Banco Central expõe falhas críticas na proteção digital das instituições financeiras brasileiras

Criminosos com domínio técnico sobre a infraestrutura bancária brasileira pressionam o Sistema Financeiro Nacional (SFN). O diagnóstico foi apresentado pelo Banco Central (BC) no Relatório de Estabilidade Financeira (REF) referente ao primeiro semestre de 2025, documento que detalha 53 incidentes cibernéticos registrados entre janeiro e agosto, número que se aproxima do total de casos de todo o ano de 2024. Os episódios revelam perdas financeiras diretas, cooptação de funcionários e exploração de falhas na arquitetura de tecnologia da informação das instituições.

Quem são os alvos e como os ataques se manifestam

O relatório esclarece que as ocorrências atingiram instituições de diferentes portes, abrangendo bancos tradicionais, fintechs, cooperativas e prestadores de serviço que compõem o ecossistema do SFN. Os criminosos demonstraram conhecimento detalhado da organização interna das entidades atacadas, o que lhes permitiu selecionar pontos vulneráveis em controles essenciais e, em alguns casos, movimentar recursos sem detecção imediata.

No levantamento do BC, parte dos incidentes envolveu a instalação de dispositivos físicos dentro do ambiente computacional das vítimas. Nesse modelo, colaboradores ou prestadores de serviço foram aliciados a conectar aparelhos capazes de criar túneis de comunicação com redes corporativas, proporcionando acesso remoto a sistemas estratégicos. A inserção desses equipamentos possibilitou a subtração de informações ou a realização de transações que só seriam percebidas após o comprometimento.

Escala temporal e evolução dos números

Os 53 casos contabilizados em apenas oito meses de 2025 contrastam com os 59 verificados durante todo o ano anterior. A progressão indica aumento na frequência e sugere que as medidas de prevenção adotadas até então não foram suficientes para conter novas investidas. Ainda que o BC não detalhe valores, o órgão confirma que houve perdas financeiras efetivas em parte dos episódios, reforçando o impacto direto sobre resultados e liquidez das entidades afetadas.

O período coberto pelo REF se concentra no primeiro semestre de 2025, porém o BC sinaliza que a tendência de crescimento pode se prolongar, caso vulnerabilidades estruturais não sejam sanadas. Os dados revelam, igualmente, um cenário de aprendizado criminoso: cada ataque bem-sucedido amplia o repertório técnico dos invasores, aumentando a complexidade das ações subsequentes.

Gestão de terceiros e linhas de defesa internas

Com o intuito de mapear controles adotados pelas instituições, o BC enviou questionários a 606 participantes do sistema. Entre eles, 453 declararam possuir procedimentos formais para o relacionamento com terceiros, ou seja, políticas que regulam a contratação e o monitoramento de fornecedores. Entretanto, quando se observa a verificação desses processos, a adesão cai: 317 responderam que a segunda linha — estruturas de compliance, por exemplo — avalia o tema, enquanto 319 citaram auditoria interna como mecanismo adicional. Os percentuais revelam lacunas significativas em uma atividade que deveria ser uniforme e obrigatória.

O próprio BC destaca que a terceirização amplia a superfície de ataque. Prestadores de serviços, ao terem acesso a redes corporativas, sistemas de pagamento ou bases de dados, tornam-se vias potenciais de infiltração. Quando não submetidos a verificações recorrentes, esses elos fragilizados podem ser explorados para exfiltração de informações ou para a criação de contas fraudulentas.

Higiene cibernética: controles básicos ainda insuficientes

Entre as recomendações do relatório, o BC enfatiza a necessidade de investir em práticas de higiene cibernética — conjunto de medidas rotineiras que reduz a probabilidade de intrusão. O documento cita explicitamente a aplicação de correções de vulnerabilidades, a gestão de acessos privilegiados e o uso de padrões seguros de configuração de ativos de TI. A avaliação do órgão é que muitas instituições carecem de processos maduros para aplicar patches em tempo adequado ou para revisar permissões concedidas a usuários com poderes administrativos.

O BC observa, ainda, que a automação das ofensivas ampliou o raio de ação das quadrilhas. Ferramentas automatizadas disparam múltiplos vetores simultanos, rastreiam vulnerabilidades conhecidas e realizam tentativas massivas de autenticação, tudo em ritmo superior ao de detecção manual pelas equipes de segurança.

APIs: agilidade para o cliente, oportunidade para o crime

O avanço de serviços providos por interfaces de programação de aplicações (APIs) transformou a experiência bancária. Funções como verificação de saldo em tempo real, emissão de extratos e transferências instantâneas dependem da troca de dados entre aplicativos e APIs hospedadas nos servidores das instituições. Contudo, essa mesma arquitetura tem sido explorada para fraudes que envolvem a abertura automatizada de contas. Os criminosos dispersam valores desviados em diversas novas contas, tornando o rastreamento mais complexo.

O levantamento do BC mostra que, das 440 instituições que mantêm soluções de TI específicas para APIs, somente 128 realizam avaliações periódicas de risco sobre esse recurso. As falhas se concentram em três frentes: validação robusta de dados, monitoramento de desempenho e comportamento dos serviços e ferramentas de detecção de uso indevido. Sem essas camadas, identifica o BC, torna-se praticamente impossível notar a pulverização de recursos ou o disparo de transferências não autorizadas associadas a ataques cibernéticos.

Cooptação interna e dispositivos físicos instalados em redes

Além dos vetores virtuais, o relatório destaca o papel de colaboradores recrutados pelo crime. Ao ceder credenciais, ou mesmo ao instalar equipamentos clandestinos, esses insiders funcionam como pontes diretas para as redes corporativas. O BC cita casos em que dispositivos conectados internamente abriram túneis criptografados até servidores fora do país, permitindo controle remoto das máquinas da instituição e extração silenciosa de dados sensíveis.

Para mitigar esse risco, o conselho do Banco Central volta-se a controles de acesso granulares, segregação de funções e monitoramento de tráfego inusual na rede local. A autarquia sublinha que a detecção de um equipamento não autorizado, muitas vezes, depende de inventários atualizados e de varreduras frequentes de portas e protocolos em uso.

Normas propostas para reduzir perdas e riscos

Na esteira dos episódios analisados, o BC elaborou um conjunto de normas que visa conter o avanço das fraudes. Entre as medidas, figura a revisão de critérios para autorizar instituições de pagamento, segmento que abrange carteiras digitais e maquininhas de cartão. O órgão pretende exigir demonstrações mais robustas de segurança antes da concessão de licenças e, em paralelo, estipular mecanismos automáticos de rejeição de transações suspeitas. Esses dispositivos deverão bloquear, em tempo real, operações que se desviem de padrões pré-definidos, reduzindo a materialização de prejuízos.

O BC não divulga prazos para a implementação total das novas regras, mas indica que a adoção será obrigatória para todas as instituições supervisionadas. O documento afirma que a eficácia dependerá da adesão uniforme, de auditorias periódicas e de relatórios que comprovem a efetividade dos controles.

Panorama geral e necessidade de ação imediata

O conjunto de informações reunidas pelo Banco Central descreve um cenário de vulnerabilidade crescente no sistema financeiro brasileiro, impulsionado por criminosos com capacitação técnica avançada e acesso privilegiado às engrenagens digitais das instituições. A elevação do número de incidentes, aliada a deficiências em gestão de APIs, controle de terceiros e higiene cibernética, sinaliza que reforços estruturais se tornaram urgentes para preservar a integridade do SFN.

Embora o relatório apresente diagnósticos preocupantes, ele também delineia caminhos objetivos de mitigação, desde a adoção rigorosa de patches até a revisão dos critérios de autorização de novos participantes do mercado. A efetividade dessas propostas, conclui o BC, dependerá do comprometimento direto das instituições, que precisam integrar segurança como pilar indispensável de sua operação diária.