Ciberresiliência: como a IA redefiniu a supervisão financeira no Brasil

O Banco Central brasileiro enfrenta uma realidade que transcende segurança da informação: ataques cibernéticos potencializados por inteligência artificial consolidam-se como risco sistêmico ao sistema financeiro. O diagnóstico emerge da convergência entre alertas internacionais, dados operacionais do próprio BC e a aceleração na incorporação de modelos de IA por instituições financeiras nacionais — frequentemente sem controles de governança adequados.

Em maio de 2026, o Fundo Monetário Internacional publicou análise ressaltando que a inteligência artificial reduz drasticamente o custo e o tempo necessários para identificar e explorar vulnerabilidades em infraestruturas digitais, convertendo o risco cibernético em risco sistêmico. Poucos dias depois, o BC comunicava o quarto incidente em 2026 envolvendo dados de chaves Pix — desta vez na Credifit Sociedade de Crédito Direto. Embora o evento específico tenha envolvido apenas 46 registros cadastrais (nome, CPF, informações de conta), o padrão revela uma superfície de ataque crescente.

Em ecossistemas de escala bilionária — o Pix movimentou transações diárias massivas em 2026 e alcançava 80% da população brasileira — dados cadastrais aparentemente inócuos alimentam engenharia social, fraudes personalizadas e ataques encadeados. A recorrência é o indicador crítico: quatro comunicados desde janeiro de 2026, em um arranjo cuja vulnerabilidade não se limita à infraestrutura de transações, mas estende-se aos participantes, interfaces e provedores terceirizados.

Contexto

A supervisão prudencial tradicional do setor financeiro brasileiro repousa em métricas de adequação de capital (Basileia), limite de concentração, gestão de risco de mercado e risco de crédito. O risco cibernético, historicamente classificado como risco operacional, ganhou dimensão sistêmica quando passou a ameaçar a continuidade de serviços críticos de pagamento, depósito e liquidação — funções cuja interrupção replica os efeitos de uma crise financeira clássica: restrições de liquidez, questionamentos sobre solvência, perda de confiança, disrupção de mercados.

A chegada de inteligência artificial ampifica o problema. Ataques antes artesanais — realizados manualmente, com custo operacional elevado — transformam-se em automatizados, simultâneos e personalizáveis em escala. Modelos de IA podem identificar padrões de vulnerabilidades exploráveis em centenas ou milhares de endpoints simultaneamente. Quando a infraestrutura digital é compartilhada — software comum, serviços em nuvem, redes de pagamentos integradas — uma falha singular propaga-se em cadeia.

O Relatório de Estabilidade Financeira (REF) do BC de novembro de 2025 materializou o diagnóstico: reportes de incidentes críticos comunicados saltaram de 20 em 2020 para 76 em 2025; incidentes com subtração de recursos passaram de 9 para 36. Entre os vetores recorrentes identificados figuravam gestão deficiente de acesso, dependência de terceiros não adequadamente auditados, automação de ataques, desenho inadequado de interfaces de programação (APIs) e cooptação de colaboradores internos.

O que foi decidido

O Banco Central, por meio de seu diretor de Fiscalização (Ailton de Aquino), formalizou a classificação de risco cibernético como "central" à estabilidade financeira e integrou ciberresiliência como dimensão de supervisão prudencial. A posição não representa uma regulação formal única, mas a consolidação de um vetor de fiscalização que reposiciona segurança cibernética do campo meramente técnico para o campo de prudência sistêmica.

Essa requalificação implica que instituições financeiras passam a ser obrigadas a demonstrar, perante o BC, capacidade de resistir, recuperar-se e adaptar-se a ataques cibernéticos sem comprometer serviços críticos. Não trata-se de eliminação de risco — objetivo impossível — mas de resiliência operacional comprovável.

Paralelamente, o FMI apontou que inteligência artificial não é apenas ameaça, mas ferramenta de defesa: detecção de ameaças, prevenção de fraude e resposta a incidentes ganham potência com modelos avançados. A contrapartida, porém, é que essas mesmas instituições que implementam IA defensiva frequentemente carecem de governança específica para os riscos introduzidos pela própria IA.

Base normativa e precedentes

A regulação prudencial brasileira ainda não consolidou marco legal específico para ciberresiliência — diferentemente de jurisdições como a União Europeia (Diretiva NIS2) ou Reino Unido (PRA rules on operational resilience). No contexto brasileiro, a base normativa ancora-se em:

• Resolução CMN nº 4.557/2017 — Estabelece estrutura geral de gestão de risco operacional em instituições financeiras; ciberrisco enquadra-se como subcategoria, mas sem especificação de requisitos granulares.
• Circulares BC nº 3.953/2020 e aditivos — Definem diretrizes para continuidade de negócios e recuperação de desastres; aplicável mas genérica quanto a ataques cibernéticos.
• Resolução CMN nº 4.893/2020 — Aprova Plano de Negócios para o Pix; inclui cláusulas de segurança operacional, mas anterior à fase de incidentes recorrentes e ao boom de IA.
• Lei Geral de Proteção de Dados (Lei 13.709/2018, LGPD) — Complementar à supervisão prudencial; exige medidas de segurança técnicas e administrativas, com responsabilidade pessoal de controladores e operadores.
• Jurisprudência consolidada do BC — Através de ofícios de não objeção e instruções de fiscalização, o BC tem tratado ciberincidentes como atos passíveis de enforcement prudencial (multas, limitações operacionais, intervenção).

A novidade não é a norma, mas a sua aplicação: o BC tem pressionado instituições a integrar controles cibernéticos ao escopo de relatórios de risco operacional e auditoria interna.

Impacto prático

Para advogados de instituições financeiras: o risco de enforcement aumenta. Omissão em controles cibernéticos, ausência de planos de continuidade ou governança deficiente em projetos de IA podem resultar em sanções administrativas (multas, bloqueio de operações, limitações de crescimento). Defesa em investigações do BC passa a exigir comprovação técnica de resiliência, não apenas conformidade formal.

Para Chief Information Security Officers (CISOs) e áreas de risco: ciberresiliência é agora métrica de supervisão prudencial. Implementar controles específicos para IA (auditoria de modelos, testes de segurança adversarial, monitoramento contínuo) deixa de ser seletor competitivo e vira obrigação regulatória implícita.

Para fintechs e players de tecnologia: a Credifit e outros provedores de infraestrutura crítica enfrentam pressão dupla: LGPD (civil) e supervisão prudencial (administrativa). Incidentes envolvendo dados de clientes geram responsabilidade solidária junto ao BC, mesmo quando a instituição contratante falha na auditoria prévia.

Para investidores e acionistas: instituições financeiras com lacunas de governança em ciberrisco correm risco de desempenho operacional (interrupções, litígios, multas) e de imagem. Acionistas podem questionar conformidade com políticas de gestão de risco.

Para consumidores: a proliferação de incidentes em Pix e demais canais sinalizou vulnerabilidades; a resposta regulatória (integração de ciberresiliência à supervisão) é sinal de que controles mais rigorosos podem reduzir fraudes no longo prazo, embora períodos de transição tragam novos riscos.

O que observar

Regulamentação iminente: o BC sinalizou intenção de publicar norma específica sobre governança de inteligência artificial em instituições financeiras. Essa regulação deverá detalhar controles mínimos (validação de modelos, testes de robustez, segregação de dados de treinamento) e responsabilidades de executivos e boards.

Testes de resiliência: o BC tende a aumentar a frequência de testes de penetração, simulações de ataque e auditoria de terceiros críticos (cloud providers, provedoras de serviços de pagamento). Instituições devem revisar maturidade operacional de planos de recuperação.

Responsabilidade de gestores: uma tendência internacional (que pode ser importada para o Brasil) é a responsabilização pessoal de executivos-sênior por falhas cibernéticas graves. Diretores de risco e CISOs podem enfrentar bloqueios de carreira ou sanções regulatórias pessoais.

Cascata de obrigações contratuais: instituições financeiras passarão a impor cláusulas de ciberresiliência em contratos com terceiros (cloud providers, consultores, fintechs). Cadeias de fornecimento de TI serão auditadas de forma mais rigorosa.

Tensão entre inovação e conformidade: a incorporação defensiva de IA em combate a fraudes e KYC exigirá investimento simultâneo em governança e auditoria de IA. Bancos menores podem enfrentar custo de conformidade proibitivo, reduzindo competição.

Precedentes internacionais: reguladores como Federal Reserve (EUA), ECB (EU) e Bank of England publicaram estudos sobre resiliência operacional e ciberrisco sistêmico. O BC acompanha esse movimento; espera-se convergência regulatória global, com replicação de padrões em instruções futuras.