O avanço dos ataques cibernéticos no setor financeiro não é apenas consequência da transformação digital, é, sobretudo, resultado de uma contradição com a qual o setor convive: instituições financeiras operam infraestruturas cada vez mais integradas, distribuídas e orientadas a dados, frequentemente sustentadas por arquiteturas legadas e modelos de segurança concebidos para contextos menos interconectados e menos críticos.

O problema, portanto, não está apenas no aumento da superfície de ataque, mas na incapacidade estrutural de lidar com ela. Na prática, muitas organizações ainda tratam segurança como um conjunto de ferramentas isoladas, e não como uma estratégia integrada de negócio. Equipes que não se comunicam, processos desconectados e baixa visibilidade sobre o ambiente criam um cenário em que a identificação de ameaças ocorre de forma tardia ou contingencial, cenário incompatível com o nível de criticidade, previsibilidade e controle esperado do setor financeiro

Um ponto que ainda recebe pouca atenção nessa discussão é o fator humano por trás dessas decisões. Não se trata apenas de tecnologia ou orçamento, mas de cultura organizacional e, principalmente, de como a liderança enxerga risco. Em muitas instituições, segurança ainda é percebida como custo ou entrave à inovação, quando, na prática, deveria ser tratada como elemento de sustentação do próprio crescimento digital. Sem esse alinhamento no topo, iniciativas acabam pulverizadas, prioridades se perdem e a execução fica comprometida.

Segundo relatório da Armis Labs, essa ampliação dos pontos vulneráveis, ou seja, todos os caminhos possíveis de acesso a um sistema, tem sido impulsionada pela integração entre sistemas essenciais, pelo uso intenso de conexões entre aplicações e pela dependência de ambientes conectados. Com isso, há mais portas de entrada para ataques, o que exige uma mudança na forma como a segurança é estruturada.

De acordo com esse estudo, cerca de 69% das invasões têm origem em vulnerabilidades já conhecidas e não corrigidas. Ou seja, não estamos falando de ameaças impossíveis de prever, mas de problemas que persistem por falhas em processos de priorização, governança de correções e execução de planos de tratamento de risco. Em um setor que investe bilhões em tecnologia, esse dado revela um desalinhamento preocupante entre discurso e prática.

Essa área ainda atua de forma predominantemente reativa, abordagem que amplia não apenas o risco individual das instituições, mas também o risco sistêmico em ambientes interdependentes. Modelos baseados exclusivamente em resposta a incidentes não são mais suficientes, e, em muitos casos, nunca foram. Continuar apostando nessa lógica é aceitar que o ataque aconteça para então agir. A mudança necessária é mais profunda do que a adoção de novas ferramentas. Ela passa por incorporar segurança desde a concepção dos sistemas, integrar desenvolvimento e operação e tratar risco cibernético como uma variável estratégica, não apenas técnica.

Nesse contexto, práticas como testes contínuos, validações automatizadas e observabilidade representam meios tecnicamente adequados para suportar o atendimento às expectativas regulatórias de monitoramento contínuo, conforme as abordagens modernas de supervisão baseadas em risco adotadas por BACEN e CVM. A inteligência artificial também ganha relevância, não como solução isolada, mas como mecanismo de escala para identificar padrões, antecipar falhas e reduzir o tempo de resposta. Mas é importante deixar claro: tecnologia, por si só, não resolve um problema que é, antes de tudo, de mentalidade.

Enquanto a segurança não for tratada como pilar estrutural da operação, o setor permanecerá exposto, independentemente do volume de investimento, refletindo uma fragilidade institucional e de governança. Em um ambiente tão regulado e sensível, essa fragilidade não compromete apenas sistemas, mas a confiança de todo o ecossistema financeiro. A questão, portanto, não é se os ataques vão evoluir. Eles vão. O verdadeiro desafio não é técnico, mas estrutural: abandonar práticas antigas e assumir a segurança como responsabilidade institucional.

*Mateus Santos é CTO da Vericode e possui mais de 20 anos de experiência na engenharia e gestão de sistemas de alta criticidade nos setores financeiro, elétrico e de telecomunicações. Especialista em desempenho, capacidade e disponibilidade de sistemas, além de observabilidade e práticas de SRE, lidera iniciativas que elevam a resiliência, a performance e a confiabilidade de ambientes complexos.