Por Ticiana Amorim (*)
Com o avanço da tecnologia, muitos setores dependem de forma histórica de ferramentas digitais que atuam como um auxiliador nos serviços, e as instituições financeiras não são exceções. Segundo o Monitor de Fraudes da Febraban, as perdas evitadas por sistemas de detecção em tempo real alcançaram R$5,8 bilhões apenas no primeiro trimestre de 2026. Entretanto, o custo médio de um vazamento de dados no setor financeiro subiu para US$6,1 milhões por ocorrência, impulsionado pela alta complexidade das fraudes envolvendo pagamentos instantâneos e sequestro de identidades digitais.
Diante desse cenário, a segurança cibernética não deve ser considerada como um diferencial competitivo, mas como a base obrigatória para qualquer transação. Isso porque a confiabilidade consolidou-se como um ativo institucional indissociável da governança. Assim, as instituições financeiras não buscam segurança para se destacarem, mas para cumprir o dever fiduciário de proteger o patrimônio e os dados de seus clientes sob normas rigorosas de conformidade.
Rigor regulatório
No entanto, a eficácia da defesa no setor não é uniforme; ela varia drasticamente conforme o grau de proteção exigido pelo Banco Central. No topo desta pirâmide estão as instituições de Segmento 1 (S1). Diferente de fintechs menores ou instituições de segmentos inferiores (S2 a S5), um Banco S1 opera sob as exigências regulatórias mais pesadas do país devido à sua importância sistêmica. Além disso, a partir das resoluções de 2025/2026, a obrigatoriedade de testes anuais realizados por profissionais independentes torna-se o padrão para identificar falhas antes que sejam exploradas.
Enquanto instituições menores podem focar em proteções periféricas, um ambiente S1 exige auditorias contínuas e o cumprimento integral da Resolução CMN n.º 4.893. O grau de proteção S1 impõe uma infraestrutura capaz de suportar estresses sistêmicos, exigindo que cada elo da cadeia tecnológica passe por processos de validação de riscos que não existem em níveis mais simples de licenciamento.
Estratégias de defesa
Por sua vez, a evolução das estratégias de proteção — como o uso de IA, Machine Learning e Continuous Exposure Management (CEM) — reflete a necessidade de monitorar vulnerabilidades em tempo real. Assim, a implementação da Arquitetura de Confiança Zero (Zero Trust) é hoje o padrão intrínseco: nenhum usuário ou dispositivo é confiável por padrão, exigindo verificação contínua independentemente da localização na rede. Essa proteção estende-se, obrigatoriamente, à cadeia de suprimentos.
Além disso, devido ao aumento de ataques a terceiros, os protocolos rígidos exigidos pelos bancos de grande porte garantem que seus parceiros não sejam vetores de vulnerabilidade. O uso de backups imutáveis e recuperação rápida não são mais “ferramentas de auxílio”, mas salvaguardas essenciais para garantir a restauração de dados críticos em caso de incidentes.
Cultura de vigilância
Em suma, é necessário que os usuários e funcionários também estejam integrados a essa cultura de vigilância, reconhecendo que o fator humano é parte crítica da governança. Portanto, operar sob a égide de um Banco S1 significa que a fintech não está apenas seguindo boas práticas, mas está inserida no nível máximo de resiliência exigido pelo estado. Com investimentos globais projetados para US$240 bilhões até o fim de 2026, fica claro que a cibersegurança é a própria infraestrutura do mercado. Dessa forma, ter o respaldo e os processos de um Banco S1 é a garantia de que a instituição possui o maior grau de proteção possível contra interrupções de negócios e vazamentos, sustentando de forma sólida o ecossistema financeiro digital.
(*) é CEO e fundadora da Aarin (Grupo Bradesco). Comunicóloga pela UFBA e ex-sócia da ZigPay, é referência em “embedded finance” no Brasil.
