A Europa enfrenta uma nova categoria de ameaça cibernética e ainda não tem resposta à altura…

Co efeito, nos últimos meses, modelos de inteligência artificial com capacidades avançadas de hacking automatizado deixaram de ser ficção científica para se tornarem realidade. O modelo Mythos, da empresa norte-americana Anthropic, foi o primeiro a ser publicamente reconhecido como tendo capacidade de executar ataques cibernéticos sofisticados de forma autónoma. Pouco depois, a OpenAI anunciou o GPT-5.5-Cyber, com capacidades em tudo semelhantes ao Mythos.

O problema agota não é apenas o que estes modelos conseguem fazer. É, sobretudo, quem os controla e quem não tem acesso.

Claudia Plattner, presidente do Gabinete Federal Alemão para a Segurança da Informação (BSI), alertou membros do Parlamento alemão, em reunião fechada a 7 de maio, para o facto de as autoridades europeias ainda não tinham conseguido testar o modelo Mythos. Alemanha, e por extensão a União Europeia, depende das avaliações feitas pelo Reino Unido e pelos Estados Unidos: parceiros com acesso privilegiado concedido pela própria Anthropic e um, fora da União Europeia e o segundo cada vez mais hostil aos interesses europeus.

Trinta eurodeputados enviaram uma carta à Comissão Europeia no início de maio a exigir um “plano europeu de mitigação” face aos riscos de hacking associados a estes novos modelos. O eurodeputado neerlandês Bart Groothuis foi directo: “A Europa não está à mesa.” Esta ausência não é apenas diplomática. É estrutural e tem consequências práticas imediatas: as instituições europeias, as infraestruturas críticas e os sistemas de informação públicos estão a ser avaliados quanto à sua resiliência com base em ameaças que os próprios reguladores europeus ainda não conseguiram analisar em primeira mão.

Paralelamente e agravando um quadro já de si bastante tenebroso, Claudia Plattner deixou vários alertas para sinais de que empresas tecnológicas chinesas (como a Alibaba) estarão próximas de desenvolver modelos com capacidades equivalentes ao Mythos: vários fornecedores chineses deixaram recentemente de publicar actualizações dos seus modelos de IA anteriormente abertos, o que poderá indicar que o desenvolvimento passou para ambientes fechados.

Os grupos de hacking patrocinados pelo Estado chinês já são considerados uma das ameaças cibernéticas mais activas e sofisticadas contra a Europa. A perspectiva de esses actores disporem de ferramentas de IA com capacidade de superhacking, sem qualquer mecanismo de acesso antecipado para parceiros de confiança, como o que a Anthropic estabeleceu para um conjunto limitado de organizações, representa uma escalada qualitativa de risco de enorme escala.

O que muda com a IA de superhacking?

Até agora, os ataques cibernéticos sofisticados exigiam tempo, competências especializadas e recursos humanos consideráveis. Modelos como o Mythos ou o GPT-5.5-Cyber alteram esta equação: podem automatizar a identificação de vulnerabilidades, adaptar-se a defesas em tempo real e executar sequências de ataque complexas com uma fracção do esforço humano anteriormente necessário.

Isto não afecta apenas os grandes Estados ou as multinacionais. Afecta hospitais, câmaras municipais, sistemas de pagamento, infraestruturas de água e energia: exactamente o tipo de alvos que têm sido repetidamente visados em Portugal e que continuam a revelar lacunas graves de segurança.

Recomendações do CpC enviadas ao Governo português:

O Governo português não pode permanecer à margem de uma mudança que já está a ocorrer. Formulamos as seguintes recomendações urgentes:

1. Exigir acesso europeu coordenado aos modelos de IA de alto risco: Portugal deve apoiar activamente, no Conselho da UE e junto da Comissão Europeia, a criação de um mecanismo formal que garanta às autoridades de cibersegurança dos Estados-membros acesso antecipado e estruturado a modelos de IA com capacidades de risco elevado e isto antes da sua disponibilização comercial. O modelo de divulgação responsável aplicado pela Anthropic deve tornar-se uma exigência regulatória, não uma opção voluntária.

2. Reforçar o CNCS com mandato e recursos para avaliar ameaças de IA: O Centro Nacional de Cibersegurança deve ser dotado de capacidade técnica específica para avaliar ameaças emergentes baseadas em IA. Isso implica recrutamento de competências em machine learning e segurança ofensiva, bem como articulação formal com a ENISA e com os parceiros do grupo de cooperação NIS2.

3. Auditar a resiliência das infraestruturas críticas nacionais face a ataques automatizados: A avaliação de risco das infraestruturas críticas nacionais (energia, saúde, água, transportes, administração pública) deve ser actualizada para contemplar cenários de ataque com recurso a IA. Os critérios actuais de avaliação de vulnerabilidades estão desactualizados face a esta nova geração de ferramentas.

4. Não depender exclusivamente de fornecedores norte-americanos para a defesa:  A iniciativa francesa de desenvolver capacidades europeias próprias de cibersegurança baseadas em IA deve ser replicada e Portugal deve contribuir activamente para essa agenda no quadro da cooperação de defesa europeia em vez de aguardar que Washington ou uma empresa privada decida quem tem acesso às ferramentas de protecção.

5. Informar os cidadãos e as organizações sobre a nova paisagem de ameaças:

A literacia em cibersegurança não pode continuar a ser tratada como um apêndice secundário e opcional das políticas digitais. Num contexto em que ataques automatizados por IA se tornarão progressivamente acessíveis a actores menos sofisticados, a formação de utilizadores, a sensibilização de PMEs e a capacitação das autarquias tornam-se medidas de segurança nacional e não apenas de boas práticas digitais.

O tempo de observar o que os outros fazem já passou: Portugal precisa de uma posição activa, de recursos à altura da ameaça e de voz própria nas instâncias europeias onde estas decisões estão a ser tomadas.
CpC: Cidadãos pela Cibersegurança – cidadaospelaciberseguranca.com