Entre os dias 18 e 19 de março, executivos do ecossistema bancário latino-americano e global se reuniram na capital paulista para o 3º Febraban SEC, evento organizado pela Federação Brasileira de Bancos, que desta vez ocorreu junto com o 41º Congresso Latino-Americano de Segurança Bancária (CELAES) da Federação Latino-Americana de Bancos (Felaban), aumentando ainda mais o âmbito das discussões sobre um problema crescente: as fraudes cibernéticas contra o mercado bancário.
A edição reuniu autoridades policiais, reguladores e executivos do setor financeiro em torno de uma leitura comum: a fraude digital deixou de ser um problema pontual de bancos e passou a operar como um fenômeno global, sofisticado e cada vez mais coordenado.
No painel de abertura, Andrei Rodrigues, diretor-geral da Polícia Federal do Brasil, destacou a resiliência do órgão em manter sua atuação eficiente em períodos de instabilidade e citou que 86% dos inquéritos abertos são resolvidos — taxa que, conforme Andrei, “desafia a competência de quaisquer outras autoridades de lei do mundo”.
Ainda em sua fala, ele reforçou a necessidade de integração entre agências e instituições em casos complexos, colocando como caso de sucesso a colaboração nas investigações a respeito do caso do Banco Master.
A fraude deixou de ser local
Na mesma linha, Valdecyr Urquiza, secretário-geral da Interpol, resumiu o espírito da discussão ao afirmar que “o que vamos discutir hoje é global, e não mais um problema sulamericano”. De acordo com Urquiza, a adoção de novas tecnologias por parte dos fraudadores está mais adiantada do que o setor privado, com inteligência artificial apoiando a engenharia social e a localização de golpes para outros países, o que dificulta o rastreamento do local de origem das operações.
Por conta dessa internacionalização do crime bancário digital, só no ano passado, foram registrados 1,5 mil inquéritos de investigação a nível global, com meios de pagamento digitais servindo como facilitadores para movimentar fundos entre continentes com agilidade.
“O índice de subnotificação também é altíssimo, sobretudo entre pessoas físicas. Muitas não acreditam no poder da perseguição policial ou simplesmente sentem vergonha, pois perderam suas economias de uma vida inteira”, explica o secretário-geral.
A defesa começa antes do ataque
Em uma sessão dedicada à anatomia dos ataques financeiros, a mensagem foi que a resposta mais eficaz continua sendo antecipar o risco. Daniel Santana, diretor de cybersecurity do Itaú Unibanco, resumiu a lógica com uma frase direta: “Precisamos investir no compartilhamento de informações, pois o outro lado faz isso muito rápido”.
A ideia apareceu repetidamente ao longo do encontro: os bancos já compartilham sinais entre si, mas a proteção precisa alcançar também, por exemplo, as operadoras de telefonia, plataformas digitais e outros pontos do ecossistema em que a fraude se inicia ou se espalha.
Danilo Coelho, diretor-executivo de dados, produtos e novos negócios da Quod, chamou atenção para a escalada das contas laranja, enquanto Antônio Marcos Guimarães, chefe-adjunto do departamento de regulação do Banco Central do Brasil, mencionou que pelo menos 16 novas iniciativas regulatórias estão previstas para 2026 e 2027.
Guimarães pontuou os recentes esforços do BCB em prover amparo jurídico e requisitos técnicos para blindar o setor financeiro, e tal trabalho deve prosseguir com preocupações especiais em temas emergentes como poisoning (envenenamento) de modelos de machine learning, ativos descentralizados e segurança jurídica para que as instituições tenham autonomia no combate às fraudes sem punir indevidamente atores legítimos.
Open Finance entra na fase da escala e da confiança
O debate sobre Open Finance mostrou um setor já muito além da fase de experimentação. Janaina Attie, consultora do Banco Central, destacou os mais de 70 milhões de consentimentos registrados em janeiro deste ano e descreveu a arquitetura do sistema como um mecanismo de comunicação bilateral, sem base central, sustentado por tecnologia de ponta e por discussões cada vez mais concretas sobre produtização.
“O Open Finance permite maior personalização para a experiência do cliente, além de melhorar produtos e serviços no relacionamento com o sistema financeiro como um todo”, afirmou, ressaltando que o ecossistema brasileiro de finanças abertas já superou suas inspirações estrangeiras e pode ser considerado o mais bem-sucedido do mundo, jamais tendo registrado qualquer incidente de segurança cibernética desde a sua inauguração.
Ana Carla Abrão, diretora-presidente da Associação Open Finance Brasil, resumiu o momento ao dizer que “o Open Finance é um impulsionador de negócios”, apontando ainda o volume de quase 40 bilhões de chamadas por mês e a ausência, até aqui, de problemas relevantes de fraude no modelo. O discurso, porém, foi menos celebratório do que pragmático: o desafio agora é crescer com segurança desde o desenho, ampliar o escopo para incluir novos produtos e, ao mesmo tempo, manter transparência para o usuário final.
Colaboração entre bancos, polícia e regulador virou infraestrutura
Se antes a cooperação aparecia como ideal, o congresso tratou o tema como infraestrutura operacional do combate à fraude. Na mesa sobre fronteiras da colaboração, Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF, trouxe números que dimensionam a pressão sobre o sistema: quatro golpes por minuto e mais de 2 milhões de estelionatos em 2024.
Ele lembrou que o Projeto Tentáculos, que centraliza inteligência investigativa entre bancos e forças policiais, surgiu para centralizar fragmentos de informação espalhados em milhares de inquéritos, e afirmou que hoje mais de 30 instituições já reportam à PF. Caio Moreira, chefe do departamento de tecnologia da informação do BCB, conectou essa agenda a mecanismos como o MED, o futuro MED 2.0 e o BC Protege+, além do uso de IA para antecipação de fraude.
A lógica comum, em todas as falas, foi a de que o isolamento institucional já não produz resposta suficiente.
A cooperação internacional como resposta a fraudes transnacionais
A mesa com Álvaro Azofra Martínez, head de expertise da EC3 Europol, e Felipe Seixas, diretor de cooperação internacional da Polícia Federal, reforçou que a fraude digital já opera como uma cadeia industrializada, com escala, infraestrutura e divisão de tarefas entre países.
Álvaro observou que as fraudes seguem crescendo em número de vítimas, impacto e valor movimentado, impulsionadas por novas tecnologias de produtividade usadas pelos cibercriminosos para acelerar ataques. Nesse ambiente, a automação e as criptomoedas ganharam papel central, especialmente na lavagem de dinheiro associada a ransomwares.
Mas, apesar da sofisticação crescente, a maior parte das ofensivas continua começando pelo fator humano: engenharia social, em formatos como smishing, vishing e quishing, desenhados para enganar usuários e abrir a porta para ataques maiores.
A lógica da EC3, segundo ele, não é perseguir apenas casos isolados, mas reunir dados de diferentes países para atingir organizações inteiras, sobretudo grupos que operam em modelo de phishing-as-a-service. Foi nesse contexto que ele citou operações como a Olympia, que resultou no acesso a 12 TB de dados de três servidores e na interrupção de uma plataforma que facilitava a lavagem de dinheiro via criptoativos, além da Operação Leak, voltada ao takedown de um fórum comercial de credenciais roubadas usadas para acessar serviços em nuvem e contas corporativas.
Para Álvaro, a colaboração entre autoridades policiais de diferentes países é o que transforma informação dispersa em prova tangível e permite respostas mais rápidas. Ele também destacou a aproximação com universidades para desenvolver projetos de cooperação e alertou para um ponto sensível: a prevenção ainda não ocupa o lugar que deveria na agenda das autoridades.
Um trabalho curioso da autoridade, por exemplo, é a conscientização de jovens de 8 a 14 anos que já circulam em fóruns underground, praticam pequenos delitos em jogos eletrônicos e podem estar no começo de uma trajetória criminosa — um estágio em que, em vez de apenas punir, a resposta pode tentar redirecionar habilidades para a cibersegurança.
A ideia, resumiu o executivo, não é estimular a desistência do interesse técnico, mas orientar esses possíveis “criminosos mirins” a voltarem suas habilidades natas para o bem, em uma estratégia que combina intervenção, notificação e até comunicação direta com esses públicos.
A proteção precisa cobrir a cadeia inteira
O mesmo raciocínio apareceu com força no painel sobre segurança na cadeia de suprimentos. Ricardo Nilsen Moreno, superintendente de segurança da informação do Safra, explicou que a segurança deve entrar desde a definição do projeto, na análise do fornecedor e nos requisitos contratuais, porque os playbooks precisam estar prontos antes da crise.
Lia Pilatti, executiva de prevenção a fraudes do Banco do Brasil, observou que o mercado passou a lidar simultaneamente com NDA, SLA, custo, complexidade e integração entre acesso físico e lógico, o que tornou obsoleta a ideia de contratar apenas pelo menor preço. Hoje, é crucial dar mais atenção a controles como segregação de funções e princípio de privilégio mínimo para cobrir eventuais brechas na supply chain.
Já Marcos Lima, executivo de tecnologia e segurança digital do Santander, foi ainda mais incisivo ao defender cláusulas contratuais para incidentes em terceiros e ao fazer uma analogia provocante: “Se o cadeado da porta da sua casa fosse controlado por um terceiro, como você garantiria que nada sairá de errado?”. A mensagem final é clara: em um sistema interdependente, a maturidade do parceiro passou a ser risco direto do negócio.
Inteligência compartilhada como vantagem defensiva
Na mesa sobre inteligência compartilhada, o debate saiu do campo da tecnologia pura e entrou na cultura organizacional. Leandro Ferreira Granja, CISO do Santander, definiu inteligência como “dado tratado, compartilhado e intercambiável entre departamentos da empresa, permitindo a tomada de decisões”, e resumiu o risco de centralizá-la demais ao dizer que, se a inteligência tiver um dono, “ela já nasce limitada”.
Quem levou a discussão para outro terreno foi Cristine Hoepers, gerente-geral do CERT.br/NIC.br, ao afirmar que “o mais importante da troca de dados é a confiança” e alertar que não basta acumular informação se ela não chega à pessoa certa, no contexto certo e com enriquecimento suficiente para gerar ação. “As empresas querem colecionar dados, mas se você quer achar agulha em um palheiro, não adianta trazer mais palha. Inteligência é um termo muito bonito, não basta acumular dados crus”, pontuou.
Para fechar a sessão, o líder de Android Partner Engineering da Google, Fabrício Ferracioli, reforçou a ideia com exemplos práticos de bloqueio contra roubo e identificação de chamadas fraudulentas em escala presentes no próprio sistema operacional móvel, mostrando que a defesa se fortalece quando os sinais circulam entre ecossistemas e parceiros.
“A quantidade de dados é imensa. É importante que esses sinais sejam identificados de forma sistêmica e em escala”, explica.
Insiders e engenharia social ampliam a superfície de risco
A agenda também mostrou que a ameaça não vem apenas de fora. Aline Gil Stein, head de ocorrências internas do Santander, lembrou que há atores internos agindo de forma intencional e outros sendo manipulados, o que exige uma leitura mais fina do comportamento dos colaboradores. O ponto, na prática, é transformar o tradicional controle de acesso em uma postura mais ampla de “know your employee”, capaz de identificar sinais antes que o dano ocorra.
No plano regional, o painel sobre enfrentamento de ameaças na América Latina reforçou a sensação de assimetria: o crime organizado não está sujeito às mesmas regras e regulações estritas que “limitam” o sistema financeiro, o que torna a disputa um tanto desigual. Essa guerra injusta tem previsões desanimadoras: US$ 4 trilhões devem ser perdidos para o crime cibernético ao longo deste ano só em nosso continente.
Ainda assim, os especialistas defenderam campanhas de educação do usuário, com Maximiliano Báez, diretor do centro especializado em cibercrime (AC3) da Ameripol, pontuando a criticidade de capacitar os cidadãos a identificar golpes de engenharia social.
Também foi pontuada a necessidade urgente de uma melhor qualificação do Poder Judiciário (que ainda dá indícios de não “entender” exatamente a gravidade de um crime cibernético e muitas vezes concede liberdade aos meliantes digitais em audiências de custódia) e a articulação regional como caminhos para reduzir a vantagem dos fraudadores.
Amadurecendo o setor
Ao final, o congresso deixou a impressão de que o setor financeiro já não discute apenas ferramentas, mas desenho institucional, cooperação internacional e velocidade de resposta. A fraude digital aparece, cada vez mais, como uma indústria transnacional que combina engenharia social, automação, IA, criptomoedas e cadeias terceirizadas vulneráveis.
Em contrapartida, a defesa passa por reguladores mais ativos, bancos mais integrados, polícias mais capacitadas e uma inteligência que circule com contexto, confiança e objetivo claro. Como resumiu um dos debates, o jogo ainda está longe de ser ganho, mas a indústria parece ter chegado a um ponto de maturidade em que ninguém mais acredita que combater fraude seja tarefa de uma só instituição.
1º PAINEL ESKIVE - Desafios e Estratégias contra o Cibercrime no Brasi
Confira um debate multifacetada entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre o universo dos golpes, fraudes e crimes cibernéticos no Brasil. ⭣
