui no Brasil, a IA pode ser muito útil e importante para a obtenção de maiores retornos para as empresas do setor, mas também deve ser pensada para a melhoria da gestão de riscos, tornando mais efetiva, para o aumento da eficiência operacional e o aprimoramento dos produtos e da geração e distribuição de conteúdo das empresas do setor.

Assim, há necessidade de mais estudos, de elaboração e criação de soluções e boas práticas para o fomento de uma inovação que seja capaz de modernizar as atividades do setor e promover o desenvolvimento e integridade do setor, para uma maior garantia dos direitos civis e fundamentais dos cidadãos e clientes, como a proteção de seus dados pessoais.