{"id":23602,"date":"2026-06-10T05:58:15","date_gmt":"2026-06-10T08:58:15","guid":{"rendered":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2026\/06\/10\/ciberresiliencia-a-nova-camada-da-supervisao-financeira\/"},"modified":"2026-06-10T05:58:15","modified_gmt":"2026-06-10T08:58:15","slug":"ciberresiliencia-a-nova-camada-da-supervisao-financeira","status":"publish","type":"post","link":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2026\/06\/10\/ciberresiliencia-a-nova-camada-da-supervisao-financeira\/","title":{"rendered":"Ciberresili\u00eancia: a nova camada da supervis\u00e3o financeira"},"content":{"rendered":"

Em 7 de maio, o Fundo Monet\u00e1rio Internacional publicou em seu blog um diagn\u00f3stico<\/a> que merece aten\u00e7\u00e3o dos reguladores financeiros: a organiza\u00e7\u00e3o apresentou dados que mostram como a intelig\u00eancia artificial est\u00e1 reduzindo de forma dr\u00e1stica o custo e o tempo necess\u00e1rios para identificar e explorar vulnerabilidades em sistemas digitais.<\/p>\n

Com isso, o FMI conclu\u00eda que o risco cibern\u00e9tico associado ao emprego de novas tecnologias financeiras est\u00e1 cada vez mais se convertendo em risco sist\u00eamico. Apenas cinco dias depois da publica\u00e7\u00e3o do FMI, o Banco Central comunicava o quarto incidente em 2026<\/a> envolvendo dados vinculados a chaves Pix, dessa vez sob responsabilidade da Credifit Sociedade de Cr\u00e9dito Direto S.A.<\/p>\n

Conhe\u00e7a o JOTA<\/span> PRO Poder, plataforma de monitoramento que oferece transpar\u00eancia e previsibilidade para empresas<\/span><\/a><\/p>\n

O epis\u00f3dio da Credifit, em si, foi pequeno e localizado. Foram expostas informa\u00e7\u00f5es cadastrais de apenas 46 chaves Pix<\/a> \u2014 nome, CPF, institui\u00e7\u00e3o de relacionamento, ag\u00eancia, n\u00famero e tipo da conta, datas de cria\u00e7\u00e3o e atualiza\u00e7\u00e3o. O pr\u00f3prio BC registra que n\u00e3o houve exposi\u00e7\u00e3o de senhas, saldos, movimenta\u00e7\u00f5es ou quaisquer dados sob sigilo banc\u00e1rio.<\/p>\n

O ponto a reter, portanto, n\u00e3o \u00e9 a relev\u00e2ncia do epis\u00f3dio em si, mas a recorr\u00eancia de ataques \u00e0 infraestrutura digital do sistema financeiro: quatro comunicados desde o in\u00edcio do ano[1]<\/a>, em um arranjo cuja escala di\u00e1ria \u00e9 de bilh\u00f5es de transa\u00e7\u00f5es, atingindo cerca de 80% da popula\u00e7\u00e3o<\/a>.<\/p>\n

Em ecossistemas dessa magnitude, dados cadastrais podem alimentar engenharia social, golpes personalizados e fraudes encadeadas. A superf\u00edcie de ataque relevante \u00e9 o ecossistema de participantes, interfaces e provedores, n\u00e3o apenas a infraestrutura de transa\u00e7\u00f5es financeiras atingida.<\/p>\n

O alerta do FMI, por sua vez, sugere a necessidade de se pensar as intera\u00e7\u00f5es entre o sistema financeiro, o problema da cyberseguran\u00e7a e o uso de tecnologias baseadas em intelig\u00eancia artificial sob novas \u00f3ticas. Modelos avan\u00e7ados de IA podem produzir vulnerabilidades explor\u00e1veis em escala, velocidade e custo radicalmente diferentes. Ataques antes artesanais tornam-se simult\u00e2neos, correlacionados e personaliz\u00e1veis.<\/p>\n

Quando a infraestrutura digital subjacente \u00e9 compartilhada \u2014 software, servi\u00e7os de nuvem, redes de pagamentos \u2014, uma \u00fanica falha pode propagar-se em cadeia entre institui\u00e7\u00f5es. E ent\u00e3o a quest\u00e3o deixa o campo da tecnologia da informa\u00e7\u00e3o e passa a se tratar de um risco para a estabilidade do sistema financeiro. Os efeitos poss\u00edveis dos ataques \u2014 interrup\u00e7\u00e3o de pagamentos, restri\u00e7\u00f5es de liquidez, d\u00favidas sobre solv\u00eancia, perda de confian\u00e7a, disrup\u00e7\u00e3o de mercados \u2014 s\u00e3o os mesmos de uma crise financeira cl\u00e1ssica, ainda que a origem seja outra.<\/p>\n

O FMI faz, contudo, uma contrapartida necess\u00e1ria: IA tamb\u00e9m pode ser parte da defesa do sistema, especialmente em detec\u00e7\u00e3o de amea\u00e7as, preven\u00e7\u00e3o de fraude e resposta a incidentes. N\u00e3o h\u00e1, portanto, uma oposi\u00e7\u00e3o necess\u00e1ria entre inova\u00e7\u00e3o e seguran\u00e7a, mas sim a necessidade de se tratar a resili\u00eancia cibern\u00e9tica como dimens\u00e3o da regula\u00e7\u00e3o prudencial.<\/p>\n

Essa leitura encontra resson\u00e2ncia imediata nas atividades de supervis\u00e3o do SFN, e os n\u00fameros do pr\u00f3prio Banco Central d\u00e3o materialidade ao quadro. Em f\u00f3rum de resili\u00eancia cibern\u00e9tica com provedores cr\u00edticos<\/a> (BC Cyber Resilience Forum 2026 Provedores Cr\u00edticos), em abril, o diretor de Fiscaliza\u00e7\u00e3o do BC, Ailton de Aquino, afirmou que risco cibern\u00e9tico \u00e9 \u201ccentral\u201d e configura risco para a estabilidade financeira.<\/p>\n

Os n\u00fameros acompanham o diagn\u00f3stico: os reportes de incidentes cr\u00edticos comunicados ao Banco Central saltaram de 20 em 2020 para 76 em 2025; os incidentes com subtra\u00e7\u00e3o de recursos passaram de 9 para 36 no mesmo per\u00edodo. Relat\u00f3rio de Estabilidade Financeira (REF)<\/a>\u00a0 do BC de novembro de 2025 j\u00e1 identificava vetores recorrentes que demandam aten\u00e7\u00e3o: gest\u00e3o de acesso, depend\u00eancia de terceiros, automa\u00e7\u00e3o de ataques, desenho de APIs e coopta\u00e7\u00e3o de colaboradores.<\/p>\n

No que se refere, mais especificamente, \u00e0 ado\u00e7\u00e3o de ferramentas baseadas em IA pelos agentes do Sistema Financeiro Nacional, a pesquisa do REF adiciona uma camada inquietante. Em amostra de 606 institui\u00e7\u00f5es que respondem por 96% dos ativos do SFN, 26,7% j\u00e1 empregavam modelos de IA em solu\u00e7\u00f5es de TI \u2014 propor\u00e7\u00e3o que chega a 100% nos bancos S1 e S2.<\/p>\n

Mais da metade dessas institui\u00e7\u00f5es, no entanto, n\u00e3o tinha procedimentos complementares para gerenciar riscos associados a IA, e 56,2% n\u00e3o adotavam controles espec\u00edficos de seguran\u00e7a para solu\u00e7\u00f5es com IA.<\/p>\n

Em paralelo, 72,6% das institui\u00e7\u00f5es usam servi\u00e7os via API, mas apenas uma fra\u00e7\u00e3o avalia periodicamente os riscos associados. Consequentemente, no setor financeiro brasileiro, a IA n\u00e3o figura apenas como amea\u00e7a externa: as institui\u00e7\u00f5es financeiras brasileiras v\u00eam incorporando essas tecnologias em iniciativas de combate a fraudes, KYC, atendimento e controles, com lacunas de governan\u00e7a pr\u00f3prias.<\/p>\n

Para endere\u00e7ar essas lacunas, a resposta regulat\u00f3ria do BC tem se centrado em traduzir esse diagn\u00f3stico em controles concretos. As Resolu\u00e7\u00f5es CMN 5.274\/2025<\/a> e BCB 538\/2025<\/a>, deslocaram a pol\u00edtica de ciberseguran\u00e7a de diretrizes gerais para requisitos audit\u00e1veis: testes de intrus\u00e3o anuais, independentes e documentados, refor\u00e7o de controles sobre RSFN, Pix e STR, e exig\u00eancias espec\u00edficas para a contrata\u00e7\u00e3o de processamento, armazenamento e nuvem.<\/p>\n

Em abril, a Resolu\u00e7\u00e3o BCB 559\/2026<\/a> facultou ao BC exigir, de participante do Pix, relat\u00f3rio de assegura\u00e7\u00e3o razo\u00e1vel elaborado por auditoria independente registrada na CVM, al\u00e9m de criar nova hip\u00f3tese de perda da condi\u00e7\u00e3o de participante. A dire\u00e7\u00e3o \u00e9 n\u00edtida: a supervis\u00e3o financeira est\u00e1 se afastando da mera conformidade declarat\u00f3ria e caminhando para a incorpora\u00e7\u00e3o de controles tecnol\u00f3gicos que garantam a assegura\u00e7\u00e3o, verifica\u00e7\u00e3o t\u00e9cnica e responsabiliza\u00e7\u00e3o.<\/p>\n

Uma regula\u00e7\u00e3o financeira resilience-first<\/em> exige n\u00e3o apenas evitar incidentes, mas garantir que fun\u00e7\u00f5es cr\u00edticas continuem operando sob ataque, com capacidade verific\u00e1vel de detec\u00e7\u00e3o, conten\u00e7\u00e3o, resposta, recupera\u00e7\u00e3o e responsabiliza\u00e7\u00e3o. Solv\u00eancia e capital permanecem essenciais, mas a continuidade operacional sob estresse cibern\u00e9tico passa a integrar o mesmo mapa prudencial.<\/p>\n

Assine gratuitamente a newsletter \u00daltimas Not\u00edcias do JOTA<\/span> e receba as principais not\u00edcias jur\u00eddicas e pol\u00edticas do dia no seu email<\/span><\/a><\/p>\n

A expans\u00e3o da inova\u00e7\u00e3o financeira brasileira \u2014 Pix, Open Finance, BaaS, APIs, uso disseminado de IA \u2014 tem como contrapartida uma arquitetura de confian\u00e7a que n\u00e3o pode ser presumida. Sem isso, a efici\u00eancia que tornou o arranjo brasileiro refer\u00eancia internacional se converte em fragilidade reputacional ao primeiro incidente bem coordenado.<\/p>\n

O alerta do FMI \u00e9 um convite a tratar resili\u00eancia cibern\u00e9tica como dimens\u00e3o estrutural da regula\u00e7\u00e3o financeira. Regula\u00e7\u00f5es recentes do BC j\u00e1 mostram que os primeiros passos dessa travessia est\u00e3o sendo tomados. O passo seguinte \u00e9 dar profundidade conceitual \u00e0 mudan\u00e7a e medir, nos pr\u00f3ximos anos, como ela vai afetar a realidade operacional das institui\u00e7\u00f5es financeiras, e as pr\u00e1ticas de supervis\u00e3o e monitoramento do Banco Central.<\/p>\n

[1]<\/a> Cf. notas \u00e0 imprensa divulgadas em 12\/05\/2026, 20\/03\/2026, 17\/03\/2026 e 13\/02\/2026. Dispon\u00edveis em https:\/\/www.bcb.gov.br\/noticias<\/p>","protected":false},"excerpt":{"rendered":"

Em 7 de maio, o Fundo Monet\u00e1rio Internacional publicou em seu blog um diagn\u00f3stico que merece aten\u00e7\u00e3o dos reguladores financeiros: a organiza\u00e7\u00e3o apresentou dados que mostram como a intelig\u00eancia artificial est\u00e1 reduzindo de forma dr\u00e1stica o custo e o tempo necess\u00e1rios para identificar e explorar vulnerabilidades em sistemas digitais. Com isso, o FMI conclu\u00eda que […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/23602"}],"collection":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/comments?post=23602"}],"version-history":[{"count":0,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/23602\/revisions"}],"wp:attachment":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/media?parent=23602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/categories?post=23602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/tags?post=23602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}