Lunes, 06 de Julio de 2026

Bc eleva cobrança por segurança cibernética

BrasilO Globo, Brasil 5 de julio de 2026

Após registrar desvios que somam mais de R$ 1,5 bilhão provocados por ataques hackers a ...

Após registrar desvios que somam mais de R$ 1,5 bilhão provocados por ataques hackers a instituições financeiras nos últimos 12 meses, o Banco Central (BC) se prepara para restringir o acesso a sistemas de pagamento, como o Pix, de bancos e fintechs que tenham controles de segurança cibernética considerados fracos. O objetivo é que as sanções funcionem como incentivo para as empresas investirem no fortalecimento de políticas internas a fim de reduzir a ação de criminosos no sistema financeiro.
Desde junho do ano passado, quando criminosos desviaram aproximadamente R$ 800 milhões de instituições financeiras via Pix, no chamado "roubo do ano", o BC aumentou sua atenção e começou a mapear vulnerabilidades. Na ocasião, o ataque se deu à provedora de tecnologia C&M Software, uma empresa que liga bancos pequenos aos sistemas do Banco Central.
Em 2024, apenas 15% dos incidentes cibernéticos que atingiram bancos e fintechs foram fraudes, 9 de 59. O restante foi classificado como falhas de TI ou vazamento de informações não sensíveis, como dados cadastrais, tipo de ataque aos sistemas das instituições que visava coletar elementos para depois aplicar golpes nos clientes. No ano passado, não só os incidentes aumentaram quase 30%, para 76, mas principalmente as fraudes subiram de forma relevante, representando mais da metade do total (39).
Novas sanções
Mesmo após o BC endurecer regras sobre segurança cibernética em 2025, o número de casos continuou a aumentar. De 43 incidentes até o fim de maio, 34 foram fraudes (79%). O regulador, no entanto, ainda vai colocar em prática um conjunto de sanções para aquelas instituições que não estão cumprindo os requisitos mínimos exigidos.
Para isso, no entanto, está montando um mapa de TI de todo o sistema financeiro. Em maio, foi enviado um amplo questionário para o universo das instituições autorizadas (1.745) sobre a aplicação dos controles exigidos pelas normas, incluindo o manual de segurança do Pix, e de eventuais controles adicionais, que podem ser desejáveis a depender do nível de risco de cada banco ou fintech.
Caso o BC encontre inconsistências entre as respostas e o monitoramento cotidiano que faz, pode exigir documentos ou outras ações de supervisão para ter maior confiança sobre as informações. Com o pente-fino, a autoridade monetária vai poder aplicar punições a quem não cumprir os requisitos mínimos exigidos.
Risco coletivo
Pelas regras, os bancos ou fintechs podem ficar sujeitos a limites de horário ou valores no Pix ou serem suspensos temporariamente do meio de pagamento. É possível, por exemplo, que as transações só sejam aceitas até o valor de R$ 15 mil, medida já adotada no ano passado para uma parte de bancos e fintechs, ou que determinada instituição fique impedida de fazer operações à noite. Poderá também ficar impedido de angariar novos clientes e ter de pagar multas, além de estar sujeito a processos sancionadores.
O entendimento é que um banco ou fintech com controles fracos representa um risco para o sistema financeiro. Apesar de este ser um dos setores que mais investem em segurança, com a migração do crime financeiro do ambiente físico para o digital, a avaliação é que o investimento ainda precisa aumentar proporcionalmente ao risco do segmento.
Uma pesquisa de tecnologia bancária feita pela Federação Brasileira de Bancos (Febraban) mostra que investimentos em tecnologia têm subido ano a ano, com foco principalmente na cibersegurança. Em 2025, o orçamento foi de R$ 46,8 bilhões e, neste ano, a previsão é aumentar para R$ 50,4 bilhões. A associação bancária defende que é necessário também aumentar as punições contra fraudes, inclusive do ponto de vista penal.
Com base no mapa, o BC também vai ter mais elementos para discutir se são necessárias novas regras. O regulador espera, no entanto, que, com a nova política, o impacto dos ataques diminua. Por outro lado, o aumento dos incidentes verificado neste ano é atribuído a um "radar mais apurado" do órgão, que passou a cobrar das instituições que reportem todos os episódios, mesmo os pequenos.
O BC passou, inclusive, a alertar as próprias instituições sobre comportamentos atípicos, por meio do monitoramento do Pix, indicando que podem ser possíveis fraudes. Uma vez identificado que houve realmente um ataque, o episódio é tratado como uma "queda de avião".
Investigação técnica
O banco ou fintech precisa contratar uma empresa forense para investigar o crime digital e entender quais foram as causas do problema. O relatório da investigação tem de ser apresentado ao regulador, junto com um plano de contenção. O objetivo é evitar que o caso se repita e subsidiar eventuais novas decisões regulatórias, assim como aplicar as sanções cabíveis aos responsáveis.
Para Aylton Gonçalves, advogado e professor de regulação financeira, a atividade sancionadora do BC era justamente o que faltava em relação ao tema da segurança cibernética. Em sua avaliação, não há necessidade de mudança normativa neste momento, mas sim uma postura mais severa na fiscalização e na sanção, a depender do comportamento das instituições.
" Não entendo que haja lacuna normativa, uma falta de norma, mas entendo que seja um trabalho de sanção do BC, que tende naturalmente a aumentar nos próximos tempos e que tende a ter um caráter dissuasório diante da falta de cuidados de segurança cibernética.
Após o susto com os ataques do ano passado, o BC percebeu similaridades nas brechas exploradas pelos criminosos e teve de agir para aumentar os controles de bancos e fintechs. Políticas mais duras de segurança cibernética foram implementadas em duas fases. Na primeira, em setembro, o BC cobrou controles mínimos das instituições que ainda não tinham licença ou daquelas que usavam provedoras de tecnologia, consideradas as maiores vulnerabilidades naquele momento.
cheque em branco
Nos dois episódios em que houve desvios de altas quantias, as instituições que usavam as provedoras deixavam com elas os certificados digitais que autorizam as transações junto ao BC. Esses certificados funcionam como a chave do cofre e indicam para o regulador que qualquer mensagem de transferência assinada com ele deve ser processada.
Pelas regras, os certificados deveriam ficar com os regulados, mas muitos deixavam com o terceiro. Integrantes do setor comparam a situação a como se essas instituições deixassem o talão de cheque assinado ou assinassem o cheque sem ver. Quando elas foram atacadas e mandaram as ordens de transferência para o BC, em um primeiro momento, o órgão aceitou. Só depois percebeu que era fraude.
Mas logo ficou claro que as regras estabelecidas em setembro não seriam suficientes. Os ataques continuaram e passaram a atingir os bancos e fintechs maiores, que não usavam intermediários de tecnologia para se conectar aos sistemas do BC, mostrando que as vulnerabilidades não estavam restritas apenas às instituições menores, que dependiam de terceirizadas. Por isso, em dezembro, o BC teve de equiparar a norma antes restrita às instituições não autorizadas ou que dependiam de provedores de tecnologia a todo o universo de regulados, passando a valer em março.
79%
Foram 34 de 43 registros de não conformidade feitos pelo BC
La Nación Argentina O Globo Brasil El Mercurio Chile
El Tiempo Colombia La Nación Costa Rica La Prensa Gráfica El Salvador
El Universal México El Comercio Perú El Nuevo Dia Puerto Rico
Listin Diario República
Dominicana
El País Uruguay El Nacional Venezuela