Cibersegurança: desafios e riscos no sistema financeiro
Líderes de tecnologia da Accenture e Vultus apontam os principais fatores que comprometem a segurança digital
Cibersegurança: desafios e riscos no sistema financeiro (Crédito: Divulgação)
A cibersegurança é um dos principais problemas para as transações digitais atualmente. Durante a madrugada do dia 2 deste mês, hackers desviaram mais de R$ 500 milhões das contas de reserva do banco BMP.
O crime, considerado o maior ataque já registrado no Sistema Financeiro Nacional (SFN), envolveu a invasão de sistemas de empresas que intermediam transferências entre instituições financeiras.
Segundo a Polícia Civil de São Paulo, ao menos 29 empresas teriam se beneficiado do esquema.
Um técnico de TI da empresa C&M Softwares foi preso após confessar que repassou suas credenciais de acesso ao sistema sigiloso que conecta os bancos ao PIX. Ele teria recebido entre R$ 5 mil e R$ 15 mil pela ação.
Cibersegurança: riscos crescentes no setor financeiro
Apesar de o Brasil ter um sistema financeiro considerado avançado, com padrões técnicos reconhecidos internacionalmente, a expansão do setor e a entrada de novas instituições tornaram o ambiente mais vulnerável.
A avaliação é de Neife Urbano de Araújo, líder de cibersegurança para serviços financeiros da Accenture.
Segundo ele, a descentralização da intermediação financeira, antes concentrada em grandes bancos e hoje compartilhada com fintechs e plataformas digitais, exige atenção redobrada aos controles e à governança.
Risco de terceira parte
Um dos principais pontos de atenção é o chamado risco de terceira parte, quando empresas parceiras se conectam ao ecossistema financeiro e acabam servindo de porta de entrada para ataques.
“Para crescer, muitas empresas não conseguem contratar ou não têm condições de fazer tudo sozinhas. Por isso, recorrem a terceiros. Essas empresas parceiras acabam se conectando ao seu ambiente e, com isso, têm acesso aos seus dados”, disse.
“Hoje também existem quadrilhas especializadas que atuam na deep web e dark web, comprando acessos a sistemas corporativos. O risco do insider, quando o ataque parte de alguém de dentro da empresa, tem crescido justamente por isso”, diz Araújo.
Assim, nesses fóruns, é comum a oferta de valores entre R$ 20 mil e R$ 50 mil para funcionários ou prestadores de serviço que aceitam entregar credenciais.
Entre julho de 2023 e julho de 2024, por exemplo, o Brasil movimentou cerca de R$ 186 bilhões com crimes virtuais e furtos de celulares, segundo a “Pesquisa de vitimização e percepção sobre violência e segurança pública” do Fórum Brasileiro de Segurança Pública (FBSP) em parceria com o Instituto Datafolha.
Ainda sobre prejuízo, projeção da Vultus Cybersecurity Ecosystem indica que empresas brasileiras podem acumular um prejuízo de US$ 394 bilhões, cerca de R$ 2,2 trilhões, com ataques cibernéticos nos próximos três anos.
Estelionatos digitais
Já os dados do “Anuário Brasileiro de Segurança Pública 2024” mostram que os estelionatos digitais cresceram 13,6% entre 2022 e 2023, acumulando um aumento de 360% desde 2018. Enquanto isso, os roubos físicos a bancos e instituições financeiras caíram quase 30%.
O relatório ainda aponta que organizações criminosas como o PCC e o Comando Vermelho investem em centrais de golpes virtuais, usando meios como o PIX e contas “laranjas”.
Além disso, o “Panorama de Ameaças para a América Latina 2024” destaca que o Brasil ocupa o segundo lugar no ranking global de países mais atingidos por ataques cibernéticos, com mais de 700 milhões de ocorrências registradas em um ano, uma média de 1.379 ataques por minuto.
No aspecto financeiro, o relatório da IBM “Cost of a Data Breach” aponta que o custo médio de uma violação de dados no Brasil é de R$ 6,75 milhões, sendo os ataques de phishing (e-mails e mensagens fraudulentas que buscam roubar informações pessoais) os mais comuns e também os mais custosos, com prejuízos médios de R$ 7,75 milhões por incidente.
Portanto, esse alto retorno financeiro torna o crime cibernético cada vez mais atrativo, ressalta o porta-voz da Accenture.
Cibersegurança exige protagonismo da liderança
Para Araújo, o recente episódio reforça a necessidade de protagonismo da alta gestão.
“A cibersegurança não trata apenas da integridade dos sistemas, mas também da sua disponibilidade. Há ataques que paralisam cadeias produtivas inteiras”, alerta.
Rodrigo Gava, diretor de tecnologia da Vultus, concorda.
Muitas empresas, diz, ainda não sabem onde estão nem onde querem chegar em termos de segurança digital.
“As próprias áreas técnicas ainda estão aprendendo a dialogar com o negócio. É preciso traduzir risco em impacto real, como uma queda de operação ou prejuízo financeiro”, reflete.
Gava defende que as empresas simulem mais ataques e observem os movimentos dos adversários. “Não dá para virar as costas para o que está acontecendo no setor.”
Essa falta de maturidade não é um desafio exclusivo do Brasil.
Em escala regional, a América Latina se destaca como a região com maior dificuldade na resposta a incidentes cibernéticos, com cerca de 42% das organizações locais manifestando preocupação com esse tipo de crime, segundo a pesquisa “Global Cybersecurity Outlook 2025”, do Fórum Econômico Mundial (WEF).
Escassez de profissionais
O levantamento também aponta uma escassez entre 2,8 e 4,8 milhões de profissionais qualificados em cibersegurança.
De fato, enquanto 39% das organizações consideram a falta de competências uma barreira importante para a resiliência, apenas 14% afirmam possuir os talentos necessários para alcançar seus objetivos de segurança cibernética.
Essa lacuna cresceu 8% entre 2024 e 2025, afetando especialmente o setor público, onde 49% das organizações indicaram não ter força de trabalho suficiente para cumprir suas metas de segurança, um aumento de 33% em relação ao ano anterior.
Apesar disso, o Brasil vem ganhando destaque internacional.
“A área precisou evoluir por uma questão de sobrevivência, o que nos aproximou, em termos técnicos, de mercados internacionais. Temos profissionais criativos e técnicos, que evoluíram por necessidade. Hoje, muitas empresas nacionais são referência em estratégias de defesa”, diz Gava.
Retenção de talentos
Ele ressalta, no entanto, que a retenção de talentos é um desafio crescente, com o avanço de ofertas internacionais em dólar e com trabalho remoto.
“Trabalhamos com o real, o que encarece o acesso a ferramentas estrangeiras. Mas compensamos com criatividade e conhecimento técnico local”, afirma.
Araújo reforça que o risco cibernético precisa ser tratado com a mesma seriedade que riscos operacionais, financeiros ou de crédito.
“Não se trata de gastar mais, mas de investir com estratégia, com times capacitados e planos eficazes. A segurança digital é complexa e envolve desde a proteção dos dispositivos usados pelos colaboradores até a gestão dos dados, sistemas e integrações, com especialistas dedicados a cada área”, explica.
“Com a alta gestão consciente, é possível montar times capacitados e definir planos estratégicos alinhados às necessidades da empresa. Não se trata de gastar mais do que a empresa pode, mas sim de estabelecer planos eficazes para controlar os riscos do dia a dia”, completa.
Fator humano como principal vulnerabilidade
A vulnerabilidade humana segue como ponto mais crítico. Ações fora do padrão, como acessos em horários incomuns, podem indicar riscos e muitas empresas ainda não monitoram esse tipo de comportamento. “Não existe segurança 100%. O desafio é estar preparado para reagir”, afirma o porta-voz da Accenture.
Questionado sobre as diferenças nos crimes cibernéticos ao redor do mundo, Araújo explica que, embora os métodos variem conforme hábitos culturais e plataformas populares em cada país, o objetivo dos criminosos é sempre o mesmo.
No Brasil, o golpe aplicado via WhatsApp é o mais comum entre clientes de bancos em 2024, segundo levantamento da Federação Brasileira de Bancos (Febraban), divulgado em abril, com 153 mil reclamações registradas, seguido por falsas vendas, com 150 mil reclamações, e falsas centrais, com 105 mil.
A fraude do INSS também está ligada a golpes cibernéticos, nos quais aposentados e pensionistas tiveram descontos indevidos feitos por entidades não autorizadas.
Segundo a instituição, quase 3,3 milhões de beneficiários contestaram essas cobranças nos últimos anos. O valor total a ser ressarcido é estimado em R$ 1,8 bilhão ou R$ 2,1 bilhões com correção pela inflação.
Uso do WhatsApp
“No Brasil, por exemplo, o uso intenso do WhatsApp chama a atenção de especialistas estrangeiros. É comum o compartilhamento de dados por esse canal, o que facilita golpes como a clonagem de contas e pedidos de Pix. Em outros países, isso pode ocorrer via Messenger ou outro aplicativo. A lógica é a mesma: engenharia social”, afirma.
“Fatores como menor escolaridade e pouca familiaridade com tecnologia tornam parte da população mais vulnerável. Muitos usuários, especialmente os mais velhos, acabam pedindo ajuda a terceiros para realizar transações e, sem perceber, compartilham senhas ou dados sensíveis”, explica.
O papel da inteligência artificial
A inteligência artificial também tem sido usada em fraudes sofisticadas, como deepfakes e voice phishing, para convencer funcionários a liberar informações ou transferências.
Ao mesmo tempo, a IA já pode ter aplicação na proteção, com uso em monitoramento e resposta a incidentes.
“Antigamente, para invadir um sistema, era preciso conhecimento técnico em criptografia, aplicações web ou dispositivos móveis. Hoje, qualquer pessoa pode usar uma IA para aprender e executar um ataque”, explica Gava.
Porém, para quem quer usar a tecnologia como aliada na defesa, o caminho ainda é lento, repleto de burocracias e processos complexos.
“As empresas precisam de orçamento, aquisição de tecnologia e tempo para implementar. É como manobrar um navio, leva tempo”, explica o diretor da Vultus.
Apesar disso, o uso da IA na proteção começa a ganhar força. “Ela permite escalar a análise de ameaças. Hoje, conseguimos monitorar em tempo real milhões de registros gerados pelos sistemas, algo impossível de ser feito manualmente. Esse é o futuro da cibersegurança. Quem não usar IA, vai correr mais riscos. O adversário já está usando”, completa.
Proteção digital esbarra na falta de conscientização
Ferramentas básicas de proteção, como a autenticação em dois fatores e configurar permissões de acesso já estão disponíveis em aplicativos e serviços digitais, mas ainda são pouco utilizadas, muitas vezes por falta de informação ou de campanhas educativas, expõem o especialista da Accenture.
“No setor público, esse também é um tema que poderia ser mais explorado. Um exemplo é o sistema Registrato, do Banco Central, uma ferramenta gratuita e pouco conhecida, que permite ao cidadão consultar empréstimos, financiamentos e contas abertas em seu nome”, explica.
“Sem isso, o risco é muito maior. E é aí que o Brasil chama atenção: nossos fraudadores são criativos, não à toa, profissionais de cibersegurança brasileiros são muito valorizados lá fora. Quando explicamos o tipo de golpe que acontece aqui, muitos estrangeiros acham surreal”, completa.
Setor financeiro
No setor financeiro, o Banco Central implementou o Mecanismo Especial de Devolução (MED), que permite a vítimas de golpes ou fraudes envolvendo o PIX solicitar a devolução de valores transferidos de forma indevida.
Os bancos, por meio da Federação Brasileira de Bancos (Febraban), afirmam ter investido cerca de R$ 5 bilhões em segurança digital e na prevenção de fraudes e crimes cibernéticos.
No campo legislativo, em dezembro de 2023, o presidente Lula da Silva assinou o Decreto 11.856/2023, que institui a Política Nacional de Cibersegurança (PNCiber). A medida busca aprimorar a governança nacional sobre o tema, alinhando o Brasil às melhores práticas internacionais.
O decreto também criou o Comitê Nacional de Cibersegurança (CNCiber), com representantes do governo, da sociedade civil, da comunidade científica e do setor empresarial. O grupo, que se reunirá a cada três meses, será responsável por propor atualizações à política e sugerir estratégias de cooperação internacional.
Já o Senado Federal, em março, criou a Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética.
A iniciativa tem como foco a promoção de debates sobre políticas públicas de segurança digital, a discussão sobre a criação de agência reguladora nacional para coordenar respostas a ataques cibernéticos em infraestruturas críticas, a proposição de medidas legislativas que atualizem o marco legal brasileiro e o incentivo a parcerias entre a indústria de cibersegurança e o setor público para o desenvolvimento de tecnologias e soluções inovadoras.
COMPARTILHE:
