.png)
há 2 meses
20
ANUNCIE AQUI
@jeffsouzaphO período entre o final de junho e o início de setembro de 2025 será lembrado como um divisor de águas para o setor financeiro brasileiro. Uma onda de ataques cibernéticos, totalizando perdas bilionárias, não apenas expôs vulnerabilidades críticas, mas forçou uma resposta regulatória imediata do Banco Central. A análise dos incidentes revela uma dura verdade: a maior ameaça não veio de grandes falhas nos sistemas de pagamento, mas do abuso de um elemento fundamental: a confiança.
A ofensiva criminosa se desdobrou em dois eixos. O primeiro, e mais devastador, foi o ataque à cadeia de suprimentos, mirando prestadores de serviços de TI (PSTI). Casos como o da C&M Software em julho e da Sinqia/Evertec em agosto materializaram o risco teórico do "ponto único de falha". Ao comprometer um desses gateways, que conectam múltiplas instituições ao Sistema de Pagamentos Brasileiro (SPB), os atacantes ganharam a capacidade de lançar ordens de pagamento legítimas em nome de vários bancos simultaneamente, criando um devastador efeito multiplicador. O segundo eixo consistiu em ataques diretos a instituições como Monbank, E2 Pay e Tribanco, provando que nenhuma organização, independentemente do porte, estava imune.
Apesar dos alvos distintos, o fio condutor técnico que conecta esses eventos é assustadoramente simples: o abuso de credenciais válidas. Seja por meio de acesso de um desenvolvedor na C&M, de um fornecedor terceirizado na Sinqia ou de um ex-funcionário no Monbank, o padrão se repetiu. Os criminosos não precisaram quebrar a criptografia do Pix ou do TED, simplesmente entraram pela porta da frente, usando as chaves legítimas para acionar fluxos de pagamento.
Uma vez dentro, a estratégia era precisa: ordens de pagamento de alto valor, geralmente B2B, eram disparadas e rapidamente dispersadas para múltiplos recebedores em um clássico fan-out. No caso da C&M Software, cuja perda estimada alcançou R$ 1 bilhão, a tática evoluiu para uma rápida conversão dos valores em criptoativos, como Bitcoin e USDT, pulverizando o rastro e tornando a recuperação exponencialmente mais complexa.
A reação do Banco Central foi proporcional à gravidade da crise. As medidas anunciadas em 5 de setembro não foram meras recomendações, mas intervenções diretas para estancar a sangria. A primeira ação, de contenção imediata, foi a imposição de um teto emergencial de R$ 15 mil para transações via Pix e TED em instituições de pagamento não autorizadas e naquelas que operam via PSTI. Em paralelo, para atacar a raiz do problema, a autoridade monetária enrijeceu a governança para os PSTIs, exigindo capital mínimo de R$ 15 milhões e regras mais severas de gestão de risco. Por fim, visando ampliar a capacidade de recuperação, o BC fortaleceu o Mecanismo Especial de Devolução (MED 2.0) por meio da Resolução BCB 493, que introduziu o rastreamento do caminho dos recursos e estendeu a janela de contestação para 11 dias. As resoluções 496, 497 e 498, introduzidas também pelo órgão, alteram os requisitos de segurança para instituições financeiras e provedores de tecnologia da informação (PSTI).
Essas ações, embora necessárias, geram implicações operacionais imediatas. O limite de R$ 15 mil, instituído pela medida 497, exige que as instituições afetadas fatiem suas operações de alto valor, enquanto o novo MED demanda uma rápida integração de sistemas para consultas e bloqueios coordenados.
Para o C-Level e gestores de segurança, a lição é inequívoca. A defesa do ecossistema financeiro agora repousa sobre um novo tripé de prioridades. O primeiro pilar é a identidade forte, onde a era de senhas simples é substituída pela exigência de autenticação multifator (MFA) resistente a phishing, como FIDO2 e passkeys, para contas privilegiadas. Isso é complementado por uma rigorosa governança de terceiros (C-SCRM), que transforma a confiança cega em parceiros de TI em um modelo de verificação contínua, exigindo segregação de ambientes e cláusulas contratuais de "kill-switch". Finalmente, o terceiro pilar é a prontidão de resposta, com planos de ação atualizados para incorporar os novos gatilhos do BC e os procedimentos do MED 2.0, garantindo que o bloqueio e o rastreamento de fundos sejam executados em minutos, não em horas.
Nesse novo cenário regulatório, a conformidade transcende a mera obrigação e se torna uma questão de sobrevivência no ecossistema financeiro. A segurança cibernética não é mais somente uma defesa técnica, mas um pilar estratégico que, se negligenciado, pode levar à exclusão do sistema de pagamentos pelo Banco Central. A Resolução 498, por exemplo, institui a obrigatoriedade da contratação de seguro contra riscos cibernéticos para provedores de serviços de tecnologia. Essa exigência cria um efeito em cascata fundamental: para se tornarem seguráveis, as instituições são compelidas a não apenas seguir as normativas do BCB, mas também a atender aos rigorosos critérios de segurança impostos pelo mercado segurador, elevando o padrão de proteção de todo o setor e alinhando, de forma definitiva, a segurança à continuidade do negócio.
Por João Saud, co-CEO da Asper
Siga TI Inside no Instagram e tenha acesso a conteúdos exclusivos do mercado.
Portuguese (BR) ·