Soberania digital no setor bancário

Há uma década, nem países nem instituições financeiras consideravam a soberania digital como uma prioridade máxima. Em muitos casos, o tema nem sequer era relevante para uma conversa informal. A globalização da cadeia de suprimentos era a tendência dominante para a maioria das categorias de aquisição. O que ou onde terceirizar era simplesmente uma questão de comprar o melhor produto ou serviço pelo melhor preço possível, moldado apenas por sanções, regulamentações e outros riscos operacionais existentes, como ter um fornecedor de backup pronto para suprimentos essenciais. 

Mas o mundo mudou desde então, com a interrupção da cadeia de suprimentos durante a pandemia de COVID e as novas dinâmicas no cenário geopolítico. Agora, muitos bancos, seguradoras e instituições financeiras querem desenvolver um controle mais autônomo, se não totalmente autônomo, de suas tecnologias e operações. Às vezes, isso é impulsionado pela estratégia da organização, mas, em outros casos, é exigido pelos órgãos reguladores. O papel dos bancos na economia e na sociedade aumenta sua importância, indo além do desempenho individual de seus negócios.

Como consequência, a mentalidade do setor mudou de "globalização por padrão" para "regionalização ou localização, sempre que possível". Essa é uma mudança transformadora para o setor bancário, que provavelmente levará anos para ser implementada. Afinal, os fornecedores de tecnologia estão presentes em toda a cadeia de valor dos bancos e em todo o ecossistema financeiro, com conectividade e interdependência tecnológica entre fornecedores, parceiros e clientes.

O que é soberania digital?

De acordo com o Fórum Econômico Mundial, a soberania digital dos países se refere à capacidade de controlar seu próprio futuro digital, ou seja, os dados, o hardware e o software nos quais confiam e criam. Por exclusão, isso também significa que nenhuma entidade fora da governança do país pode ter controle sobre seus dados, hardware e software. Ninguém pode acessar sua tecnologia ou desligar qualquer um de seus sistemas sem consentimento, e ninguém pode burlar suas regulamentações. Isso significa que o país não depende da disposição de terceiros para seguir suas regras, já que não é tecnicamente possível que alguém assuma (ou desligue) qualquer parte crítica de sua tecnologia, operações ou dados. 

Aplicando isso no nível da organização bancária, vale a pena destacar que a soberania não se resume à residência de dados, pois isso já existe há anos. Isso também abrange o hardware, o software e as operações das quais os bancos dependem, e até mesmo a governança dos fornecedores críticos para a atividade bancária. O objetivo final é mitigar, ou pelo menos entender melhor, os riscos provocados potencialmente por decisões de terceiros, como um fornecedor com sede ou operações em um país com regulamentações diferentes, ou até mesmo por interrupções sistêmicas ou repetitivas originadas em outros países. Por exemplo, uma entidade de terceirização offshore que executa um sistema bancário central, ou uma infraestrutura fornecida por uma subsidiária nacional de uma empresa estrangeira, será provavelmente identificada como necessitando de atenção à soberania.

Há quatro níveis de soberania digital:

• Soberania de dados: Data centers localizados no país ou região (por exemplo, União Europeia)
• Soberania técnica: Uso de padrões abertos e open source
• Soberania operacional: Red Hat Confirmed Sovereign Support for European Union, para clientes da UE e qualquer pessoa que prefira essa opção
• Soberania de garantia: Software open source verificável, listas de materiais de software (SBOMs) e compilações reproduzíveis

O papel do open source no apoio à soberania digital 

O software proprietário é controlado pelas empresas que o desenvolvem e distribuem, e os clientes têm controle muito limitado sobre os produtos de software que usam. Por exemplo, os usuários de software proprietário podem influenciar o comportamento do software por meio de opções de configuração, mas não podem alterar a funcionalidade do software modificando o código. Eles também não conseguirão entender a funcionalidade do software (e possíveis bugs ou outros problemas) lendo o código-fonte.

Embora muitas empresas de software proprietário operem internacionalmente e estejam totalmente em conformidade com as regulamentações locais por meio de subsidiárias, sua governança interna frequentemente as obriga a aderir à regulamentação e à governança de sua empresa controladora. Um excelente exemplo das implicações dessa estrutura é o Cloud Act dos EUA. Cloud Act (Clarifying Lawful Overseas Use of Data Act), aprovada em 2018, tem implicações significativas na residência e no trânsito de dados dos bancos. Essa lei federal dos EUA permite que as autoridades policiais dos EUA obriguem empresas de tecnologia sediadas nos EUA a divulgar dados eletrônicos, mesmo que os dados estejam armazenados fora dos Estados Unidos. Como consequência, muitos bancos tiveram que revisar suas estratégias de armazenamento e trânsito de dados de clientes de acordo com suas regulamentações específicas de proteção de dados, por exemplo, o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia ou o Digital Personal Data Protection Act (DPDP Act) da Índia.

Por outro lado, o software open source é criado por comunidades globais e desenvolvido por indivíduos e empresas que podem estar localizados em qualquer parte do mundo. 

Nenhum governo pode forçar a inserção de backdoors ou restrições ao usuário nessas comunidades. Isso é impossível porque o código-fonte é aberto e auditável por qualquer pessoa, a qualquer momento.

O software open source tem duas características intrínsecas particularmente adequadas para a soberania digital:

• Autonomia: o software open source é criado por desenvolvedores que podem estar em qualquer lugar do mundo, contribuindo para projetos colaborativos da comunidade. Além disso, não há país ou organização com o direito de reivindicar a propriedade intelectual ou a governança do open source, ou que possa encerrar aplicações que usam software open source.
• Transparência: o open source oferece a transparência que as soluções proprietárias não oferecem. Cada linha do código open source pode ser inspecionada e auditada, não apenas pela organização que usa o software, mas também pelas comunidades de desenvolvedores. Os sistemas distribuídos de gerenciamento de código-fonte mais usados em projetos open source, como Git (e GitHub, GitLab etc.), fornecem changelogs, e todas as alterações são assinadas digitalmente. Essa transparência e rastreabilidade inerentes cultivam práticas de segurança robustas, facilitam a conformidade regulatória, criam confiança e simplificam os processos de auditoria. 

Multicloud híbrida para ter flexibilidade e resiliência 

Uma das principais preocupações de soberania é a dependência de uma pequena lista de fornecedores de infraestrutura, muitos deles com sede em um único país. Isso é especialmente verdadeiro no cenário de provedores de serviços de nuvem, em que três fornecedores controlam quase 65% da participação de mercado global. Mesmo antes do surgimento da soberania digital, essa concentração de riscos já era destaque em algumas regulamentações, como o Digital Operational Resilience Act (DORA) da União Europeia e a política de resiliência operacional SS1/21 da Prudential Regulation Authority (PRA) do Reino Unido.

Muitos bancos optaram por uma plataforma multicloud híbrida, permitindo controle e escolha com uma abordagem flexível e aberta. Isso permite que eles mantenham suas opções em relação aos serviços de nuvem que usam, além de aproveitar a inovação, a velocidade e a flexibilidade que os serviços nativos da nuvem têm a oferecer. 

Red Hat: Sua nuvem, suas regras

Com as tecnologias open source empresariais da Red Hat, os clientes podem continuar usando o software, mesmo após o término da relação comercial e jurídica com a Red Hat. A Red Hat está aumentando seu suporte aos bancos que buscam opções soberanas, ajudando a mitigar riscos e eliminar o ônus de trocar de fornecedor. A Red Hat publicou nosso compromisso com os princípios da nuvem soberana e apresentou o Red Hat Confirmed Sovereign Support for the European Union, com funcionários da União Europeia trabalhando sob as regulamentações da União Europeia e expandindo o ecossistema local.

A Red Hat também oferece uma cadeia de suprimentos de software confiável e claramente documentada, usa práticas de desenvolvimento seguras e tem processos de compilação sólidos, empacotamento robusto e distribuição transparente. Complementado por monitoramento e verificação contínuos, tudo isso ajuda a evitar a introdução de componentes não soberanos e a possível interrupção do serviço.

As plataformas da Red Hat também são projetadas para implementações multicloud, atendendo aos requisitos críticos operacionais e de residência de dados. Nossa plataforma de nuvem híbrida aberta oferece portabilidade de cargas de trabalho, para as organizações poderem migrá-las entre diferentes provedores de nuvem ou para seus próprios ambientes on-premise. Isso permite que reajam rapidamente aos requisitos de soberania em evolução e ajuda a melhorar a resiliência operacional.

Prepare-se para o futuro com a IA soberana

Já existem muitas opções de modelos no cenário de IA, desde os modelos preditivos que existem há anos até os Large Language Models (LLMs) de IA generativa dinâmica que surgiram mais recentemente. E há anúncios de novas inovações ou melhorias quase todas as semanas. 

Os modelos de IA generativa (gen AI) têm vários tamanhos, opções de hospedagem, graus de abertura e outros fatores, cada um com seus prós e contras, dependendo do caso de uso. Isso é particularmente importante para o setor bancário, já que os dados dos clientes devem ser protegidos e as regulamentações moldam o uso das tecnologias disponíveis. Há três dimensões que determinam se uma IA é adequada à finalidade. 

• Transparência: Para casos de uso bancários que tomarão decisões ou interagirão com os clientes no momento da inferência, é fundamental entender como o modelo funciona e quais dados foram usados no treinamento. Isso é essencial porque as alucinações da IA podem ter implicações regulatórias, comerciais e de reputação significativas.
• Soberania tecnológica e operacional: Ninguém de fora do banco ou de sua governança supervisora deve ser capaz de encerrar serviços críticos no momento da inferência. Esse requisito significa que os modelos não podem ser hospedados fora do controle tecnológico dos bancos.
• Dados do cliente: Os regulamentos tornam os bancos totalmente responsáveis pela confidencialidade dos dados dos clientes. Portanto, eles devem ter o poder de garantir que esses dados sejam protegidos e mantidos em sigilo. Embora alguns modelos de IA afirmem contratualmente que não usarão nem visualizarão dados de clientes, a possibilidade de uma possível violação significa que, para alguns casos de uso, é preferível usar modelos que estejam mais próximos dos dados do cliente.  

Na Red Hat, acreditamos que os bancos usarão diferentes modelos de IA, infraestrutura e aceleradores de hardware para diferentes casos de uso. Também acreditamos que essa plataforma de IA estará intimamente integrada às plataformas de aplicações deles, funcionará na nuvem híbrida e compartilhará processos e ferramentas para executar com mais eficiência os serviços e operações de tecnologia dos bancos. Essa arquitetura de nuvem híbrida integrada ajudará os bancos a manterem suas opções em aberto e permanecerem preparados para o futuro, à medida que os requisitos de soberania digital se expandem e evoluem.

Descubra mais informações sobre o que a Red Hat tem a oferecer ao setor de serviços financeiros.