Questionamento de segurança na era da IA: a lógica de proteção de dados bancários está a mudar

O jornalista do China Jingji, Guo Jianhang, Pequim

Com a era da IA, a recolha e utilização de volumes massivos de dados, a importância da segurança dos dados torna-se cada vez mais evidente.

O desenvolvimento da tecnologia de IA está a avançar rapidamente, e a inteligência artificial irá penetrar, a uma velocidade mais rápida do que o previsto, nas decisões de negócio e nas atividades de gestão dos bancos. Antes, vários bancos anunciaram publicamente que iriam continuar a promover a construção de transformação digital, para impulsionar a mudança dos modos de trabalho para uma abordagem orientada pelos dados. Ao mesmo tempo, o mercado e a supervisão também estão a interrogar se as capacidades dos bancos em termos de proteção da segurança dos dados conseguem acompanhar em simultâneo. A proteção da segurança dos dados dos bancos influenciará diretamente o nível de atividade de operação em conformidade com as regras.

O repórter do “China Business News” notou que, até 26 de março, entre as sanções administrativas já publicadas pelo banco central e pelos seus organismos subordinados, os casos que envolvem explicitamente infrações relativas a “gestão da segurança dos dados” ou “gestão da segurança da rede” já ultrapassaram 30.

O gestor geral da Direção de Entrega de Ativos de Dados da Shenzhou Information, Zhang Kun, afirmou: “Na era da IA, a gestão da segurança dos dados bancários precisa de, com base na governação tradicional dos dados, inovar e atualizar de acordo com as características das aplicações de IA. O ponto-chave é estabelecer um sistema de gestão pormenorizada de ‘marcar de forma clara, desde o momento em que os dados são gerados, o propósito, as permissões e o ciclo de vida’, através da combinação orgânica entre meios técnicos e constrangimentos institucionais, de modo a garantir simultaneamente a segurança e a conformidade dos dados, e apoiar o desenvolvimento saudável da tecnologia de IA.”

Mais de 30 casos de sanções no início do ano

No ano de arranque do “Décimo Quinto Plano” (quinquenal), o setor bancário enfrenta um ambiente de segurança cada vez mais complexo. Da conformidade passiva à defesa ativa, da governação de pontos isolados à operação sistémica. A disputa em torno da segurança dos dados pode ser vista, desde logo, nas sanções divulgadas no início da supervisão.

De acordo com os anúncios de sanção do banco central referidos anteriormente, relativos a infrações de segurança dos dados e segurança da rede, algumas sucursais por província de bancos comerciais grandes estatais, bem como bancos por ações e bancos urbanos e rurais, receberam multas.

Pelos casos de algumas sanções, o Banco Rural e Comercial Ruifeng foi multado em 316,8 milhões de yuans, valor relativamente elevado entre as sanções do primeiro trimestre de 2026. As informações de sanções administrativas publicadas pelo banco central indicam que o Banco Ruifeng incorreu em múltiplas violações, incluindo a violação das disposições sobre gestão de estatísticas financeiras, disposições sobre gestão de contas, disposições sobre gestão da segurança dos dados e da segurança da rede, bem como o não cumprimento, conforme exigido, da realização de diligência devida do cliente e do reporte de transações de grande montante, etc. Quanto a esta multa, o Banco Ruifeng respondeu ao repórter: “Esta sanção refere-se a punições de um período inicial (nos dois primeiros anos); atualmente, a correção já está concluída e bem implementada. Envolve sobretudo problemas de aplicação de dados não regulamentada. Relativamente a problemas mais pormenorizados, no futuro serão formulados planos em conjunto com a atualização tecnológica e a evolução do setor, e haverá investimentos para atualização dos sistemas de proteção.”

Além disso, dois bancos em Guizhou foram sancionados por “violação das disposições relevantes sobre recolha, fornecimento, consulta e respetiva gestão de informação de crédito”. Estes dois bancos disseram que, por enquanto, não existem medidas de correção que possam ser divulgadas. Um responsável de um banco rural e comercial numa instituição em Guizhou disse ao repórter: “Neste momento, os bancos rurais e comerciais, ao executar regras operacionais como as relativas à segurança dos dados e segurança da rede, em geral baseiam-se nas normas comportamentais definidas pela associação provincial de cooperativas de crédito. Depois de um banco ser sancionado por violação, as medidas específicas de correção futuras também serão definidas pela associação provincial.”

Ao sistematizar as razões de sanção envolvidas nas multas, verifica-se que a violação das disposições sobre gestão da segurança da rede e das disposições sobre gestão da segurança dos dados ocorre com a maior frequência; em seguida, a violação das disposições sobre recolha, fornecimento, consulta e gestão relacionada com informação de crédito. Também existem casos relacionados com violações de não adoção de medidas técnicas para prevenir vírus informáticos e ataques de rede, intrusão de rede e outros comportamentos lesivos à segurança da rede.

Por trás das sanções repetidas emitidas pela supervisão, está a rápida formação do sistema de supervisão de segurança dos dados financeiros. Desde 2024, a Administração Estatal de Supervisão Financeira e de Bancos da China formou, com o Banco Popular da China, um quadro de “supervisão em duas linhas”.

De acordo com informação pública, em dezembro de 2024, a Administração Estatal de Supervisão Financeira e de Bancos da China publicou as “Medidas para a Gestão da Segurança dos Dados de Instituições de Bancos e de Seguros”, tendo introduzido “avaliação de segurança dos dados” para as instituições de bancos e de seguros. Em maio de 2025, o Banco Popular da China publicou as “Medidas para a Gestão da Segurança dos Dados no Domínio de Negócios do Banco Popular da China”, que pormenorizam e clarificam as exigências de base de conformidade em matéria de segurança dos dados no domínio de negócios do Banco Popular da China, e definem o princípio de “quem gere o negócio, gere os dados do negócio; quem gere os dados, gere a segurança dos dados”.

Entrando em 2026, o ritmo de publicação de políticas avança de forma estável. O Gabinete da Administração Estatal de Supervisão Financeira e de Bancos da China emitiu o “Aviso sobre a realização de uma ação especial para melhorar a capacidade de gestão da segurança dos dados das instituições financeiras”, que apresenta de forma clara os requisitos gerais de “descobrir um lote, corrigir um lote, divulgar um lote e punir um lote”. Além disso, o Gabinete do Ciberespaço da China abriu consulta pública sobre as “Diretrizes para Classificação e Níveis de Dados de Serviços de Informação Financeira”, pormenorizando ainda mais as regras de classificação para dados nucleares, dados importantes e dados sensíveis gerais.

Profissionais da indústria acreditam que a orientação central da supervisão reside em promover que os bancos integrem a segurança dos dados e a segurança da rede na governação corporativa e na gestão quotidiana, concretizando a transição de uma conformidade por etapas e passiva para uma governação de longo prazo e contínua.

“Pensamento de construir muros” a virar para “pensamento de gerir fluxos”

Sob a pressão do impulso das políticas de supervisão, as fragilidades na construção da segurança dos dados no setor bancário tornam-se também cada vez mais claras. Atualmente, que fragilidades evidentes existem na construção da segurança dos dados por parte dos bancos?

Zhang Kun considera que, em primeiro lugar, falta capacidade para realizar um levantamento completo dos ativos de dados. Muitos bancos não têm um conhecimento totalmente claro da sua própria base de dados; especialmente, carecem de uma gestão unificada e eficaz dos “dados obscuros” dispersos pelos vários sistemas de negócio, ambientes de teste, computadores pessoais e sistemas legados históricos. Não saber onde estão os dados significa, naturalmente, que não é possível falar de proteção eficaz. Em segundo lugar, falta visibilidade e capacidade de controlo no processo de circulação dos dados. Uma dor de cabeça frequentemente mencionada na indústria é “os dados são visíveis mas não são controláveis”, ou seja, os dados estão seguros nos sistemas centrais, mas uma vez que, por diversos meios, são exportados para o Excel, para uma base de testes ou para um sistema de terceiros, entram na “zona cega da supervisão”. Os sistemas tradicionais de prevenção de fuga de dados (DLP) concentram-se mais no fluxo de ficheiros, mas para acessos a dados por meios como chamadas via API e consultas à base de dados, as capacidades de monitorização e controlo são relativamente fracas. Em terceiro lugar, há problemas de consciência de segurança e de conformidade operacional dos intervenientes internos. Mesmo com meios técnicos altamente avançados, se a consciência de segurança do pessoal não acompanhar, ainda se gerarão grandes pontos de exposição ao risco; isto ocorre sobretudo quando departamentos de negócio, para melhorar a eficiência do trabalho, contornam procedimentos de segurança ou quando, na partilha e colaboração de dados, surgem operações em violação das regras.

Zhang Kun considera que, no contexto do surgimento de regulamentos e políticas, a construção da segurança dos dados nos bancos está a atravessar uma fase crítica de transição de “conduzida pela conformidade” para “controlo do risco”. No entanto, no atual ambiente regulatório, a implementação prática da construção da segurança dos dados dos bancos continua a enfrentar vários desafios. Por exemplo, os bancos estabelecem sistemas de classificação e níveis de dados, mas na execução real enfrentam o problema de “ser difícil implementar”. Outro exemplo: com a aceleração da internacionalização dos negócios bancários, os cenários de transferência de dados para o exterior estão a aumentar, e com o aperto dos requisitos de conformidade para o fluxo transfronteiriço de dados, os bancos precisam de construir mecanismos de avaliação de segurança para a saída de dados. Atualmente, o fluxo de dados depende de “canais de dados novos”, como interfaces de API e ligações diretas a bases de dados, o que também cria novos pontos de exposição ao risco, entre outros problemas.

Na verdade, no contexto de aplicações aprofundadas de tecnologias emergentes como inteligência artificial (IA), a lógica de proteção da segurança dos dados no setor financeiro sofreu uma mudança fundamental.

O responsável de tecnologia da Jiajie Yunxing, empresa de operação de gestão de computação em nuvem e escalonamento de capacidade inteligente, disse ao repórter: “O maior impacto, na era da IA, na construção da segurança dos dados bancários é que as estratégias de segurança devem acompanhar cada chamada de dados e cada caminho, com implementação dinâmica. Nos caminhos tradicionais de acesso aos dados de ‘utilizador — sistema de aplicação — base de dados’, as estratégias de segurança são construídas principalmente à volta do limite de rede e de uma aplicação única. Na era da IA, a trajetória de acesso centrada em agentes de IA torna-se altamente dinâmica: os utilizadores chamam diversos instrumentos e APIs através dos agentes de IA, acedem a recursos de dados empresariais através de vários sistemas, planeiam de forma autónoma os caminhos e fazem circulação entre domínios, o que torna ineficazes os mecanismos tradicionais de controlo de acesso baseados apenas em limites e aplicações. Ao mesmo tempo, o risco de fuga de dados deixa de ficar limitado a um único cenário e passa a abranger múltiplos caminhos em simultâneo. Além disso, ao atribuir permissões amplas para garantir que as tarefas do agente sejam concluídas, é fácil gerar riscos como acesso sem autorização. Todos estes fatores afetam a mudança da estratégia de proteção de dados na era da IA.”

Na era da IA, como é que a gestão da segurança dos dados dos bancos pode cobrir todo o ciclo de vida dos dados? Zhang Kun considera que os bancos precisam de construir uma estrutura de governação de IA centrada nos dados, para melhorar a capacidade de gestão em todo o ciclo de vida em múltiplas dimensões. Na fase de recolha, é necessário estabelecer mecanismos de avaliação especializada para a recolha de dados pelas aplicações de IA. Para necessidades de dados de projetos de IA, é necessário descrever por campos o propósito e a necessidade, seguindo o princípio de “limitar ao objetivo + mínimo necessário”. Ao mesmo tempo, é necessário introduzir ferramentas automatizadas de deteção de conformidade para fazer uma varredura de conformidade de privacidade nos dados a serem inseridos, e criar mecanismos de rastreabilidade da origem dos dados, de modo a assegurar que os dados de treino são “limpos” e legais. Na fase de armazenamento e utilização, devem ser amplamente aplicadas tecnologias de aprimoramento da privacidade. Em particular, com a tecnologia de privacidade diferencial, ao adicionar ruído matemático aos dados, os atacantes não conseguem reverter para obter informações de privacidade específicas dos indivíduos a partir das saídas do modelo. No momento de partilha, deve ser estabelecido um mecanismo de gestão pormenorizada de partilha de dados com base em cenários. Tendo em conta as características das aplicações de IA, devem ser clarificados o âmbito de partilha, os métodos de partilha e os requisitos de segurança em diferentes cenários. Podem ser utilizadas tecnologias como a aprendizagem federada, para partilhar o valor dos dados com a premissa de proteger a privacidade dos dados. Na fase de eliminação, é necessário estabelecer um mecanismo inteligente de automatização da operação ao longo do ciclo de vida. Através de ferramentas automatizadas, marcar e gerir os dados em toda a cadeia; quando os dados completam tarefas de treino de IA ou ultrapassam o prazo de retenção em conformidade, o sistema aciona automaticamente o processo de destruição segura e gera comprovativos de destruição que não podem ser adulterados.

Notícias em grande volume e análises precisas, tudo na aplicação Sina Finance