Ataques expõem riscos na cadeia de tecnologia do sistema financeiro e acelera debate sobre segurança nativa em soluções digitais

Neste mês, um ataque hacker expôs falhas estruturais na segurança digital do setor financeiro brasileiro. O alvo foi a C&M Software — empresa que conecta bancos e fintechs ao sistema PIX — e o prejuízo estimado chega a R$ 800 milhões. Segundo o Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC), trata-se do maior incidente já registrado no país, embora não seja o primeiro contra o setor.

A dimensão do ataque revelou um alerta sistêmico: mesmo instituições com protocolos formais de segurança, podem ser expostas por vulnerabilidades na cadeia de fornecedores ou por acessos privilegiados com baixa governança. Para Cecílio Cosac Fraguas, especialista com mais de 20 anos em tecnologia bancária e CEO da Jabuti AGI, o caso reforça a necessidade de reposicionar o papel da segurança no setor: “Segurança não pode ser um item de checklist ou um investimento de última hora. Ela precisa estar na arquitetura da solução, pensada desde o dia zero.”

Cecílio, que já liderou estruturas de tecnologia em bancos e hoje desenvolve soluções de inteligência artificial autônomas voltadas ao setor financeiro, afirma que um dos principais pontos de fragilidade está na baixa maturidade digital de parte do ecossistema. “Ainda há muitas soluções que foram desenhadas para escalar rápido, mas não para proteger. É como construir um prédio de 50 andares sobre fundações frágeis”, diz.

Segundo levantamento da Check Point Research, o Brasil registrou mais de 356 bilhões de tentativas de ataque cibernético em 2024, um aumento de 95% em relação ao ano anterior. No setor financeiro, o cenário é ainda mais sensível devido à integração intensiva de APIs, ao uso extensivo de dados e à automação crescente de processos críticos, fatores que aumentam a superfície de exposição.

A chamada Responsible AI — abordagem que pressupõe governança explícita sobre decisões automatizadas, validação de outputs e rastreabilidade técnica — ganha espaço como alternativa aos modelos de IA que priorizam velocidade e volume em detrimento do controle. Em paralelo, cresce a adoção de arquiteturas dedicadas, que isolam dados por cliente e impedem que falhas em uma operação comprometam outras dentro do mesmo ambiente.

Requisitos de segurança serão intensificados

O ataque também tende a reconfigurar a forma como o setor financeiro avalia riscos operacionais associados a terceiros. Com a crescente dependência de tecnologias embarcadas e integração via APIs, bancos e instituições de pagamento devem adotar critérios mais rígidos para homologação de fornecedores, incluindo auditorias contínuas, rastreabilidade de decisões automatizadas e exigência de estruturas segregadas por cliente.

Nesse cenário, o papel das áreas de tecnologia e risco tende a se tornar ainda mais integrado. Soluções que antes eram avaliadas apenas por seu desempenho funcional passarão a ser analisadas também pela sua capacidade de resistir a ataques, conter impactos e oferecer visibilidade sobre cada decisão tomada por máquinas. Em outras palavras, a governança técnica deixará de ser diferencial competitivo e passará a ser requisito de entrada.

“Segurança já é um requisito forte no setor financeiro, mas o que estamos vendo agora é uma elevação do padrão. A partir desses incidentes, qualquer tecnologia que atue em camadas sensíveis, como atendimento, crédito ou análise de risco, vai precisar comprovar sua capacidade de operar com rastreabilidade, isolamento de dados e controle sobre cada decisão automatizada”, conclui Cecílio.