Em 7 de maio, o Fundo Monetário Internacional publicou em seu blog um diagnóstico que merece atenção dos reguladores financeiros: a organização apresentou dados que mostram como a inteligência artificial está reduzindo de forma drástica o custo e o tempo necessários para identificar e explorar vulnerabilidades em sistemas digitais.
Com isso, o FMI concluía que o risco cibernético associado ao emprego de novas tecnologias financeiras está cada vez mais se convertendo em risco sistêmico. Apenas cinco dias depois da publicação do FMI, o Banco Central comunicava o quarto incidente em 2026 envolvendo dados vinculados a chaves Pix, dessa vez sob responsabilidade da Credifit Sociedade de Crédito Direto S.A.
O episódio da Credifit, em si, foi pequeno e localizado. Foram expostas informações cadastrais de apenas 46 chaves Pix — nome, CPF, instituição de relacionamento, agência, número e tipo da conta, datas de criação e atualização. O próprio BC registra que não houve exposição de senhas, saldos, movimentações ou quaisquer dados sob sigilo bancário.
O ponto a reter, portanto, não é a relevância do episódio em si, mas a recorrência de ataques à infraestrutura digital do sistema financeiro: quatro comunicados desde o início do ano[1], em um arranjo cuja escala diária é de bilhões de transações, atingindo cerca de 80% da população.
Em ecossistemas dessa magnitude, dados cadastrais podem alimentar engenharia social, golpes personalizados e fraudes encadeadas. A superfície de ataque relevante é o ecossistema de participantes, interfaces e provedores, não apenas a infraestrutura de transações financeiras atingida.
O alerta do FMI, por sua vez, sugere a necessidade de se pensar as interações entre o sistema financeiro, o problema da cybersegurança e o uso de tecnologias baseadas em inteligência artificial sob novas óticas. Modelos avançados de IA podem produzir vulnerabilidades exploráveis em escala, velocidade e custo radicalmente diferentes. Ataques antes artesanais tornam-se simultâneos, correlacionados e personalizáveis.
Quando a infraestrutura digital subjacente é compartilhada — software, serviços de nuvem, redes de pagamentos —, uma única falha pode propagar-se em cadeia entre instituições. E então a questão deixa o campo da tecnologia da informação e passa a se tratar de um risco para a estabilidade do sistema financeiro. Os efeitos possíveis dos ataques — interrupção de pagamentos, restrições de liquidez, dúvidas sobre solvência, perda de confiança, disrupção de mercados — são os mesmos de uma crise financeira clássica, ainda que a origem seja outra.
O FMI faz, contudo, uma contrapartida necessária: IA também pode ser parte da defesa do sistema, especialmente em detecção de ameaças, prevenção de fraude e resposta a incidentes. Não há, portanto, uma oposição necessária entre inovação e segurança, mas sim a necessidade de se tratar a resiliência cibernética como dimensão da regulação prudencial.
Essa leitura encontra ressonância imediata nas atividades de supervisão do SFN, e os números do próprio Banco Central dão materialidade ao quadro. Em fórum de resiliência cibernética com provedores críticos (BC Cyber Resilience Forum 2026 Provedores Críticos), em abril, o diretor de Fiscalização do BC, Ailton de Aquino, afirmou que risco cibernético é “central” e configura risco para a estabilidade financeira.
Os números acompanham o diagnóstico: os reportes de incidentes críticos comunicados ao Banco Central saltaram de 20 em 2020 para 76 em 2025; os incidentes com subtração de recursos passaram de 9 para 36 no mesmo período. Relatório de Estabilidade Financeira (REF) do BC de novembro de 2025 já identificava vetores recorrentes que demandam atenção: gestão de acesso, dependência de terceiros, automação de ataques, desenho de APIs e cooptação de colaboradores.
No que se refere, mais especificamente, à adoção de ferramentas baseadas em IA pelos agentes do Sistema Financeiro Nacional, a pesquisa do REF adiciona uma camada inquietante. Em amostra de 606 instituições que respondem por 96% dos ativos do SFN, 26,7% já empregavam modelos de IA em soluções de TI — proporção que chega a 100% nos bancos S1 e S2.
Mais da metade dessas instituições, no entanto, não tinha procedimentos complementares para gerenciar riscos associados a IA, e 56,2% não adotavam controles específicos de segurança para soluções com IA.
Em paralelo, 72,6% das instituições usam serviços via API, mas apenas uma fração avalia periodicamente os riscos associados. Consequentemente, no setor financeiro brasileiro, a IA não figura apenas como ameaça externa: as instituições financeiras brasileiras vêm incorporando essas tecnologias em iniciativas de combate a fraudes, KYC, atendimento e controles, com lacunas de governança próprias.
Para endereçar essas lacunas, a resposta regulatória do BC tem se centrado em traduzir esse diagnóstico em controles concretos. As Resoluções CMN 5.274/2025 e BCB 538/2025, deslocaram a política de cibersegurança de diretrizes gerais para requisitos auditáveis: testes de intrusão anuais, independentes e documentados, reforço de controles sobre RSFN, Pix e STR, e exigências específicas para a contratação de processamento, armazenamento e nuvem.
Em abril, a Resolução BCB 559/2026 facultou ao BC exigir, de participante do Pix, relatório de asseguração razoável elaborado por auditoria independente registrada na CVM, além de criar nova hipótese de perda da condição de participante. A direção é nítida: a supervisão financeira está se afastando da mera conformidade declaratória e caminhando para a incorporação de controles tecnológicos que garantam a asseguração, verificação técnica e responsabilização.
Uma regulação financeira resilience-first exige não apenas evitar incidentes, mas garantir que funções críticas continuem operando sob ataque, com capacidade verificável de detecção, contenção, resposta, recuperação e responsabilização. Solvência e capital permanecem essenciais, mas a continuidade operacional sob estresse cibernético passa a integrar o mesmo mapa prudencial.
A expansão da inovação financeira brasileira — Pix, Open Finance, BaaS, APIs, uso disseminado de IA — tem como contrapartida uma arquitetura de confiança que não pode ser presumida. Sem isso, a eficiência que tornou o arranjo brasileiro referência internacional se converte em fragilidade reputacional ao primeiro incidente bem coordenado.
O alerta do FMI é um convite a tratar resiliência cibernética como dimensão estrutural da regulação financeira. Regulações recentes do BC já mostram que os primeiros passos dessa travessia estão sendo tomados. O passo seguinte é dar profundidade conceitual à mudança e medir, nos próximos anos, como ela vai afetar a realidade operacional das instituições financeiras, e as práticas de supervisão e monitoramento do Banco Central.
[1] Cf. notas à imprensa divulgadas em 12/05/2026, 20/03/2026, 17/03/2026 e 13/02/2026. Disponíveis em https://www.bcb.gov.br/noticias