Um plano estruturado para enfrentar os riscos e aproveitar as oportunidades que os modelos avançados de inteligência artificial representam para a cibersegurança foi apresentado pela Comissão Europeia, num momento em que estas tecnologias estão a transformar por completo a natureza das ameaças digitais na União Europeia. Segundo o executivo comunitário, os novos modelos de IA podem ser utilizados de forma indevida para identificar vulnerabilidades, automatizar ataques e aumentar a escala e a velocidade dos incidentes informáticos a um ritmo sem precedentes.
O documento assenta no quadro legal já existente da União Europeia em matéria de inteligência artificial e cibersegurança, e propõe reunir os Estados-membros, o sector privado e as organizações de nível europeu num esforço conjunto para reforçar a protecção do espaço digital comunitário perante as vulnerabilidades associadas à IA avançada.
Um dos eixos centrais do plano prende-se com a avaliação destes modelos antes da sua entrada no mercado. Ao abrigo da Lei da Inteligência Artificial, os sistemas mais avançados terão de ser sujeitos a uma avaliação rigorosa, com as respectivas medidas de mitigação cuidadosamente analisadas, antes de poderem ser comercializados na União Europeia. Para reforçar a capacidade europeia nesta área, a Comissão vai lançar um concurso destinado a criar uma capacidade de avaliação específica para a cibersegurança, que deverá entrar em funcionamento em 2027 e que vai reforçar a função reguladora do Serviço para a Inteligência Artificial, através de uma avaliação independente das capacidades e dos riscos associados a estes sistemas a nível global.
O acesso a modelos avançados de inteligência artificial é outra das prioridades identificadas. A Comissão vai trabalhar em conjunto com a Agência da União Europeia para a Cibersegurança, a ENISA, na definição de um modelo europeu de referência para o acesso estruturado a capacidades avançadas de IA aplicadas à cibersegurança, com o objectivo de apoiar entidades públicas e privadas europeias no acesso a estas ferramentas. Em paralelo, a ENISA e o Centro Comum de Investigação da Comissão vão criar uma plataforma segura para testar sistemas de inteligência artificial no domínio da cibersegurança, recorrendo inclusivamente a ambientes simulados. Esta iniciativa deverá disponibilizar conhecimento especializado a sectores críticos como as finanças, a energia, a saúde, os transportes e a administração pública.
O reforço da resiliência das infra-estruturas críticas da União Europeia face aos riscos associados ao uso indevido destas tecnologias é outro dos objectivos traçados. De acordo com as regras europeias já em vigor para a cibersegurança, as organizações deverão intensificar as suas práticas de higiene informática, a gestão de risco e os princípios de segurança desde a concepção. O plano recomenda ainda que as organizações comecem a recorrer a capacidades de inteligência artificial já disponíveis, incluindo modelos de código aberto, para identificar e corrigir vulnerabilidades com maior rapidez, bem como para prevenir e responder a ciberataques. Para apoiar esta transição, a ENISA vai facilitar parcerias entre autoridades públicas, empresas e comunidades de código aberto, disponibilizando orientações, recomendações e boas práticas, além de uma campanha específica destinada a reforçar a segurança de programas informáticos de código aberto considerados críticos.
Do lado do estímulo ao mercado europeu, a Comissão vai lançar o Grande Desafio da União Europeia para a Inteligência Artificial aplicada à Cibersegurança, uma competição que pretende reunir empresas, investigadores e organizações no desenvolvimento de soluções de IA para este sector. O plano sublinha ainda a necessidade de a União Europeia continuar a investir em capacidades próprias e soberanas de inteligência artificial avançada, tirando partido das infra-estruturas das Fábricas de IA e das futuras Gigafábricas. Neste contexto, a futura capacidade europeia de participação tecnológica, anunciada no Pacote de Soberania Tecnológica, poderá contribuir para atrair investimento privado destinado a escalar estas capacidades.
O plano surge no âmbito de um quadro jurídico já consolidado a nível europeu para responder aos desafios colocados pelas tecnologias emergentes. A Lei da Inteligência Artificial obriga à avaliação e mitigação dos riscos associados a estes modelos, enquanto o Código de Boas Práticas para Modelos de IA de Finalidade Geral especifica de forma mais detalhada estas exigências, facilitando o cumprimento por parte dos fornecedores de modelos avançados. Estas disposições entram em vigor a 2 de agosto de 2026. Já a Lei da Resiliência Cibernética, aplicável a partir do final de 2027, exige princípios de segurança desde a concepção para produtos de hardware e software. A este quadro somam-se ainda a Directiva relativa à Segurança das Redes e dos Sistemas de Informação, conhecida como NIS2, que visa reforçar a segurança de sectores críticos como os transportes e a energia, a Lei da Resiliência Operacional Digital, direccionada para o sector financeiro, e a Lei da Solidariedade Cibernética, que reforça as capacidades da União Europeia para detectar, preparar e responder a ameaças e ataques informáticos de grande escala.


