No dia 7 de abril de 2026, o Secretário do Tesouro Scott Bessent e o presidente da Reserva Federal Jerome Powell convocaram os CEOs do Bank of America, Citigroup, Wells Fargo, Goldman Sachs e Morgan Stanley em Washington. Não foi uma reunião de política monetária. O motivo era uma advertência sobre um modelo de inteligência artificial da Anthropic chamado Claude Mythos Preview, lançado naquele mesmo dia a um grupo restrito de empresas selecionadas.
A capacidade que gera alarme é concreta: Mythos detecta vulnerabilidades extremas em softwares, navegadores e sistemas de segurança com uma precisão inédita no mercado. A Anthropic admite isso sem eufemismos: se a ferramenta cair em mãos erradas, oferece a potenciais atacantes uma vantagem para roubar dados ou interromper infraestrutura crítica. Por isso, o lançamento é restrito. Por isso, o governo chamou os banqueiros. E por isso, este caso merece ser lido além do título de cibersegurança.
O que Mythos revela sobre o portfólio de inovação bancário
Os cinco bancos convocados gerenciam coletivamente mais de 20 trilhões de dólares em ativos e concentram mais de 40% da fatia de mercado bancário dos Estados Unidos. JPMorgan Chase, o maior ausente —seu CEO Jamie Dimon não pôde comparecer— processa mais de 20 bilhões de transações diárias. São instituições cuja infraestrutura tecnológica é, por definição, o alvo mais lucrativo para qualquer atacante sofisticado.
O setor já pagou caro por sua exposição: as brechas de segurança custaram uma média de 5,9 milhões de dólares por incidente em 2025, e as perdas agregadas do sistema bancário norte-americano por ciberataques naquele ano giraram em torno de 12 bilhões de dólares. Diante dessas cifras, a chegada de uma IA que automatiza a detecção de vulnerabilidades não é uma novidade acadêmica. É uma alavanca de poder que redistribui quem tem a vantagem na guerra ofensiva-defensiva.
O problema estrutural que a reunião de 7 de abril expõe é este: os grandes bancos investem massivamente em cibersegurança —JPMorgan destina 15 bilhões anuais em tecnologia— mas o fazem a partir da lógica de um negócio maduro, onde o objetivo é proteger o motor de receitas existente com processos padronizados, auditorias cíclicas e cumprimento regulatório. Mythos não se encaixa nesse modelo. É uma ferramenta de exploração ativa de vulnerabilidades, não de manutenção defensiva passiva. Absorver isso corretamente requer um desenho organizacional que a maioria dessas instituições não possui operationalmente.
Anthropic construiu uma empresa dentro de sua empresa, e os bancos não
O mais revelador do caso não está na advertência governamental, mas no contraste entre como a Anthropic executou o lançamento e como o sistema financeiro está posicionado para responder.
A Anthropic lançou o Mythos sob um modelo de acesso restrito a parceiros selecionados. Não o liberou ao mercado. Não o integrou em uma suíte de produtos existente. Tratou-o como o que é: uma capacidade de alto potencial e alto risco que requer validação controlada antes de escalar. Esse é exatamente o comportamento de uma organização que gerencia a inovação como se fosse uma unidade autônoma com suas próprias regras de operação, separada do negócio central. O respaldo de Amazon e Google por mais de 8 bilhões de dólares lhe dá o capital para sustentar essa disciplina sem pressão de monetização imediata.
Os bancos, por outro lado, operam sob a lógica inversa. Suas unidades de inovação, laboratórios internos e equipas de cibersegurança avançada costumam prestar contas diante dos mesmos indicadores que qualquer linha de negócio madura: retorno sobre investimento trimestral, redução de custos mensuráveis, cumprimento de auditorias. Quando uma tecnologia como Mythos aparece no radar, o processo habitual é enviá-la à área de compliance, esperar aprovação legal, avaliar compatibilidade com sistemas legados e, se sobreviver a esse trânsito burocrático, integrá-la dezoito meses depois em uma versão diluída de seu potencial original.
A Reserva Federal já tem pessoal supervisor embutido avaliando os sistemas internos desses bancos. Essa presença não é nova, mas o foco sim: agora estão auditando capacidades, sistemas e defesas frente a ameaças impulsionadas por IA. O que encontrarão, na maioria dos casos, é uma lacuna entre a velocidade com que a ameaça evolui e a velocidade com que as instituições podem adaptar suas defesas quando essas defesas estão aprisionadas dentro de estruturas de governança projetadas para outro tipo de risco.
O custo de medir a exploração com métricas de exploração
O mercado global de IA aplicada à cibersegurança alcançou 24,8 bilhões de dólares em 2024 e projeta um crescimento anual composto de 24,5% até 2030. Esses números descrevem um setor que está passando de ferramentas de detecção reativa para sistemas de análise ofensiva proativa. Mythos não é o ponto de chegada dessa curva; é o sinal de que a curva se acelerou antes do previsto.
Para os bancos, o custo de não reposicionar seu modelo de gestão de riscos tecnológicos é duplo. Primeiro, o custo direto: se atacantes sofisticados acessarem capacidades equivalentes ao Mythos —através de versões não restritas, derivados de código aberto ou atores estatais com recursos similares—, a exposição de instituições que processam dezenas de milhares de milhões em transações diárias se multiplica de forma não linear. Analistas estimam que ataques amplificados por IA poderiam duplicar as perdas atuais do setor.
Em segundo lugar, o custo de oportunidade: os bancos que conseguirem integrar ferramentas como Mythos em suas operações defensivas de forma funcional —não como projeto piloto decorativo, mas como capacidade operacional real— obterão uma vantagem assimétrica para detectar e fechar vulnerabilidades antes que sejam exploradas. Isso reduz prêmios de seguros cibernéticos, que já subiram 25% em 2025, e diminui a probabilidade de eventos sistêmicos que ativem obrigações sob regulamentações como Dodd-Frank.
O obstáculo não é a vontade de investir. Os orçamentos existem. O obstáculo é que integrar uma ferramenta de exploração ativa dentro de uma estrutura projetada para a estabilidade operacional requer criar uma unidade com autonomia real, métricas próprias —aprendizado validado, velocidade de detecção, redução da superfície de ataque— e proteção contra os ciclos de aprovação que atrasam qualquer iniciativa que não gere receitas visíveis no curto prazo.
A janela de diferenciação se fecha antes do que parece
A ausência de Jamie Dimon na reunião do dia 7 de abril não implica desatenção estratégica da JPMorgan. No entanto, ilustra uma dinâmica que o sistema financeiro não pode se dar ao luxo de ignorar: quando a ameaça evolui à velocidade de um ciclo de lançamento de IA, a preparação não pode depender de se o CEO estava disponível naquele dia.
A Anthropic construiu um mecanismo de lançamento que separa o risco do aprendizado. Os bancos precisam construir um mecanismo equivalente que separe a inovação defensiva dos ciclos de governança corporativa ordinária. Não como uma exceção temporária, mas como um design permanente. Aqueles que conseguirem isso antes que o Mythos —ou seu sucessor— chegue ao mercado aberto terão convertido o custo de conformidade em uma vantagem competitiva mensurável. Aqueles que não conseguirem continuarão pagando prêmios mais altos para proteger sistemas cujas vulnerabilidades descobrirão tarde.
