O que os incidentes ocorridos no Pix recentemente trouxeram de transformação para a Segurança Cibernética dos bancos em 2026? A questão sobre a Segurança Cibernética do meio de pagamento mais utilizado no país tem incitado diversas discussões envolvendo a responsabilidade das instituições financeiras e possíveis medidas que elevem a maturidade e a resiliência desse modelo de movimentação de valores. Conforme estimativas da Interpol, 2025 enfrentou a perda de US$ 442 bilhões por fraudes e crimes cibernéticos correlacionados, tornando esse um desafio real e imediato para o setor.
Nesse sentido, um caso que veio à público no último fim de semana, pelo jornal O GLOBO e pelo portal G1, foi o do BTG Pactual: Segundo os veículos, a instituição teria sido alvo de um incidente de Segurança que resultou no desvio de recursos do Pix. Não haveria detalhes públicos a respeito de como o incidente ocorreu, mas de acordo com apuração do G1, o desvio seria de cerca de R$ 100 milhões.
Em nota ao GLOBO, o BTG Pactual reforçou que nenhuma conta de clientes foi acessada, nem houve exposição de qualquer natureza dos sistemas internos do banco. “Enquanto investiga o caso, por medida de precaução, as operações por Pix estão suspensas. O BTG Pactual reforça, ainda, que a Segurança das Informações é prioridade e está disponível em caso de dúvidas em seus canais de atendimento”, acrescenta a nota. Uma fonte anônima consultada pelo jornal, os recursos estavam armazenados pelo BTG junto ao Banco Central e restariam ser recuperados entre R$ 20 milhões e R$ 40 milhões.
Durante Painel de Debates ocorrido na Febraban SEC, Líderes do Banco Central e de grandes instituições financeiras afirmaram que todos estão atuando em favor de enrijecer a maturidade do setor e ampliar os padrões de cooperação entre agente regulador e empresas, com vistas a mitigar novos incidentes críticos.
Durante a conversa, o Chefe-adjunto do Departamento de Regulação do Sistema Financeiro do Bacen, Antônio Marcos Guimarães, reforçou o papel crítico das recentes resoluções voltas à Cibersegurança dos bancos – o BCB 538 e CMD 5274. Segundo ele, ambas as orientações 5274 tinham como proposta elevar a SI de um cenário essencialmente técnico para algo institucional, crítico à continuidade do negócio e ao fortalecimento do setor financeiro.
“O sistema financeiro precisou deixar de ser visto como uma grande estrutura tecnológica para se transformar em uma infraestrutura digital altamente crítica. E é essa perspectiva que a gente está tentando trazer, tanto na perspectiva de Segurança Cibernética, quanto na prevenção a fraudes. Essas duas resoluções não são as únicas nem as últimas, mas primeiros passos para uma elevação contínua de maturidade”, acrescenta ele.
Guimarães explicou ainda que essas decisões trouxeram três novos enfoques à Segurança. O primeiro envolvia justamente retirar a posição da SI como um setor da Tecnologia, mas sim um tema crítico para a preservação da corporação. O segundo foi ampliar a compreensão do que, de fato, é um incidente cibernético, avançando da simples percepção de que é um ataque hacker, mas podendo ser também impactos à cadeia de fornecimento, entre outros.
E o terceiro, por fim, envolvia abandonar a percepção “contratualista” da gestão de Cyber e torná-la parte da superfície de risco da organização. Isso porque os bancos já não podem mais se eximir de responsabilidade por um incidente com perdas financeiras, mesmo que a ocorrência tenha atingido apenas o fornecedor de Tecnologia. Assim como uma instituição de Saúde, o setor financeiro é responsável pela própria confiança do cliente nele.
Na visão de Luiz Paulo Bittencourt, Head de Segurança Institucional do Banco do Brasil, o estabelecimento de novos ordenamentos regulatórios do BC também é fundamental para expandir a responsabilidade compartilhada entre agente regulador, empresas e fornecedoras de serviços de TI. A possibilidade de agir com mais imediatismo diante de uma situação de risco também é um passo importante das novas medidas.
“No fim das contas, todos nós somos um mesmo ecossistema, seja uma Provedora de Serviços de TI, uma instituição de pagamento, um banco tradicional ou o próprio Banco Central. Nesse sentido, é preciso que a gente atue junto, fortalecendo demandas de Segurança do Supply Chain, articulando controles e monitoramento com as telecomunicações ou mesmo ampliando a conscientização de colaboradores sensíveis a comprometimentos”, disse o executivo.
*Com informações de O GLOBO e do Portal G1
