Criminosos têm conhecimento avançado sobre operação do sistema financeiro, alerta BC
- Renalice Silva
- 12 de nov. de 2025
- 2 min de leitura
Relatório identifica vulnerabilidades em provedores de tecnologia e aponta que ataques coordenados revelam fragilidade estrutural na proteção cibernética do sistema financeiro
O Banco Central (BC) alertou que os recentes ataques cibernéticos a instituições financeiras e de pagamento expuseram falhas críticas na infraestrutura digital de parte do sistema financeiro brasileiro.
Segundo o relatório de Estabilidade Financeira (REF), divulgado nesta quarta-feira (12), os incidentes mostraram que grupos criminosos vêm atuando de forma coordenada, explorando fragilidades em provedores terceirizados de tecnologia e sistemas de integração digital usados pelos bancos.
Os ataques, que resultaram no desvio de recursos de contas reservas, ocorreram em instituições conectadas à Rede do Sistema Financeiro Nacional (RSFN) por meio de Provedores de Serviços de Tecnologia da Informação (PSTIs).
O BC destacou que nenhum dos seus próprios sistemas foi afetado, incluindo o Pix, mas que os casos evidenciam “riscos concretos de materialização de eventos com repercussão sistêmica”.
Falhas de controle
Segundo o BC, 606 instituições foram avaliadas — 453 delas afirmaram possuir políticas de gestão de relacionamento com terceiros e 319 incluíram o tema em auditorias internas. O percentual, contudo, ainda é considerado baixo diante do nível de dependência tecnológica do sistema.
“Os incidentes demonstraram fragilidades em controles essenciais, especialmente na gestão de riscos de serviços providos por terceiros e nas práticas de controle de acesso”, diz o relatório.
O documento aponta que empresas contratadas para processar dados e manter conexões com a RSFN podem comprometer simultaneamente várias instituições caso sejam invadidas.
Esses ataques, segundo o BC, vêm sendo conduzidos por organizações criminosas com conhecimento avançado sobre a arquitetura do sistema financeiro, capazes de cooptar colaboradores e instalar dispositivos físicos para obter acesso indevido a redes corporativas.
APIs e o novo vetor de fraude
O BC também identificou lacunas relevantes na gestão de riscos de serviços prestados por meio de APIs (Interfaces de Programação de Aplicativos) — tecnologia usada para conectar sistemas e viabilizar modelos como o Banking as a Service (BaaS).
Segundo o relatório, criminosos vêm usando essas interfaces para automatizar fraudes, como transferências em massa e pulverização de recursos, o que dificulta o rastreamento do dinheiro. Além disso, instituições com falhas nos processos de identificação de clientes (KYC) acabam abrindo contas usadas posteriormente para movimentações ilícitas.
A pesquisa feita pelo BC com 440 instituições mostrou que poucas implementam validações robustas de dados ou mecanismos de detecção de uso indevido e manipulação de comportamento de APIs.
Conhecimento técnico
O relatório destaca que grupos organizados demonstram domínio técnico sobre os processos do Sistema Financeiro Nacional (SFN), inclusive sobre os mecanismos de reserva e transações internas das instituições.
Essa sofisticação, segundo o BC, exige investimentos contínuos em higiene cibernética, como controle de acesso, autenticação multifator e revisão periódica de permissões.
Ações do BC
Como resposta, o BC vem reforçando regras para provedores tecnológicos e limitando o volume de transações para reduzir danos em caso de ataque. O órgão também intensificou o monitoramento de incidentes de alto impacto e estuda novas medidas para aumentar a resiliência cibernética do sistema financeiro.
“O BC permanece atuando na resposta a incidentes cibernéticos relevantes que possam impactar o funcionamento regular do sistema financeiro nacional”, conclui o relatório.
por: Infomoney
Comentários