O número de ataques cibernéticos a instituições do setor financeiro saltou de 24 em 2023 para 68 até outubro de 2025. Trata-se de uma alta de quase três vezes, ou 183%. Os dados foram divulgados nesta quarta-feira (12/11) em coletiva de imprensa do Banco Central (BC) para apresentação do “Relatório de Estabilidade Financeira (REF) do primeiro semestre de 2025. Dos 68 incidentes, mais da metade (37) são relacionados à fraude, informou Ailton Aquino, diretor de Fiscalização do BC.
O relatório traz a evolução na quantidade de incidentes reportados por bancos e outros players do setor ao regulador ao longo dos últimos anos. Em 2019, antes da criação do Pix, foram 18 casos, subindo para 27 no ano seguinte. Mas o maior crescimento vem sendo observado de 2023 para cá. O documento aponta, até agosto de 2025, 53 incidentes, subindo para 68 na última atualização até outubro, segundo Aquino.
“É um risco que tira meu sono, e agora também tira o sono de toda a diretoria colegiada”, reconheceu o diretor do BC. Ele fez questão de frisar que as estruturas do BC e o Pix seguem funcionando “perfeitamente” e são “resilientes”. De acordo com Aquino, os episódios recentes e que trazem preocupação envolveram estruturas de terceiros, como empresas de tecnologia usadas por instituições reguladas pelo BC.
Os principais casos atingiram dois Provedores de Serviços de Tecnologia da Informação (PSTIs): C&M Software e Sinqia. “Foram os incidentes mais robustos, de elevada monta”, disse Aquino. “Obviamente aprendemos muito. Para vocês terem uma ideia, o nível de recuperação [dos recursos desviados] no evento com a Sinqia ficou em 90%”, citou Aquino.
APIs e terceiros preocupam
Segundo ele, o aumento dos ataques cibernéticos pode trazer “implicações relevantes” para instituições financeiras e de pagamento. “Em alguns casos, geram perdas financeiras significativas. Demostram fragilidades em controles essenciais de algumas instituições e de seus provedores de serviço”, afirmou.
Uma das principais preocupações do regulador hoje é em relação ao uso de APIs e serviços de terceiros pelas instituições reguladas. Os episódios recentes, disse ele, indicaram que um conjunto razoável de participantes do Sistema Financeiro Nacional (SFN) não dispõe de mecanismos adequados para gerenciar serviços providos por meio de APIs.
Leia também
API é a sigla em inglês para interface de programação de aplicação. Na prática, é um conjunto de regras, definições e protocolos que permite a comunicação entre diferentes sistemas, serviços ou aplicativos.
A engenharia social é outro elemento central nos incidentes cibernéticos, disse Aquino. “Os eventos recentes mostram claramente que grupos criminosos têm conhecimento avançado sobre o sistema financeiro e cooptam colaboradores, com uso de engenharia social”, afirmou o diretor do BC. Além disso, ele ressaltou que os ataques cibernéticos são um problema global, compartilhado por reguladores de diferentes países.
Novas regras a caminho
Em meio a esse desafio, o BC já vem publicando um conjunto de regras para reforçar a segurança do SFN. E não vai parar por aí. A autarquia estuda duas novas regulamentações para endereçar as preocupações com APIs e serviços de terceiros. “Precisamos ter uma regulamentação forte sobre APIs e sobre serviços de terceiros”, disse Aquino.
Além disso, depois de apertar as regras para PSTIs, o BC está trabalhando em uma nova norma com foco na conexão e no acesso direto à Rede do Sistema Financeiro Nacional. “Teremos uma regulamenrtação muito clara nos próximos dias ou próximas semanas, na mesma linha das normas dos PSTIs”, informou Aquino.
Durante a apresentação, o diretor do BC também relembrou as medidas publicadas nos últimos meses pela instituição. Entre eles, o limite de R$ 15 mil por transação via Pix e TED para Instituições de Pagamento (IPs) não autorizadas e para aquelas que se conectam à RSFN por meio dos PSTIs. Outro exemplo mencionado por ele foi a revisão de capital mínimo exigido para as instituições reguladas em geral.
Apesar dos novos desafios, o BC afirma que o sistema financeiro brasileiro segue resiliente, bem provisionado e capitalizado. Testes de estresse mostram solidez de capital e liquidez, e ativos líquidos suficientes para enfrentar choques. “O BC considera que não há risco relevante para a estabilidade financeira. O SFN permanece com capitalização e liquidez confortáveis e provisões adequadas ao nível de perdas esperadas. Além disso, os testes de estresse de capital e de liquidez demonstram a robustez do sistema bancário”, apontou o relatório (íntegra).
