Estamos vivendo um grande momento de transformação no ecossistema de cibersegurança. Começando pela Inteligência Artificial (IA), a capacidade de análise em tempo real e de resposta automatizada tem mudado a forma como as instituições financeiras buscam se proteger e, principalmente, como são atacadas.
Ao mesmo tempo, novas regulamentações – como a DORA (Lei de Resiliência Operacional Digital), na Europa – trazem um modelo de resiliência operacional diferente. Isso tem exigido que os bancos adotem novos formatos para resistir, responder e se recuperar de incidentes cibernéticos. Outro ponto importante é a agilidade com robustez. E, por fim, a soberania digital, que ganha força ao tratar de temas como autonomia de dados, infraestrutura tecnológica e algoritmos.
Diante desse cenário, a questão é: como lidar com conformidade e inovação sem comprometer a segurança?
O tema foi debatido durante a Febraban Tech 2025.
IA como aliada da segurança
“A IA tem trazido diversos benefícios para a área de cibersegurança”, comenta Luciano Carolino, IT Security Specialist do Bradesco. “A abordagem generativa proporciona uma postura mais proativa e preditiva. Falando especificamente de cibersegurança, quem mais tem se beneficiado é o time de SOC (Security Operation Center), especialmente em instituições financeiras de grande porte, com ambientes multicloud e perímetros expandidos.”
Os bancos têm uma grande quantidade de dados para analisar diariamente, além de correlações complexas de informações. Assim, a IA tem ajudado fortemente o time do SOC no relacionamento de informações, na análise e na classificação de incidentes. Segundo Luciano, quem vive a rotina de um SOC convive com alertas o tempo todo, e a necessidade de distinguir entre conexões e ameaças reais. A IA tem acelerado esse processo e aumentado a eficiência na detecção e resposta a ameaças.
Com a IA generativa e seus prompts, é possível gerar relatórios de insights de forma mais eficiente. “É uma grande aliada das operações de cibersegurança. Hoje, seria humanamente impossível operar uma infraestrutura como a do Bradesco sem o apoio dessas ferramentas. A IA é essencial”, acrescenta.
IA além da automação
Tradicionalmente, o SOC é baseado em dados estáticos, regras fixas e correlações em tempo real. Mas, com a entrada da IA, isso muda completamente. Segundo Marcos Aurelio Rodrigues, Cybersecurity Manager do Itaú Unibanco, “Com a IA, passamos a ter uma ferramenta que deve nos mostrar aquilo que ainda não sabemos. A IA não serve para nos dizer o que já sabemos. A IA vai além da automação: é sobre a capacidade analítica que ela oferece para eu observar o que antes não conseguia ver”, destaca.
Além disso, a tecnologia acelera o processo de criação de regras, triagem e correlação de incidentes. Além disso, a assertividade aumenta significativamente. Isso se reflete diretamente no tempo de resposta a incidentes e fortalece a resiliência operacional. “A IA acelera tudo desde o início”, acrescenta.
Governança, IA e o desafio da resiliência digital
Hoje, o mercado conta com ferramentas de automação de tarefas que reduzem a carga operacional. Mas, sempre surgem preocupações. Com a IA, que ainda é pouco compreendida por muitos, é necessário reforçar a conscientização.
Em suma, a tecnologia tem sido adotada rapidamente. O ponto é: o que está sendo feito, de fato, na ponta? Um tema que tem ganhado força é a DORA, na Europa. A regulamentação propõe um modelo mais robusto de resiliência operacional. Isso indica a necessidade de adaptação dos modelos brasileiros. Nesse cenário, existem dúvidas sobre como o Brasil pode se adequar a essa parte regulatória, bem como garantir a inovação em meio à transformação.
“Quando falamos de qualquer regulação, acredito que o Brasil já vem se preparando”, afirma João Passos, CISO da Brasilseg. “As instituições têm se estruturado, e o impacto não será tão grande do nosso lado. Agora, a DORA traz uma exigência ainda maior. Acredito que isso trará preocupações adicionais para quem está na cadeira de CISO ou atua como executivo de segurança de forma geral.”
Regulamentações, como a DORA, tendem a trazer uma nova estrutura que vai transformar a forma como as tecnologias são adotadas. É uma nova tríade: regulamentação, práticas tecnológicas e adaptação do negócio. Algumas empresas têm avançado, mas há uma preocupação com a conscientização na ponta. Diante disso, quem está na cadeira de CISO se preocupa em construir um modelo com resiliência, robustez e agilidade. Porém, é preciso focar em alguns pontos: as pessoas que estão consumindo essas novas tecnologias e motores de IA; e o time interno, que está na defesa e no ataque, construindo essa maturidade no dia a dia.
Soberania digital da IA
Nesse contexto, há uma discussão essencial: a soberania digital. Entre os pontos mais críticos estão: a automação e manipulação de dados em larga escala; a infraestrutura técnica, muitas vezes crítica e analógica; e, principalmente, os algoritmos.
“Muitas vezes, as decisões sobre o uso de IA exigem que a gente considere o CEP, ou seja, onde estamos. O Brasil é um país muito grande, e essa localização importa. Não dá para desconsiderar onde os dados estão sendo processados e armazenados. Dado é dinheiro, dado é informação, dado gera valor e benefícios para as empresas”, pontua. “Então, na hora de escolher um provedor, precisamos olhar para os detalhes: onde esse dado será processado? Como ele será tratado?”
Nesse cenário, é importante ter um data flow claro e uma governança bem definida. Além disso, é importante entender que tipo de dado está saindo, para onde está indo, e como. Segundo Marcos, isso deve orientar o tipo de controle que será obtido, bem como indicar a necessidade de tokenização, anonimização, algoritmos adequados e até como montar o processo de saída do dado se precisar trocar de fornecedor.
“Mesmo que o dado seja processado fora, a responsabilidade ainda é nossa. O cliente nos confiou aquela informação e espera que tenhamos zelo por ela. Então, ao avaliar um provedor, você precisa pensar desde a geolocalização até a desconexão futura. Tudo isso faz parte da governança”, pontua.
Fazer o básico bem feito na cibersegurança
Entre os pontos levantados, Rodrigo Fernandes, diretor da Prática de Segurança da Logicalis, comentou que, ao operar a segurança, é preciso um olhar atento para a tecnologia. “Sabemos que existem dados em trânsito e em repouso. Mas, raramente paramos para pensar por onde a informação passa”, comenta.
Ou seja, não se trata apenas sobre onde o arquivo está, mas quem inicia o processo. Sem esse conhecimento, surgem brechas, e a IA tem colocado isso à prova. Diante disso, o desafio é aplicar a visão tradicional de classificação de dados, como feito com a LGPD (Lei Geral de Proteção de Dados Pessoais), ao ambiente atual de IA.
“Governança de IA é uma questão crítica hoje. Muitas empresas adotam soluções de IA sem controle algum. Algumas proibiram totalmente, outras colocaram restrições mínimas. Mas, um fato é que, hoje, não há muitas organizações com estruturas bem governadas”, frisa o CISO da Brasilseg.
Cibersegurança para IA
Luciano, do Bradesco, destaca que um ponto muitas vezes esquecido é a cibersegurança para IA. Ou seja: monitorar os modelos, verificar se estão atualizados, se estão respondendo corretamente e ter esses mapas atualizados em tempo real.
“Existem várias ferramentas no mercado, e os times de segurança deveriam olhar com mais atenção para como proteger a IA, seus modelos e seus sistemas”, reforça Luciano. “Considerando que estamos falando de bancos e empresas financeiras, principalmente no Brasil, esse é um dos setores que mais investem nessas solulções.”
“Quem estiver fazendo o básico bem feito terá chances de responder a um incidente, mas, no mínimo, terá uma chance de reagir adequadamente. E existem vários frameworks que ajudam a acelerar esse processo”, reforça João, da Brasilseg.
Ainda de acordo com Luciano, existe uma curva de maturidade das instituições financeiras, e o treinamento é essencial. “É difícil manter o time atualizado o tempo todo. Hoje, podemos estar preparados. Amanhã, talvez não mais, porque tudo já evoluiu, se transformou, virou outra coisa. Para mim, a conscientização, o uso de ferramentas e a experimentação são essenciais. Não dá para confiar cegamente”, finaliza.
