Imagine contratar cerca de 100 novos funcionários para cada um que você já tem e, por impulso, dar a todos eles direitos de administrador. Embora esses recém-chegados possam ser brilhantes, eles nem sempre conhecerão as regras. Alguns cometerão erros. Outros podem tomar liberdades. Em pouco tempo, o caos se instalaria.
É o que está acontecendo atualmente nas instituições de serviços financeiros. Para cada funcionário humano, existem 96 identidades de máquina que as equipes precisam gerenciar — uma proporção significativamente maior em comparação com a média de 82:1 em outros setores. E isso é antes mesmo de considerarmos a IA agêntica.
Esses “trabalhadores autônomos” estão se tornando rapidamente cidadãos de primeira classe em sistemas críticos. No entanto, a inovação em IA agêntica e a proliferação de identidades de máquina estão superando os controles de segurança para muitas empresas financeiras.
A Ascensão da IA e a Proliferação de Identidades de Máquina em Finanças
Líderes de serviços financeiros sabem que a contagem de identidades está explodindo, e mais da metade (51%) das empresas esperam que o número de identidades que gerenciam dobre nos próximos 12 meses, com máquinas e sistemas de IA como principais motores desse crescimento.
No entanto, apenas 10% das organizações financeiras veem as identidades de máquina como usuários “privilegiados”.
Por que essa lacuna é tão preocupante? A adoção de IA agêntica está disparando. A IA agêntica está impulsionando a “economia de faça por mim” em finanças, já automatizando verificações de conformidade, analisando negociações e até mesmo tomando decisões de crédito. Embora essas inovações de negócios sejam poderosas, a falta de barreiras de segurança focadas em identidade para a tecnologia de IA agêntica é motivo de preocupação.
A descoberta é a primeira batalha. Não é possível proteger o que não se consegue ver. Se uma organização não souber onde está cada identidade, aquelas que operam na escuridão provavelmente a pegarão desprevenida.
É útil pensar nos agentes de IA como funcionários digitais. Mas será que uma empresa permitiria que milhares de novos trabalhadores acessassem seus sistemas sem verificações rigorosas, políticas de acesso ou supervisão contínua? É o que acontece quando a proliferação de identidades de máquina — especificamente, agentes de IA — cresce sem controle.
Riscos Crescentes da Shadow AI em Serviços Financeiros
O antigo problema da Shadow IT evoluiu para algo muito mais perigoso: a Shadow AI (IA Sombra). Quase metade (45%) das organizações de serviços financeiros admite que agentes de IA não sancionados já estão criando silos de identidade fora dos programas formais de governança.
Considere um agente de IA de processamento de liquidação que ajusta um script para acelerar as liquidações de final de dia. A taxa de transferência melhora em 30%, mas, no processo, o agente não monitorado ignora uma regra de filtragem de dados crucial, puxando acidentalmente dados de conjuntos não-produção e arrisgando um vazamento de dados. Se esse agente não for rastreado, mitigar o vazamento ou o incidente subsequente é muito mais difícil.
Embora os ganhos de eficiência dos agentes de IA sejam claros, a Shadow AI apresenta um risco real e não gerenciado, além de um potencial maior para violações de conformidade dispendiosas.
Três Superfícies de Ataque da IA Agêntica que Empresas Financeiras Devem Proteger
Cada agente de IA abre três camadas exclusivas de ataque, cada uma apresentando seus próprios desafios de segurança de identidade. Juntas, essas camadas formam uma estrutura crítica para entender onde estão as vulnerabilidades:
- Credenciais de Infraestrutura: Chaves de API, certificados TLS e outras credenciais de máquina são a força vital de como os agentes de IA operam. Se roubadas, podem atuar como um cartão mestre de acesso deixado sobre uma mesa, concedendo acesso não autorizado a sistemas críticos.
- Acúmulo de Direitos (Entitlement Creep): Com o tempo, os agentes acumulam privilégios da mesma forma que os funcionários humanos. Um pouco de acesso aqui, um direito temporário ali, e logo, um agente de IA tem controle abrangente — muitas vezes muito além do necessário para sua função.
- A Camada do Modelo: Os próprios agentes de IA podem ser manipulados. Técnicas como injeção de prompt, loops recursivos ou dados de treinamento envenenados podem enganar os agentes de IA para que se comportem contra a política, acessem sistemas que nunca deveriam ou herdem riscos de seus outros colegas agênticos.
A supervisão humana sozinha não é suficiente nessa escala. São necessários controles que funcionem na velocidade da máquina, com estruturas de governança que tratem os agentes de IA como identidades de máquina privilegiadas.
Riscos e Recompensas de Fraude: Como a IA Agêntica Está Remodelando as Finanças
Em nenhum outro lugar a natureza dupla dos agentes de IA é mais aparente do que na fraude.
Por um lado, eles podem ser multiplicadores de fraude. Sessenta por cento das empresas financeiras já dizem que sua principal preocupação com a IA é a má configuração ou manipulação de agentes. Um agente desonesto — ou, pior, um projetado para detecção de fraude, mas enganado para permitir a fraude — torna-se a ameaça interna máxima.
Por outro lado, eles podem ser combatentes da fraude. Sistemas de detecção de fraude orientados por IA monitoram bilhões de transações anualmente, provando que os agentes de IA podem superar os fraudadores quando governados corretamente.
O paradoxo é claro: os agentes podem ser tanto heróis quanto vilões. Controles com foco em identidade desempenham um papel crítico na determinação de qual.
Por Que a Segurança de Identidade é Crítica para a Inovação no Setor Financeiro
A segurança que prioriza a identidade permite que as empresas inovem em velocidade, ao mesmo tempo que provam aos reguladores que estão fazendo isso com segurança.
Regulamentações na Europa (como a EU AI Act e a DORA) abordam explicitamente identidades de máquina e governança de modelos. As empresas que se adiantam não apenas reduzem o risco, mas criam uma vantagem operacional e de conformidade.
Por exemplo, um banco que implementa privilégios estáticos zero (ZSP) e acesso just-in-time (JIT) para cada agente de verificação de conformidade pode demonstrar aos reguladores que as ações são registradas, limitadas e revogáveis em tempo real. A preparação para auditoria, que antes levava semanas, agora leva horas. Isso representa uma liderança em segurança.
Garantindo o Futuro das Finanças com a Governança de IA Focada em Identidade
Com as equipes de serviços financeiros lutando para gerenciar 96 máquinas para cada humano — e com cada agente de IA sendo uma identidade de máquina privilegiada —, proteger os agentes de IA é o desafio e a oportunidade definidores da cibersegurança financeira atual.
O foco deve ser na descoberta, propriedade e governança, que devem se estender a essas identidades de máquina com a mesma disciplina aplicada aos humanos. Esses são os novos colegas de trabalho digitais e exigem uma segurança de primeira classe que corresponda ao seu acesso de primeira classe.
