Ataques miram vulnerabilidades de provedores de tecnologia e seguem expansão de serviços financeiros digitais

A quantidade de incidentes cibernéticos no sistema financeiro aumentou nos últimos anos e principalmente em 2025. Foram 76 casos considerados “relevantes” relatados ao Banco Central (BC) no ano passado, número 29% superior ao de 2024. A informação sobre os dados do ano passado foi obtida pelo Valor via Lei de Acesso à Informação (LAI).

A elevação do número de ocorrências está relacionada ao aumento do uso de serviços financeiros digitais nos últimos anos, segundo especialistas. Além disso, ataques registrados em 2025 conseguiram explorar vulnerabilidades de empresas que prestam serviços para instituições do sistema financeiro.

A segunda metade de 2025 ainda registrou um aumento dos relatos ao BC. Em junho, o primeiro grande ataque ao sistema, que impactou a C&M Software, se tornou público. O BC também apertou as regras de segurança a partir do início de setembro, o que aumentou a sensibilidade das instituições à identificação de casos.

Resolução do Conselho Monetário Nacional (CMN) de 2021 determina que incidentes ou interrupções de serviços relevantes “que configurem uma situação de crise” devem ser comunicadas de forma “tempestiva” ao BC. As próprias instituições devem definir os critérios que configurem uma situação de crise. Os incidentes enquadrados no levantamento podem ser, por exemplo, desde falhas de tecnologia da informação, como indisponibilidade de certos serviços aos clientes, até ataques hacker.

Até 2024, o tipo de incidente mais comum era de falhas de tecnologia. Com a alta dos números, os incidentes caracterizados como fraudes (que incluem ataques) passaram a ser maioria. Dos 76 incidentes do ano passado, foram 39 fraudes e 27 falhas de tecnologia de informação. Em 2024, apenas nove eram fraudes.

Procurado, o BC informou que a comunicação de incidentes relevantes é de responsabilidade das instituições financeiras “não excluindo a identificação proativa de incidentes relevantes pelo Banco Central em decorrência de seus processos de monitoramento e supervisão”.

Denis Nakazawa, sócio de serviços financeiros e digital da Oliver Wyman, aponta que a tendência é que o risco cibernético continue aumentando. Nakazawa mencionou que existe um cenário de digitalização e pressões adicionais, como o uso de ferramentas de inteligência artificial nos ataques.

“Se isso vai se transformar em incidente ou ataques vai depender do quanto as instituições investem em segurança, o quanto o governo e os reguladores investem em segurança, em novas regulações. O risco só tem aumentado nos últimos anos”, disse Nakazawa.

Os dois exemplos destacados de 2025 foram os ataques à Sinqia e C&M Software. Ambos são Prestadores de Serviço de Tecnologia da Informação (PSTIs), figuras que conectam instituições aos sistemas geridos pelo BC. Os ataques conseguiram desviar valores que podem ter ultrapassado o bilhão, mas parte foi recuperada. No caso do evento da Sinqia, o nível de recuperação foi de 90%.

Na visão do regulador, os incidentes do ano passado mostraram que havia fragilidade nos controles de instituições do sistema financeiro sobre a gestão de riscos associada a serviços providos por terceiros. Até por esse diagnóstico, o BC reforçou as exigências para atuação dos PSTIs, como valores de capital mínimo e requisitos de governança e controles internos.

A última edição do Relatório de Estabilidade Financeira (REF), elaborado pelo BC, ainda apontou que há uma “sofisticação” das ações criminosas. Citando “eventos recentes”, o relatório destacou que esses incidentes “exigiram conhecimento avançado” sobre a operação do sistema financeiro.

“Pequenos bancos e fintechs ainda precisam criar uma maturidade muito grande [em segurança]”

— Renata Teruya

O diretor de fiscalização do BC, Ailton de Aquino, disse em novembro que o risco cibernético tira o sono dele e de todos os membros da diretoria. Em coletiva sobre o REF, ele reforçou que as estruturas do BC são resilientes, lembrando a discussão sobre as estruturas de terceirizados de instituições reguladas. “O serviço de terceiros preocupa não o supervisor bancário brasileiro, mas o supervisor bancário americano, francês, alemão… Isso é da ordem do dia dos nossos fóruns de discussões internacionais”, disse.

Renata Teruya, diretora de Cyber da Marsh Risk, explica que o Brasil está avançado “anos-luz” em digitalização bancária em comparação com outros lugares no mundo e, também por isso, é um dos principais alvos de ataques cibernéticos. No sistema financeiro, destaca, os grandes bancos têm maturidade cibernética avançada e a preocupação maior é com instituições de menor porte. “Esses pequenos bancos e as fintechs ainda precisam criar uma maturidade muito grande. Inclusive foi isso que os criminosos viram, essas vulnerabilidades, e começaram a atacar.”

Parte dessa discussão envolve as Interfaces de Programação de Aplicações (APIs, na sigla em inglês), um dos pontos de fragilidade apontados pelo BC. As APIs permitem que uma instituição regulada se conecte com outro serviço, como um provido por empresas não-financeira, por exemplo, como a conexão entre um banco e um serviço de nuvem.

No REF, o Banco Central destacou que os serviços providos via API estão cada vez mais disseminados no sistema financeiro e tem proporcionado agilidade e criação de novos modelos de negócio. Por outro lado, “essa facilidade também vem sendo explorada por criminosos para automatizar ações de fraude”, diz o documento.

O BC deve fazer uma análise sobre os controles de tecnologia da informação das instituições supervisionadas entre o fim de março e o início de abril, apurou o Valor. O objetivo é identificar possíveis lacunas e decidir temas regulatórios que deverão ser priorizados. Na entrevista sobre o REF de novembro, Aquino disse que era necessário ter uma “regulação forte” sobre o uso de APIs e outra sobre o serviço de terceiros.

Entre as alterações regulamentares já realizadas, o BC instituiu exigências de capital para PSTIs e adicionou controles para instituições de pagamento. Além disso, fez a regulamentação de mercados como o Banking as a Service (BaaS) e de criptoativos. No dia 1º de março ainda entram em vigor as novas regras de segurança cibernética. As instituições precisarão realizar testes de intrusão anualmente e incorporar outros requisitos mínimos, como para certificados digitais, controles de acesso e rastreabilidade de operações.

Na visão de Felipe Carteiro, sócio da área digital do Rayes e Fagundes Advogados Associados, o momento a partir das mudanças regulamentares é de adaptação do mercado. Carteiro explica que pode haver um “efeito dominó” de aumento de exigências de segurança. “A entidade supervisionada passa a querer que todo aquele conglomerado de empresas que atuam para a prestação de serviços possa ofertar o mesmo grau de segurança e eficiência que o Banco Central exige dela”, disse.

A C&M Software informou que implementou “integralmente” as atualizações regulatórias definidas pelo BC dentro dos prazos. Segundo a empresa, o ataque de 2025 foi analisado e as evidências indicaram atuação dolosa de terceiro com característica de engenharia social e uso indevido de credenciais de clientes. Procurada, a Sinqia, da Evertec, não respondeu.

CADASTRE-SE no Blog Televendas & Cobrança e receba semanalmente por e-mail nosso Newsletter com os principais artigos, vagas, notícias do mercado, além de concorrer a prêmios mensais.