Índice
O Banco Central (BC) alertou, em seu Relatório de Estabilidade Financeira do primeiro semestre, divulgado nesta quarta-feira (12), para o risco de crime cibernético envolvendo sistemas de terceiros. Por outro lado, destacou que o sistema financeiro nacional é sólido e que as instituições brasileiras continuam apresentando níveis “confortáveis” de capitalização e liquidez.
Os testes de estresse — simulações que projetam o impacto do crime cibernético em cenários adversos — também reforçaram a robustez do sistema bancário.
Apesar da estabilidade, o BC manifestou preocupação crescente com incidentes recentes envolvendo empresas de tecnologia que prestam serviços a instituições financeiras.
Segundo o relatório, os casos de crime cibernético revelaram grupos criminosos com “conhecimento avançado sobre a operação, a organização e os processos” do sistema financeiro, incluindo detalhes técnicos das arquiteturas internas e das atividades de “pilotos de reserva” — sistemas de contingência das instituições.
Os eventos, afirma o BC, indicam que criminosos têm explorado falhas estruturais e cooptado colaboradores internos ou terceirizados, o que amplia o potencial de danos e torna a proteção cibernética uma prioridade estratégica.
Crime cibernético: fragilidades na gestão de terceiros
Os episódios mais graves de crime cibernético ocorreram em empresas classificadas como Prestadores de Serviços de Tecnologia da Informação (PSTIs), responsáveis por conectar bancos e fintechs à infraestrutura financeira.
O BC alerta que incidentes desse tipo podem afetar simultaneamente diversas instituições, revelando fragilidades na gestão de riscos de terceiros e no controle de acessos, inclusive via APIs — interfaces que permitem integração entre sistemas.
Entre 606 instituições avaliadas, apenas 453 declararam ter políticas formais para gerenciar relacionamentos com prestadores de serviço. Pouco mais da metade possui acompanhamento pela segunda linha de defesa, e cerca de 319 informaram que o tema faz parte da auditoria interna. Para o BC, esses números demonstram a necessidade de aprimoramento urgente das práticas de governança.
Casos recentes e resposta do BC
Nos últimos meses, ataques cibernéticos atingiram diferentes empresas do ecossistema financeiro. Em setembro, a fintech Monbank sofreu o desvio de R$ 4,9 milhões, dos quais R$ 4,7 milhões foram recuperados. No mesmo período, a Sinqia, responsável por conectar bancos ao sistema Pix, registrou um ataque que resultou em R$ 710 milhões em transações indevidas. Antes disso, em julho, a C&M Software também foi alvo de invasão.
Diante da escalada dos ataques, o BC anunciou medidas emergenciais, como a redução de limites de transferência via Pix e TED, e a exigência de aprovação prévia para entrada de novas instituições no sistema financeiro.
Reflexos sobre o Pix e reforço da segurança
Em evento que marcou os cinco anos do Pix, o diretor de Organização do Sistema Financeiro, Renato Gomes, afirmou que os “pontos fracos da cadeia estão muito mais vigiados”. Ele ressaltou que o BC se tornou mais rigoroso com instituições que não cumprem requisitos de capital e segurança.
Entre as novas medidas, está o limite de R$ 15 mil por operação para instituições de pagamento não autorizadas ou conectadas via PSTIs — regra que poderá ser revista após certificação de segurança adequada.
O diretor também mencionou que a autarquia trabalha na padronização dos alertas de fraude e na definição objetiva do que constitui “fundada suspeita”, para uniformizar o bloqueio de recursos. Outra iniciativa foi a criação de um botão de contestação nos aplicativos bancários, que permite aos clientes solicitar devolução de valores em casos de fraude ou golpe, via Mecanismo Especial de Devolução (MED).
