A forma como a tecnologia tem alterado as relações dos clientes com instituições financeiras faz com que os órgão reguladores, em especial o Banco Central, também tenham que acompanhar esta evolução. O maior ataque cibernético ao sistema financeiro nacional ocorreu em julho de 2025, quando mais de R$ 1 bilhão foram desviados no sistema do PIX. Este incidente expôs vulnerabilidades na estrutura tecnológica das empresas prestadoras de serviços e marcou uma nova etapa na regulação.

Em encontro realizado no inovabra, Florence Terada, advogada especialista especialista em inovação e sócia do Opice Blum Advogados, explicou que os ataques estão focados em empresas que oferecem serviços de infraestrutura de tecnologia para o mercado financeiro, não necessariamente nos bancos. Houve uma movimentação no setor com regras para contratação de serviços, principalmente de nuvem, além de obrigatoriedade de planos de resposta a incidentes e comunicação imediata ao Banco Central. Florence destacou que é necessário se preocupar de forma preventiva e exercícios de simulação de ataques são importantes para prever as situações de crise.

O Banco Central tem adotado postura mais rígida com incidentes e elevado o padrão de segurança e tecnologia. Um exemplo desse movimento é a criação do “BC Protege+“, sistema em que o usuário pode bloquear a abertura de contas em seu nome. Esta mesma tecnologia que auxilia na prevenção também é usada pelos fraudadores, que usam inteligência artificial realizar ataques coordenados cada vez mais qualificados, envolvendo deepfakes com voz. Florence aponta que uma estratégia inteligente de segurança deve integrar coerência entre tecnologia e comportamento.

Exigências técnicas avançadas

Apesar dos esforços que são feitos, sempre haverá riscos. Guilherme Ochsendorf de Freitas, advogado especialista em cibersegurança no Opice Blum Advogados, explica que é possível fazer a gestão dos incidentes para mitigar os riscos da melhor maneira possível, mas não conseguimos eliminá-los na totalidade. Um dos pontos levantados por Freitas na nova regulação do Bacen é que as empresas que prestarão serviços de tecnologia para instituições financeiras precisarão ter certificações internacionais, como ISO e NIST (framework de cibersegurança).

Com a nova resolução, o Bacen passou a exigir obrigações técnicas para os prestadores de serviços de tecnologia da informação (PSTI). Entre os itens estão mecanismos de segurança específicos, como autenticação por múltiplos fatores (MFA), isolamento físico de lógico dos ambientes, monitoramento da deep/dark web (onde são vendidas credenciais de acesso, por exemplo) e quando em nuvens públicas, deve ter uma instância dedicada.

Freitas também citou pontos da regulação que fortalecem a segurança, como papéis definidos para enfrentar o incidente, monitoramento 24/7 em tempo real das transações e o monitoramento contínuo do PSTI. Ele ainda explicou que deve ser considerado o pior cenário para a criação de estratégias e políticas de segurança, bem como uso de boas práticas para atuação nas crises com treinamento, simulações e a capacitação contínua dos colaboradores.

Regulação de ativos virtuais

O Banco Central também apresentou o novo marco regulatório para prestadoras de serviços de ativos virtuais (PSAV), redefinindo a atuação das empresas que operam no mercado de criptoativos no país. Vivianne Prota, advogada especialista em inovação no Opice Blum Advogados, explicou que a norma consolida conceitos, distribui competências entre Banco Central e CVM e cria um novo tipo de instituição supervisionada, distinta das instituições financeiras e de pagamento. Com isso o Bacen estabelece regras operacionais e de governança que aproximam o Brasil das referências internacionais, especialmente do modelo europeu (MiCA).

Entre os pontos que ganham força está a segregação patrimonial, tema amplamente debatido desde que a lei brasileira de 2022 deixou lacunas sobre a separação entre recursos dos clientes e das próprias prestadoras. Um destaque feito por Viviane foi que o Bacen exigirá comprovação de capacidade técnica para a operação, e não somente financeira. Ou seja, a infraestrutura de tecnologia precisará estar adequada.

Vivianne alertou que a norma também traz diretrizes para players estrangeiros, exigindo a nacionalização das operações ou parceria com instituições autorizadas no país (movimento semelhante ao observado no marco regulatório das plataformas de apostas). Este conjunto de regras, além de criar condições mais claras e seguras, abre espaço para o desenvolvimento e maturação do mercado de criptoativos no Brasil.