ETSI lança primeiro padrão europeu global de cibersegurança para IA

A ETSI anunciou a publicação do ETSI EN 304 223, primeiro Padrão Europeu (EN) com aplicação global voltado especificamente à cibersegurança de modelos e sistemas de inteligência artificial. A norma foi formalmente aprovada por Organizações Nacionais de Padronização e sucede o trabalho desenvolvido anteriormente na Especificação Técnica ETSI TS 104 223, ampliando seu alcance internacional e o peso regulatório nos mercados globais.

O ETSI EN 304 223 estabelece requisitos básicos de segurança concebidos para proteger sistemas de IA diante de ameaças cibernéticas consideradas crescentes e mais sofisticadas. O documento consolida um conjunto estruturado de exigências baseadas no ciclo de vida completo da IA, reconhecendo que esses sistemas apresentam desafios distintos daqueles associados ao software tradicional.

Segundo a ETSI, os riscos específicos da IA incluem práticas como envenenamento de dados, ofuscação de modelos, injeção indireta de prompts e vulnerabilidades decorrentes de processos complexos de gestão de dados e operação. O padrão busca conciliar práticas consolidadas de cibersegurança com medidas direcionadas a essas características próprias de sistemas de IA.

Abordagem baseada no ciclo de vida

A norma define 13 princípios e requisitos distribuídos em cinco fases: projeto seguro, desenvolvimento seguro, implantação segura, manutenção segura e fim de vida seguro. Cada etapa está alinhada a modelos de ciclo de vida de IA reconhecidos internacionalmente, com referências explícitas a padrões e publicações relevantes logo no início de cada princípio, de forma a apoiar a harmonização e a interoperabilidade regulatória.

O escopo do ETSI EN 304 223 abrange sistemas de IA que utilizam redes neurais profundas, incluindo aplicações de IA generativa, e foi concebido para ambientes de implantação no mundo real. O padrão se destina a diferentes elos da cadeia de suprimentos de IA, como fornecedores de tecnologia, integradores de sistemas e operadores, oferecendo uma base comum para a implementação de requisitos de segurança.

Aplicações práticas e próximos desdobramentos

De acordo com a ETSI, a norma reflete contribuições de organizações internacionais, órgãos governamentais e comunidades técnicas de cibersegurança e inteligência artificial, com o objetivo de garantir aplicabilidade prática em diferentes setores. A entidade também informou que dará continuidade ao tema com a publicação do Relatório Técnico ETSI TR 104 159, voltado à aplicação específica dos princípios do EN 304 223 em sistemas de IA generativa. Esse relatório tratará de temas como deepfakes, desinformação, riscos à confidencialidade, direitos autorais e propriedade intelectual, além de trazer orientações mais prescritivas quando necessário.

“O ETSI EN 304 223 representa um passo importante para estabelecer uma base comum e rigorosa para a segurança de sistemas de IA”, afirmou Scott Cadzow, presidente do Comitê Técnico para Segurança da Inteligência Artificial do ETSI. “Em um momento em que a IA está sendo cada vez mais integrada a serviços e infraestruturas críticas, a disponibilidade de orientações claras e práticas que reflitam tanto a complexidade dessas tecnologias quanto as realidades da implantação não pode ser subestimada.”

A ETSI é uma das três organizações oficialmente reconhecidas pela União Europeia como Organizações Europeias de Normalização. Sem fins lucrativos, atua na padronização de TICs e reúne mais de 900 organizações membros de mais de 60 países, incluindo empresas privadas, instituições de pesquisa, academia e governos. A entidade é responsável pelo desenvolvimento e ratificação de padrões aplicáveis globalmente a sistemas, aplicações e serviços digitais. (Com assessoria de imprensa)