Brasília – O Banco Central (BC) registrou 53 incidentes de risco cibernético entre janeiro e agosto de 2025, número que se aproxima do total de 59 ocorrências em todo o ano passado. O dado faz parte do Relatório de Estabilidade Financeira (REF) referente ao primeiro semestre, que alerta para o domínio de criminosos sobre a dinâmica do Sistema Financeiro Nacional (SFN) e para vulnerabilidades nas instituições, inclusive em serviços oferecidos por API.
Ciberataques em alta
Segundo o BC, os ataques recentes indicam que grupos criminosos conhecem a fundo a operação, a organização e os processos das instituições financeiras, chegando a detalhes da arquitetura de TI. Alguns casos resultaram em prejuízos financeiros e revelaram fragilidades em controles internos e em provedores de serviços.
Colaboração interna sob ameaça
O documento destaca o uso de colaboradores ou prestadores cooptados para instalar dispositivos físicos que conectam redes corporativas a criminosos, facilitando o roubo de informações ou o acesso remoto a sistemas.
Avaliação de risco de terceiros
Em consulta a 606 instituições, 453 afirmaram ter procedimentos formais para lidar com terceiros; 317 informaram que o tema é acompanhado pela segunda linha de defesa, como a área de compliance; e 319 incluem o assunto em auditorias internas. Para o BC, os números mostram a necessidade de aprimorar a gestão de fornecedores e parceiros.
APIs expostas
A automação dos ataques elevou a complexidade das fraudes. Servidores de aplicação (APIs) — base de operações de aplicativos bancários — são apontados como um dos principais alvos. Das 440 instituições que utilizam APIs, somente 128 realizam avaliações periódicas de risco, revela o relatório.
Imagem: diegograndi
O BC identificou falhas na validação de dados, na monitoração de desempenho e na adoção de ferramentas para detectar uso indevido, manipulação ou extração de informações. Sem esses mecanismos, fica difícil rastrear a pulverização de recursos e as transferências fraudulentas.
Recomendações e novas normas
Para reduzir a superfície de ataque, o BC recomenda práticas de higiene cibernética, como aplicação de correções de vulnerabilidades, controle de acesso e adoção de padrões de configuração segura. Também foram elaboradas normas que revisam critérios para autorizar instituições de pagamento — a exemplo de carteiras digitais e maquininhas de cartão — e dispositivos capazes de bloquear transações suspeitas.
Com informações de Olhar Digital
