Entra década, sai década, o interesse do crime pelo sistema financeiro e bancário nunca muda. Mas o que muda — de forma exponencial — é o ambiente em que esse interesse opera. Se, nos primeiros anos do século 21, o risco ainda estava concentrado em ataques físicos a agências, caixas eletrônicos e carros-fortes, os próximos 25 anos serão definidos por uma superfície de ataque muito mais ampla, distribuída e invisível. O dinheiro tornou-se digital, os serviços financeiros se expandiram para dentro de ecossistemas interconectados e o poder de transação migrou definitivamente para a palma da mão do cliente. Nesse novo cenário, os bancos permanecem no centro do alvo — mas agora inseridos em uma arquitetura muito mais complexa, dinâmica e exposta.
É a partir dessa transformação que se organiza a agenda de cibersegurança da Febraban (Federação Brasileira de Bancos) para 2026. Mais do que acompanhar a evolução tecnológica, o desafio passa a ser governar a complexidade de um sistema financeiro cada vez mais digital, interoperável e dependente de cadeias extensas de parceiros, fornecedores e plataformas. A tecnologia que evolui de forma igualmente acelerada e disruptiva, diz Valdir Assef Jr., gerente de Segurança Cibernética da Febraban, é, claro, instrumento indispensável nesse processo, mas o desafio daqui para frente carrega um paradoxo central: “quanto mais digital se torna o sistema, mais essencial se torna o elemento humano”.
Em entrevista exclusiva à The Shift, Assef destaca que é o humano que define limites, interpreta riscos, estabelece governança e sustenta a confiança que permite ao sistema financeiro funcionar. Esse foco se traduz, de um lado, no “letramento sobre segurança” do consumidor, uma condição necessária para reduzir vulnerabilidades em um ambiente onde fraude, manipulação e engenharia social evoluem na mesma velocidade da inovação. De outro lado, na construção de uma cadeia de confiança e colaboração entre instituições financeiras, empresas de tecnologia, prestadores de serviço, reguladores e demais atores do ecossistema — uma rede de proteção que ultrapassa definitivamente o perímetro dos bancos.
Esse quadro ganha ainda mais relevância diante de um componente relativamente novo: a dimensão geopolítica da cibersegurança. Infraestruturas críticas de Estados-nação — energia, telecomunicações, transporte, água e sistema financeiro — passam a integrar o campo potencial de disputas digitais entre países. Proteger o sistema financeiro, lembra Assef, deixa de ser apenas uma questão operacional ou corporativa e passa a significar também proteger a estabilidade econômica, soberania tecnológica e confiança institucional.
Responder a uma ameaça dessa magnitude exige algo que nenhuma organização consegue construir isoladamente. A defesa passa necessariamente pela colaboração entre setor público, iniciativa privada e academia, combinando inteligência prática, pesquisa avançada e visão de longo prazo para enfrentar um adversário altamente organizado — que precisa encontrar apenas uma brecha para ter sucesso. Em um ambiente de riscos compartilhados, é a convergência entre múltiplos atores que produz resiliência sistêmica. A cibersegurança deixa de ser um tema técnico para se tornar um “pilar estrutural da estabilidade econômica e institucional” nos próximos anos.
A Febraban é uma das parceiras estratégicas do Centro Integrado de Segurança em Sistemas Avançados (CISSA), Centro de Competência Embrapii em cibersegurança operado pelo CESAR, e Valdir Assef Jr. participa no Conselho Consultivo do CISSA, atuando na articulação entre a indústria financeira e o centro de competência. “Essa troca nos dá acesso à fronteira do conhecimento em segurança cibernética. Ela acelera nosso trabalho no CyberLab, permitindo antecipar riscos e tendências, não apenas reagir a incidentes imediatos”, diz Assef.
O olhar em conjunto para o horizonte mais distante é, segundo Georgia Barbosa, gerente-executiva do CISSA|CESAR, um dos pontos fortes da parceria. “Ter instituições que buscam resolver desafios em conjunto, em prol das organizações que sofrem impactos reais com ameaças cibernéticas, mantendo um olhar a longo prazo, é essencial”.
Confira a seguir a íntegra da entrevista de Valdir Assef Jr. para The Shift. Na conversa, ele detalha como a agenda de cibersegurança se organiza para 2026 e explica por que, em um sistema cada vez mais digital, a confiança continua sendo o ativo mais crítico de todos.
O mundo financeiro continua sendo um dos principais alvos de ataques cibernéticos. O que mudou nesses primeiros 25 anos do século 21 e como entramos em 2026 quando falamos de sistema bancário e cibersegurança?
“A única coisa que não mudou foi o interesse do crime pelo sistema financeiro. Esse interesse sempre existiu. O que mudou foram os métodos e as ferramentas. No início do século 21, o foco estava nos ataques físicos: invasões a agências, explosões de caixas eletrônicos logo após o abastecimento, ataques a carros-fortes, ações concentradas em dias de pagamento. A resposta dos bancos também era física — câmeras, alarmes, detectores de movimento, dispositivos de fumaça, sirenes, entintamento de cédulas.
Esse cenário praticamente desapareceu porque o dinheiro deixou de circular dessa forma e passou a circular digitalmente. A criminalidade acompanhou essa migração. Em vez de especialistas em armamento, direção ofensiva ou explosivos, hoje temos especialistas em invasão de sistemas, cooptação de funcionários com credenciais privilegiadas, pulverização de recursos e técnicas sofisticadas de ocultação.
Há também uma mudança comportamental importante. Antes, as pessoas tinham momentos específicos para ir ao banco, inclusive com previsão na legislação trabalhista para isso — quem trabalhava tinha o direito de tirar duas horas do trabalho, no período de recebimento de salário, para ir ao banco resolver suas contas. Hoje, o banco está no celular o tempo todo. A vida inteira está concentrada nesse dispositivo. Isso facilita a ação criminosa, que muitas vezes não ataca diretamente a instituição financeira, mas o cliente.
Ao mesmo tempo, existe a criminalidade mais sofisticada, que alicia funcionários, infiltra pessoas em provedores críticos ou até financia a entrada de alguém em processos seletivos para estudar o sistema por meses ou anos e então realizar desvios de grande escala. Ou seja, o interesse continua o mesmo — o que mudou profundamente foi a forma de agir.”
Estamos falando de alta capilaridade, muito poder na mão das pessoas e ecossistemas complexos. Quais são as diferenças entre ataques sistêmicos e ataques individuais nesse cenário digital?
“Os crimes voltados à ponta do varejo atingem tanto pessoas físicas quanto jurídicas, porque sempre existe um indivíduo operando aquela conta e sujeito a mecanismos de engenharia social. Fraudes digitais exploram exatamente esse fator humano — independentemente de ser um cliente pessoa física, um gerente operando conta PJ ou alguém responsável por movimentações corporativas.
Já os ataques sistêmicos procuram vulnerabilidades na arquitetura do sistema financeiro digital. E aqui surge um ponto crítico: essa arquitetura está em transformação contínua. Cada atualização tecnológica que melhora a experiência do cliente, a telecomunicação, o aplicativo ou o próprio dispositivo móvel pode introduzir elementos desconhecidos e potenciais vulnerabilidades, porque a integração entre sistemas é extremamente complexa e delicada. Há patches de segurança para manter, atualizações de sistema… é um checklist contínuo
Isso cria uma corrida permanente. Cada atualização exige análise de impacto, verificação de segurança, adaptação de controles. É uma corrida sem fim, que fica mais rápida e mais longa, porque há cada vez mais componentes para proteger.”
O Brasil paga o preço de ser pioneiro global na digitalização do sistema bancário e financeiro?
Se a gente lembrar dos primórdios do Internet Banking, era basicamente um ATM transportado para o terminal de autoatendimento. O que antes era basicamente um canal transacional evoluiu para um universo completo dentro do aplicativo bancário. Hoje ele reúne marketplace, cashback, descontos, PIX, Open Finance com compartilhamento de dados financeiros, integração com e-commerce, câmbio, crédito, financiamento e diversas funcionalidades especializadas.
Cada banco segue caminhos diferentes para hiperpersonalizar suas ofertas conforme o público-alvo — varejo, comércio exterior, crédito rural, financiamento de veículos, entre outros. Isso amplia enormemente a complexidade tecnológica e de segurança.
O sistema financeiro precisa estar presente em praticamente toda atividade econômica digital. Não é permitido ficar fora de nenhum segmento relevante. Esse movimento torna o ambiente ao mesmo tempo extremamente rico e extremamente complexo — e amplia proporcionalmente a superfície de risco que precisa ser protegida.
A educação financeira passa também por educação em segurança?
“Sim, sem dúvida. Sem conscientização, o usuário fica totalmente vulnerável a fraudes, manipulações, enganações e roubo de dados. As pessoas se encantam com a facilidade tecnológica, mas não avaliam o custo-benefício de abrir suas informações pessoais em diferentes plataformas, muitas vezes sem necessidade real.
Vivemos um experimento social em larga escala, com ferramentas cada vez mais intrusivas que pedem acesso a e-mail, contatos, mensagens, redes sociais. A pergunta fundamental — qual é o preço disso e quem é responsável se algo der errado — raramente é feita.
Nesse contexto, surge o conceito de cyber inequity, citado no relatório recente de cibersegurança do Fórum Econômico Mundial: uma desigualdade estrutural na capacidade de navegação segura no mundo digital. Isso pode criar novas periferias sociais não baseadas em território, mas em letramento digital. Pessoas convivem fisicamente próximas, mas vivem realidades digitais completamente distintas, o que tende a gerar conflitos sociais.
Por isso, a conscientização precisa começar cedo, desde a educação básica. Assim como aprendemos a atravessar a rua ou não aceitar doces de estranhos, precisamos aprender a navegar com segurança no ambiente digital.”
Quais são as prioridades da agenda de cibersegurança da Febraban em 2026?
O primeiro movimento é voltar a colocar as pessoas no centro da segurança. Mesmo diante do avanço acelerado da Inteligência Artificial e de novas camadas tecnológicas, a segurança continua sendo, essencialmente, uma questão de governança, propósito de uso e curadoria humana. A tecnologia amplia capacidade, velocidade e escala — mas não substitui o julgamento, a responsabilidade e a compreensão do negócio.
Por isso, o fator humano não deve ser tratado como o elo mais fraco da cadeia. Ele é, na verdade, o elemento que define a força do sistema. Quando uma organização enxerga o ser humano como fragilidade, o problema está na gestão e na forma como essa segurança foi concebida.
A partir desse princípio, algumas prioridades se tornam claras.
A primeira é a integração real entre cibersegurança, prevenção a fraudes e gestão de risco. Historicamente, essas áreas evoluíram separadas. Hoje isso não é mais possível, porque o risco digital deixou de ser um tema de infraestrutura e passou a ser risco central do negócio financeiro.
Outra frente crítica é a ampliação do olhar para o ecossistema. O sistema financeiro opera por meio de cadeias extensas de fornecedores, parceiros tecnológicos, consultorias, fábricas de software, call centers, bureaus de dados e múltiplos terceiros que, de alguma forma, acessam informações sensíveis ou influenciam processos críticos.
Isso desloca a discussão de segurança para além do perímetro institucional. A pergunta deixa de ser apenas “qual é a minha segurança?” e passa a ser “qual é a segurança de toda a cadeia que sustenta a minha operação?”.
Nesse cenário, torna-se indispensável também alinhar linguagem e compreensão entre áreas técnicas, financeiras e de negócios.
Segurança digital não pode mais ser tratada como um domínio isolado de especialistas. Ela precisa ser compreendida como parte estrutural da governança corporativa e da estabilidade do próprio sistema financeiro.
No fundo, o que emerge para 2026 é uma constatação: quanto mais tecnologia o sistema incorpora, maior precisa ser a camada humana de governança, integração e responsabilidade que sustenta essa tecnologia.
A interoperabilidade exige segurança by design?
“Exige segurança by design, governança by design e, sobretudo, colaboração contínua by design. Em um sistema financeiro cada vez mais interoperável, conectado e dependente de múltiplos atores, não existe segurança possível sem diálogo permanente entre áreas internas, instituições diferentes e até setores econômicos distintos.
Isso muda a própria natureza da segurança cibernética. Ela deixa de ser uma função reativa, centrada em tecnologia, e passa a ser uma capacidade sistêmica, baseada em confiança, troca de informação e construção coletiva de proteção.
Essa colaboração raramente é visível. Não é algo espetacular, não é “instagramável”, não aparece como uma sala de guerra cheia de telas. Muitas vezes, ela acontece de forma silenciosa — em conversas, conexões rápidas, compartilhamento de sinais de risco, validação de informações. Mas é exatamente essa colaboração invisível que evita crises, reduz perdas e preserva aquilo que o sistema financeiro tem de mais valioso: a confiança.
Num ambiente transacional como o financeiro, ninguém é seguro sozinho. Se o ecossistema ao redor não mantiver um nível mínimo de proteção, qualquer fragilidade periférica pode se transformar em risco sistêmico. Por isso, segurança hoje é necessariamente ecossistêmica, colaborativa e contínua.
Em outras palavras, interoperabilidade amplia eficiência e inovação, mas só se sustenta quando nasce já acompanhada de segurança, governança e cooperação incorporadas desde a origem.”
A segurança cibernética do sistema financeiro é também uma questão geopolítica?
“Sem dúvida. O sistema financeiro é infraestrutura crítica, assim como energia, água, transporte e telecomunicações. Ataques cibernéticos podem ser usados como instrumentos de pressão entre países, provocando instabilidade econômica e social sem necessidade de conflito militar direto.
Quem domina essas tecnologias possui capacidade de ação rápida e impacto relevante sobre a soberania de outras nações. Esse é um componente relativamente novo — mas cada vez mais central na agenda de segurança.”