Paralisação de Mythos e Fable vira teste de estresse para governança de IA em bancos globais

O desligamento global do Claude Mythos 5 e do Claude Fable 5 desde a sexta-feira (12) jogou luz sobre um ponto que reguladores bancários americanos e europeus vinham cobrando há meses sem grande pressão prática: planos de continuidade para sistemas de IA generativa e agêntica em bancos. Em 48 horas, o tema saiu da pauta de comitês de risco e entrou na rotina dos exames de supervisão dos principais bancos do G10.

A Federal Reserve, o Office of the Comptroller of the Currency (OCC) e a FDIC já vinham tratando inteligência artificial como tópico permanente de toda inspeção bancária nos Estados Unidos. A pressão se concentra em três pontos: kill-switches, cadeia de fornecedores e governança humana sobre sistemas generativos e agênticos. O episódio da Anthropic transformou um cenário hipotético em estudo de caso oficial.

O ponto cego da SR 26-2

O ponto de partida regulatório é a SR 26-2, guia de gestão de risco de modelos publicada em conjunto pelos três reguladores americanos em 17 de abril. A guia atualizou padrões de validação de modelos quantitativos clássicos depois de 15 anos sem revisão, mas excluiu explicitamente IA generativa e sistemas agênticos do escopo. Em nota de rodapé, o documento orienta bancos a aplicar suas próprias práticas de governança a sistemas não cobertos, transferindo ao diretor de risco a responsabilidade que o regulador deixou em aberto.

A exclusão deixou cada banco negociando o próprio padrão com seu examinador, regra clássica para gerar inconsistência. Fed, OCC e FDIC anunciaram que vão publicar RFI conjunto sobre IA generativa e agêntica ainda em 2026. Antes mesmo dessa fase formal, examinadores já incorporaram à rotina perguntas sobre quem tem autoridade para desligar um modelo em produção, qual o tempo de detecção de falha e quais fornecedores de inferência são considerados críticos.

O número que assustou os bancos

A World Cloud Report 2026 da Capgemini Research Institute apurou que quase três em cada quatro bancos não conseguem afirmar com confiança que possuem capacidade técnica de desligar um modelo de IA em produção com erro grave e reportar a falha ao regulador. Os controles tidos como básicos em qualquer plano de resposta a incidente falham nos dois testes mais imediatos: identificação rápida do sistema responsável pela decisão errada e segregação de credenciais para desligamento.

A mesma pesquisa indica que 99% das instituições financeiras planejam colocar agentes autônomos em produção até o fim de 2026, mas apenas 11% conseguiram demonstrar implantação efetiva. A discrepância vinha sendo tratada como problema de prazo. Vira agora problema de governança porque o desligamento da Anthropic provou que dependência de provedor único pode ser interrompida por motivo externo ao risco do modelo em si.

A leitura por região

JPMorgan tem orçamento tecnológico de US$ 19,8 bilhões em 2026 e 2 mil profissionais dedicados a IA. Goldman Sachs roda agentes inspirados em Devin na engenharia desde dezembro. Ambos diversificaram contratos entre Anthropic, OpenAI e modelos próprios, mas equipes de cibersegurança que padronizaram fluxos no Mythos 5 perderam o componente mais novo do dia para a noite.

Na Europa, o BaFin alemão vinha exigindo plano de saída documentado para dependência de provedor de IA. O caso Anthropic será citado nas próximas reuniões de supervisão como prova de conceito do risco. Deutsche Bank, UBS e BNP Paribas, com contratos ativos com a Anthropic, ativaram contingência em Gemini e em modelos próprios no fim de semana. No Japão, MUFG e Mizuho congelaram dois projetos piloto. No Brasil, Itaú, Bradesco e Santander Brasil mantêm exposições menores em comparação aos pares americanos, mas integram bibliotecas via parceiros como Capgemini e CI&T. O Banco Central brasileiro ainda não publicou guia equivalente à SR 26-2.

O custo de não estar coberto pela regra

Bancos americanos preferiam ter sido cobertos pela SR 26-2 desde abril, mesmo com obrigações novas, porque a guia padronizaria o esforço de compliance. A exclusão deixou um terreno em que cada examinador faz pergunta levemente diferente, eleva o custo de auditoria e, pior, transforma cada exame em barganha individual. Para bancos médios, a fragmentação é o mais pesado: o custo de manter dois fornecedores de modelo crítico, com pipelines paralelos de teste e RACI de desligamento, é proporcionalmente maior do que para um JPMorgan.

A piada interna entre Chief Risk Officers nas últimas 72 horas, em Frankfurt, Tóquio e São Paulo, é que o departamento de compliance virou cliente prioritário do mesmo time de IA que precisa fiscalizar. A paralisação da Anthropic foi o evento que deu música ao argumento que CROs vinham fazendo internamente desde abril sem grande tração: provedor único, mesmo top-tier, é exposição material que pede preço de capital, não apenas mitigação contratual.