Por *Jefferson Macedo, Diretor de Serviços de Segurança da Hexa Security
Os números não deixam margem para interpretações otimistas. O setor financeiro lidera os ataques cibernéticos no Brasil pelo segundo ano consecutivo, concentrando mais de 20% de todos os incidentes registrados em 2025. Não é uma coincidência, muito menos novidade: em 2024, o setor já respondia por cerca de 19,76% dos incidentes no país. Estamos diante de uma tendência estrutural, não de um ciclo passageiro. E o que mais preocupa não é o volume de ataques em si, mas a forma como grande parte das instituições ainda reage a eles.
Os números de 2025 aprofundam o diagnóstico. O Relatório de Cibersegurança 2026 da Check Point Software aponta que as organizações registraram, em média, 1.968 ataques cibernéticos por semana no ano, salto de 70% em relação a 2023. No setor financeiro especificamente, o volume global de incidentes saltou de 864 ocorrências em 2024 para 1.858 em 2025, crescimento de 115% em apenas um ano, segundo o Relatório Global de Gerenciamento de Exposição da mesma Check Point.
No Brasil, os bancos figuram entre os alvos preferenciais da América Latina, com média de 1.774 ataques semanais por instituição, um dos índices mais elevados da região. São ataques que acontecem enquanto as equipes dormem, enquanto os sistemas processam transações, enquanto os clientes confiam seus dados à instituição. A pergunta que precisa ser feita é: as defesas estão à altura dessa cadência?
A resposta honesta, para muitas organizações, é não. O Banco Central registrou 68 incidentes cibernéticos no sistema financeiro nacional apenas entre janeiro e outubro de 2025, já superando os 59 de todo o ano de 2024. Em seu Relatório de Estabilidade Financeira, a própria autoridade monetária reconheceu que “um conjunto razoável de participantes do sistema financeiro não dispõe de mecanismos adequados” para gerenciar vulnerabilidades em APIs e serviços de terceiros. Isso é uma confissão institucional de que a postura reativa ainda predomina.
O que sustenta essa reatividade?
Em parte, uma ilusão de compliance. Muitas instituições investem em segurança para cumprir exigências regulatórias e marcar caixinhas em auditorias, não para efetivamente antecipar ameaças. Uma pesquisa da Grant Thornton Brasil e Opice Blum Advogados revelou que 79% das empresas acreditam estar mais expostas a ataques devido à evolução tecnológica, mas apenas 44% têm a alta administração envolvida no tema. Segurança tratada como área operacional, e não como prioridade estratégica, é segurança que chega tarde.
Outro fator crítico é a dependência de terceiros sem a devida governança. O Banco Central alertou que grupos criminosos demonstram conhecimento avançado sobre a operação do sistema financeiro nacional, chegando a cooptar colaboradores das próprias instituições ou de prestadores de serviço contratados por elas. Isso revela que o vetor de ataque frequentemente é humano. O crescimento dos ataques de engenharia social expõe uma lacuna significativa na capacitação dos colaboradores, que favorece tentativas de phishing direcionado mesmo em organizações que aumentaram seus investimentos em tecnologia. Tecnologia sem cultura de segurança é uma fortaleza com a porta dos fundos aberta.
O custo dessa equação mal resolvida é concreto. Estudos da Febraban apontam que, em 2024, ataques hackers causaram perdas de aproximadamente R$ 2,3 trilhões no país, enquanto o investimento em segurança cibernética foi de R$ 47,4 bilhões, um valor que cresceu 12%, mas em ritmo muito inferior ao dos danos causados. Gastar menos em prevenção do que se perde em incidentes é transferência de risco para o cliente, para o mercado e para a reputação da instituição.
A mudança necessária não é apenas tecnológica – é de mentalidade
Migrar de uma postura reativa para uma abordagem proativa significa investir em inteligência de ameaças, em exercícios de simulação de incidentes, em arquiteturas de segurança por design e em programas contínuos de conscientização. Significa também tratar a cadeia de fornecedores com o mesmo rigor aplicado às operações internas. O criminoso não distingue entre o banco e o seu provedor de API. A defesa, portanto, não pode ignorar essa fronteira.
O setor financeiro tem condições de liderar a transformação da maturidade em cibersegurança no Brasil, tem regulação, tem recursos e tem visibilidade pública para tanto. Mas enquanto a resposta a incidentes continuar sendo o principal investimento, em detrimento da prevenção e da detecção antecipada, os números seguirão subindo. Cibercriminosos operam com planejamento, persistência e sofisticação crescente. Reagir depois do ataque é sempre tarde demais.
