Nas últimas semanas, o sistema financeiro brasileiro foi atingido por uma série de ataques cibernéticos que não apenas testaram os limites da infraestrutura digital, mas também expuseram fragilidades estruturais em um dos ecossistemas mais sofisticados de pagamentos do mundo. Desvios bilionários, provocados por brechas exploradas em provedores de bancos, fintechs e o sistema de pagamentos instantâneos, além de instabilidades provocadas por ataques de negação de serviço (DDoS).
Embora clientes não tenham perdido valores diretamente, as reservas das instituições foram impactadas e, mais grave ainda, a confiança pública passou a oscilar.
O Banco Central respondeu de forma rápida, impondo limites temporários às transferências, antecipando exigências regulatórias e reforçando os requisitos de segurança para provedores tecnológicos. São medidas emergenciais que funcionam como barreiras de contenção, semelhantes a erguer diques em uma enchente iminente.
Mas a questão central não é se novos ataques ocorrerão. A pergunta é quando e como as empresas reagirão. A experiência global mostra que o crime cibernético atua como um mercado paralelo altamente sofisticado, onde grupos organizados compartilham ferramentas, vendem acessos em fóruns clandestinos e operam com a lógica de startups: ágeis, escaláveis e implacavelmente orientados a resultados. Nesse contexto, perder dinheiro é grave, mas perder credibilidade é fatal.
Durante anos, o setor financeiro construiu camadas de proteção baseadas em reatividade: corrigir vulnerabilidades, aplicar patches emergenciais, reforçar autenticações após cada incidente. Mas essa lógica é insuficiente. Enxugar gelo não substitui o investimento em resiliência arquitetural e em disciplina corporativa.
Resiliência arquitetural significa projetar sistemas que assumem, desde sua concepção, que falhas e ataques ocorrerão. É a mentalidade de que não existe perímetro totalmente seguro, mas sim a capacidade de isolar, conter, detectar e responder rapidamente. Essa abordagem já é adotada por players globais que utilizam segmentação de redes, microsserviços desacoplados, redundância distribuída e criptografia avançada para mitigar riscos.
E há de se reforçar: Segurança não é exclusividade da área de tecnologia. Governança de cibersegurança precisa estar no radar do conselho, dos executivos e de todas as áreas de negócio.
O sistema financeiro brasileiro é reconhecido mundialmente como inovador. O Pix se tornou benchmark global, atraindo delegações internacionais interessadas em entender sua arquitetura e impacto social. A digitalização bancária avançou a passos largos, com uma das maiores taxas de bancarização digital do planeta.
Mas essa vanguarda traz consigo um risco proporcional: quanto mais sofisticado e interconectado é um sistema, maior é a superfície de ataque. É o preço de estar na fronteira da inovação. E essa equação exige um novo protagonismo: não basta exportar modelos de inclusão financeira, precisamos mostrar ao mundo como construir confiança em ambientes de hiperexposição digital.
É nesse ponto que surge a reflexão estratégica: cibersegurança é custo ou investimento? Para muitos C-levels, as linhas orçamentárias de segurança são vistas como despesas crescentes, difíceis de justificar em relatórios trimestrais. Porém, os ataques recentes escancaram a verdade: segurança não é um “extra”, mas sim parte do core business de qualquer instituição.
Se a responsabilidade direta pelo ataque é do crime, a responsabilidade pela preparação é das instituições. E isso não se limita a firewalls e algoritmos de detecção. Envolve cultura organizacional, educação contínua, compliance e parcerias estratégicas. Envolve também a articulação com reguladores, provedores de nuvem, empresas de telecomunicação e startups que desenvolvem soluções avançadas de segurança.
A guerra contra o crime cibernético não é apenas tecnológica. É sistêmica! E requer cooperação entre todos os elos da cadeia. Quando uma fintech cai, não é apenas ela que sofre: todo o ecossistema perde credibilidade.
No fim, a equação é simples, apesar de dura. O culpado é o crime, mas a responsabilidade pela preparação é nossa. Se queremos manter o protagonismo do sistema financeiro brasileiro, precisamos encarar a cibersegurança como estratégia de existência.
*Marcelo Oliveira é Diretor de Estratégia da Verity.
