O início de março marca um período de maior aperto regulatório sobre a segurança tecnológica promovida pelas fintechs. As normativas do Banco Central, vindas na esteira dos casos de ataques hackers contra sistemas do Pix em 2025 tentam avançar contra mudança no perfil dos golpes a instituições financeiras.

Normativas estipulados pelo regulador buscam uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamento do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB).

Os pontos incluídos pelo BC nas mudanças já vinham sendo alvo de auditorias junto às instituições financeiras. As mudanças vão de garantia de mecanismos de criptografia, garantia de prevenção de vazamento de dados até o gerenciamento de backup.

“O que eu vejo de mais forte, contudo, é o tema de inteligência de ameaça”, diz o diretor de negócios da Clavis Segurança da Informação, Leonardo Pinheiro. “É a inteligência para monitoramento de deep e dark web, monitoramento de vazamento de credenciais, menções à marca”, explica o especialista.

Segundo explica Pinheiro, a maior preocupação com esse tema se deve, principalmente, a uma mudança no perfil das fraudes financeiras, antes marcadas por perfil oportunístico. “Hoje parte desses ataques é orquestrado. E eles, muitas vezes, são tratados em cenários como deep e dark web, fóruns que não vemos.”

Ataques hackers em 2025 foram responsáveis pelo roubo de valores bilionários de instituições financeiras brasileiras. Dois deles, envolvendo as prestadoras de serviço C&M e Sinqia, se aproveitaram do acesso ao ambiente do Pix para acessar os valores de instituições financeiras.

Pinheiro aponta que a mudança no perfil de golpes também foi impactada pela regulação específica facilitada para a fundação de fintechs: “O ponto central diz que, se você quer ser uma fintech, tem que passar a olhar para isso [inteligência de ameaça]”.

O ponto é que essas empresas, em muitos casos, não possuem as ferramentas para fazer o monitoramento. A Clavis — que fornece tecnologia para a adequação das instituições financeiras — avalia que aqueles que buscarem pela implementação das mudanças agora já não terão mais tempo para seguir as regras estipuladas mais especificamente nas resoluções n° 538 e CMN n° 5.274.

“Aqueles que olharem de agora para frente não terão tempo. Demora tocar um projeto dessa magnitude. Dois a três meses dentro de novas ferramentas, adequações e aumento no nível de maturidade”, aponta Pinheiro.