Fintechs e bancos menores enfrentam riscos cibernéticos maiores no Brasil, segundo relatório publicado pela Fitch. A agência de rating aponta que o setor financeiro brasileiro enfrentou diversos casos de ataques hackers e vazamentos de dados nos últimos meses, expondo fragilidades em instituições de diversos portes.
Ainda assim, a Fitch aponta que bancos de grande porte têm menor probabilidade de serem afetados por eventos cibernéticos, pois possuem medidas de segurança robustas e de longa data e utilizam, principalmente, sistemas proprietários, além de soluções auxiliares de terceiros. “No entanto, à medida que os ataques se tornam mais sofisticados, o tamanho e os recursos financeiros de uma instituição podem se tornar menos relevantes, com o aumento dos riscos cibernéticos para instituições de todos os portes”.
A agência aponta que o Banco Central tem adotado uma série de novas regras que visam evitar casos semelhantes no futuro, especialmente para provedores de serviços de tecnologia da informação (PSTIs). “O BC valida os PTSIs, mas eles não são regulamentados como entidades financeiras”, lembra.
O relatório explica que bancos menores e fintechs tendem a usar PTSIs e outros softwares de terceiros em vez dos sistemas proprietários, criando maior exposição a riscos cibernéticos. “Em um pequeno banco digital, uma recente violação de segurança por meio de credenciais comprometidas em um fornecedor expôs dados confidenciais de usuários de milhares de clientes. Outro ataque a uma empresa de software de PTSIs em junho destacou o potencial de vulnerabilidade de sistemas de terceiros”.
Perdas de US$ 2,5 bilhões desde 2017
A Fitch afirma que relatórios do Fundo Monetário Internacional (FMI) indicam que as perdas com incidentes cibernéticos em todo o mundo quadruplicaram desde 2017, chegando a US$ 2,5 bilhões, afetando grandes e pequenas entidades. O setor financeiro global sofreu 1.510 ataques em 2024, um aumento de 30%. “No Brasil, desde a criação do Pix em novembro de 2020, 48 milhões, ou 5,6% do total de 858 milhões de chaves Pix, foram vazadas em mais de 20 incidentes cibernéticos”.
A agência explica que seus critérios de rating não consideram ataques cibernéticos ou outros eventos de risco imprevistos, como desastres naturais, até que eles se tornem explícitos ou definidos. No entanto, esses riscos são categorizados como riscos não financeiros e considerados no perfil de risco do emissor. “As considerações sobre risco cibernético incluem a cultura digital do emissor, o treinamento dos funcionários e a transparência com os clientes”.
