O Sistema Financeiro como Código: Cibersegurança e Estabilidade Monetária

Como a digitalização da infraestrutura financeira redefine o conceito de risco sistêmico no Brasil

Há algo intelectualmente confortável (e perigosamente inadequado) em tratar o risco sistêmico como um “efeito dominó” restrito ao mundo dos balanços. Essa imagem funciona para explicar 1929, 2008, crises cambiais e crises de dívida soberana. Mas, ela falha ao capturar uma mudança estrutural. O setor financeiro contemporâneo já não é apenas um sistema de crédito e liquidez; ele é, em igual medida, um sistema de infraestrutura digital. O dinheiro tornou-se um fato operacional codificado: mensagens, chaves, logs, ambientes em nuvem, APIs, integrações com terceiros, disponibilidade e integridade fim-a-fim. É nesse ponto que o debate deixa de ser técnico e vira político-econômico. Se a moeda circula por plataformas, se pagamentos e liquidações dependem de redes e assinaturas digitais, se a confiança é mediada por trilhas de auditoria e controles de acesso, então a cibersegurança deixa de ser “boa prática de TI” e passa a ser aquilo que ela sempre foi no fundo: governança do dinheiro. A respeito disso, o World Economic Forum (WEF) 2026, ao mapear o regime contemporâneo de riscos, faz um diagnóstico que dá sustentação ao argumento: o cenário 2026–2028 coloca “confronto geoeconômico” como risco de curto prazo de maior proeminência, num ambiente de fragmentação, pressões macro e desorganização de regras globais. Em contextos assim, choques não se propagam apenas por spreads. Propagam-se por confiança, e confiança hoje tem também um componente criptográfico e operacional.

Em primeiro lugar cabe refletir sobre o que é o risco sistêmico, de verdade (e por que o “tamanho” não basta). Esse fenômeno é frequentemente descrito como a possibilidade da falência de uma instituição derrubar outras e, no limite, contaminar a economia inteira. Isso é correto, mas insuficiente. A definição mais fértil (e a mais perturbadora) é outra: o risco sistêmico é a possibilidade latente de que um evento produza um equilíbrio socialmente ineficiente; isto é, um estado do mundo em que o dano coletivo supera largamente o dano privado e exige coordenação centralizada para conter desvalorizações abruptas e reconstruir nexos de confiança. Sendo assim, é por isso que, historicamente, bancos centrais não são apenas “fiscais”, na verdade são estabilizadores de expectativas e provedores de liquidez, mediando o poder soberano e os riscos do sistema bancário privado. A respeito disso, o próprio Alan Greenspan sublinhou que o risco sistêmico é quase exclusivamente um fenômeno de instituições financeiras, porque sua inadimplência pode desmontar o sistema e, com ele, o resto da economia, dadas as relações intricadas entre finança e atividade econômica. Para tanto, a pergunta que interessa agora é: quais são, hoje, essas relações intricadas? Elas não são mais apenas interbancárias e contratuais, são, portanto, também digitais: dependências de nuvem, concentração de fornecedores, integrações em rede, plataformas de pagamento instantâneo, credenciais e certificados digitais como chaves do cofre.

Sobre esse contexto, o caso do Banco Master, com liquidação e apurações de fraude noticiadas, é um material pedagógico brutal porque mostra como a crise começa em um ponto e rapidamente deixa de ser “do banco”. A cobertura descreve investigação de fraude envolvendo negociação de títulos de crédito inexistentes, crise severa de liquidez, deterioração financeira e violações relevantes de regras. Sendo assim, o que se aprende com isso não é apenas “o perigo da má governança”, porque isso é óbvio. O que se aprende é algo mais estrutural:

1. A confiança é um ativo macroeconômico. Quando há dúvida sobre integridade de ativos e controles, o dinheiro encarece, a liquidez contrai e o risco passa a contaminar o ecossistema (plataformas de distribuição, credores, instrumentos semelhantes, percepção pública). Isso é contágio.
2. Garantias são estabilizadores e também indutores de fragilidade. Instrumentos como o DPGE (Depósito a Prazo com Garantia Especial) existem para evitar pânico e estabilizar captação. Eles têm limite específico de garantia especial de até R$ 40 milhões por titular por conglomerado financeiro. Mas garantias, se absorvem risco em larga escala, podem virar combustível para estratégias agressivas de captação (“caça ao yield com colchão coletivo”). O seguro que protege o sistema pode, paradoxalmente, financiar parte do risco que o ameaça.
3. Due diligence não é burocracia. Ela é contenção de contágio. O ponto mais subestimado do debate público é que due diligence (de crédito, de lastro, de contraparte, de governança) funciona como uma forma informal de política macroprudencial. Quando falha, o sistema não perde apenas dinheiro; perde confiança nos mecanismos de avaliação e de verificação do real.

É aqui que entra seu diferencial de abordagem. Se a crise do Banco Master nos ensina sobre governança e contágio, ela também abre a pergunta que poucos fazem: e se a próxima ruptura vier de um comprometimento sistêmico digital? Se o dano for indisponibilidade, manipulação de mensagens, comprometimento de chaves, ataque a cadeia de suprimentos de software, falha crítica em fornecedor de nuvem? A questão deixa de ser “o banco quebrou” e passa a ser “o sistema consegue operar?”.

Nesse viés, para o setor financeiro, os indicadores que antecedem crises raramente são aqueles que aparecem no noticiário. Há um tempo subterrâneo do risco e é nele que conceitos como NPL formation, custo de risco e provisionamento ganham densidade.

• NPL formation (formação de inadimplência) é mais útil para prever tendências futuras do que o estoque absoluto de NPL. O estoque pode ser fotografia de um passado já “varrido” por renegociações, write-offs ou políticas de cobrança. A formação, ao contrário, é fluxo: mostra o que está entrando no problema agora. Em linguagem simples, é o sismógrafo, não o obituário.
• Custo de risco (cost of risk) traduz, em termos de resultado, quanto a instituição está “pagando” para carregar o risco de crédito no período, frequentemente como proporção da carteira. Ele é a ponte entre o mundo dos indicadores e o mundo das decisões. Carteira mais arriscada e ambiente macro piorado significam custo de risco subindo, lucro comprimindo e apetite de crédito recuando.
• Provisionamento é a institucionalização da dúvida. Provisão é a forma contábil de dizer “há um pedaço do meu ativo que talvez não seja ativo”. Quando a provisão sobe, não sobe apenas o número, sobe o reconhecimento de que o futuro pode ser pior do que o passado.

Esses conceitos importam aqui porque mostram o mecanismo: antes do colapso há erosão de qualidade, e antes da erosão visível há deterioração de sinais. O risco sistêmico raramente aparece como “quebra repentina”; ele aparece como deterioração de fluxos (formação de NPL), aumento do custo de risco, pressão por provisão até que, num choque, tudo aquilo que era administrável vira inadministrável.

Agora vem o giro do argumento. Em um sistema digital, o ciber pode acelerar esse processo, e não apenas por fraude direta. Uma disrupção digital pode:

• elevar inadimplência por interrupção operacional;
• distorcer dados que alimentam modelos e decisões;
• comprometer trilhas de auditoria e aumentar a incerteza;
• gerar corrida por liquidez (clientes e contrapartes reagindo à perda de confiança);
• e, no limite, provocar retração sistêmica de crédito.

O meio digital é, portanto, multiplicador de fragilidade. Ele não substitui o risco financeiro; ele o amplifica.

Se ainda havia quem tratasse cibersegurança como pauta secundária, o Banco Central do Brasil retirou o tema do campo do “recomendável” e o colocou no campo do mandatório. A Resolução BCB nº 538, de 18/12/2025, altera a Resolução BCB nº 85/2021 e endurece a política de segurança cibernética e requisitos de contratação de processamento/armazenamento e computação em nuvem. Em outras palavras, a mensagem estrutural é inequívoca: controles mínimos deixam de ser “maturidade” e viram “condição de funcionamento”. A norma lista, como requisito mínimo implementar autenticação, criptografia, prevenção/detecção de intrusão, prevenção de vazamentos, proteção contra malware, rastreabilidade (incluindo transações), backups, gestão de vulnerabilidades com testes e varreduras, controles de acesso e autenticação multi-fator, perfis seguros, proteção de rede e, crucialmente, requisitos de integração via interfaces eletrônicas e ações de inteligência no ambiente cibernético. E vai além, ela impõe requisitos adicionais para ambientes críticos como Pix e STR e para comunicação na Rede Nacional do Sistema Financeiro (do inglês, National Financial System Network – RSFN), incluindo autenticação multi-fator administrativo, isolamento lógico/físico e controles rigorosos sobre credenciais e chaves.

A leitura não óbvia é esta. O regulador está reconhecendo que incidentes cibernéticos têm potencial de efeito sistêmico, porque a infraestrutura digital se tornou parte do arranjo monetário. Proteger sistemas e dados é proteger o próprio “nexo” que permite ao dinheiro circular com integridade e disponibilidade. Logo, a cibersegurança virou governança: proteção dos sistemas, dos dados e, em última instância, do seu dinheiro.

O debate tradicional tende a colocar ciber no colo do “risco operacional”, como se fosse um problema interno, limitado, com perdas contábeis e recuperação posterior. Esse enquadramento está ficando velho. Num sistema com pagamentos instantâneos, alta conectividade e forte dependência de terceiros, ciber tem características clássicas de risco sistêmico:

• externalidades elevadas,
• contágio em rede,
• choque de confiança,
• e dano social que excede o dano privado.

Não é só que ataques existem. É que o ataque agora tem alavanca macro. Ele mexe na circulação e circulação é a essência do sistema financeiro. E aqui o ensaio precisa fazer a pergunta que conclama por reflexão:

Se o sistema financeiro é a infraestrutura que permite a vida econômica, e essa infraestrutura é digital, então estamos medindo risco sistêmico com as métricas certas?

Talvez a pergunta “qual seu CET1? (principal indicador de solidez financeira de um banco)” seja necessária. Porém, ela seja insuficiente se não vier acompanhada de:

• qual sua dependência crítica de terceiros?
• quais seus pontos únicos de falha em nuvem e integração?
• qual sua capacidade real de resposta e continuidade?
• quão auditável é sua transação fim-a-fim?
• sua trilha de logs é íntegra, retida e verificável?
• suas chaves criptográficas são realmente suas ou de um fornecedor?

O risco sistêmico pode estar migrando do balanço para a infraestrutura. E a infraestrutura, hoje, é código. Nesse sentido, o risco sistêmico sempre foi, no fundo, um problema moral e político: quem suporta o custo quando a confiança quebra? O que é privado e o que é público? O que é prudência e o que é oportunismo? O que é inovação e o que é assimetria de informação disfarçada? Assim, o caso do Banco Master ensina que governança e integridade não são detalhes; são aquilo que sustenta a confiança. Dito isso, a Resolução 538/2025 ensina que o regulador entendeu que segurança cibernética é estabilidade do dinheiro; e o WEF ensina que estamos entrando num regime em que riscos coincidem e se amplificam. Para tanto, talvez o ponto decisivo seja aceitar que a gestão de riscos não pode mais ser fragmentada. Portanto, o executivo de riscos do século XXI não administra apenas perdas esperadas; ele administra continuidade de confiança e confiança, agora, é tanto macroeconômica quanto cibernética.

Fica então a provocação final ao leitor: se o dinheiro virou código, você continua tratando o risco do dinheiro como se ele fosse apenas crédito?

Esta matéria foi escrita por Lucas Tavares, estudante de Administração na UFMG, e editada por Profa. Michele Nogueira, do Departamento de Ciência da Computação da UFMG.

Se você gostou desta matéria, talvez possa se interessar também por essas abaixo:

• “Afinal, o que é Cibersegurança?“
• “Cientista de Dados em Cibersegurança: A cereja do bolo”

Como citar este artigo:

TAVARES, Lucas. O Sistema Financeiro como Código: Cibersegurança e Estabilidade Monetária.
SBC Horizontes, março 2026. ISSN 2175-9235. Acesso em: DD mês. AAAA.

Compartilhe: