Bancos digitais, fintechs e plataformas financeiras operam sem agência, sem atendimento presencial e sem papel — tudo acontece em aplicativos, APIs e interfaces digitais. Essa é a proposta de valor que conquistou milhões de clientes. É também a superfície de ataque que organizações criminosas exploram com engenharia social sofisticada, uso malicioso de IA generativa para deepfakes e clonagem de voz, fraudes em onboarding e ataques direcionados a APIs. O nível de segurança precisa ser proporcional ao nível de exposição. Ajudamos fintechs e empresas do setor financeiro a construir essa segurança — com a base técnica de quem viveu o setor por dentro: nossos sócios atuaram em segurança da informação e gestão de projetos no ABN AMRO Real, participaram da integração de sistemas e infraestrutura com o Santander e estiveram na linha de frente da automação de agências e da implantação do Internet Banking.
Quem conduz o projeto
O setor financeiro concentra o que os atacantes querem — dinheiro e dados — em canais que são inteiramente digitais e acessíveis de qualquer lugar do mundo. A combinação de alto valor, alta digitalização e sofisticação crescente das ameaças cria um nível de pressão sobre segurança que não tem equivalente em outros setores.
Deepfakes de vídeo e clonagem de voz com IA já estão sendo usados para enganar clientes e funcionários em processos de autenticação, aprovação de transações e suporte ao cliente. Phishing hiperpersonalizado gerado por LLMs, simulação de executivos em chamadas de vídeo e manipulação de processos de onboarding digital são ameaças reais e crescentes — que os controles tradicionais de segurança não foram desenhados para enfrentar.
Quando tudo acontece por aplicativo e API, a identidade do cliente é um conjunto de dados digitais — que pode ser falsificado, manipulado ou roubado. Fraude em onboarding digital, uso de identidades falsas para abertura de contas, Account Takeover (ATO) e golpes de engenharia social por WhatsApp são vetores de ataque que exploram diretamente a ausência de verificação presencial.
A Resolução CMN 4.893, a Circular BCB 3.909 e as normas complementares do BACEN estabelecem obrigações técnicas concretas — política de segurança cibernética, plano de ação e resposta a incidentes, requisitos para serviços em nuvem, gestão de terceiros e relatório anual de segurança. Descumpri-las em um processo de homologação ou em uma fiscalização tem consequências diretas na operação.
Fintechs e bancos digitais operam por APIs — com parceiros, com o Open Finance, com processadores de pagamento, com bureaus de crédito. Cada API é uma interface de ataque potencial. Segurança de APIs não é opcional nesse setor: é o controle mais crítico de toda a arquitetura, e frequentemente o mais negligenciado em empresas que cresceram rápido.
Dados de movimentação financeira, histórico de crédito, dados biométricos de autenticação e informações de onboarding são tratados simultaneamente pela LGPD — como dados pessoais com ou sem sensibilidade reforçada — e pelas regulações do BACEN. A sobreposição regulatória exige controles técnicos que atendam aos dois marcos ao mesmo tempo.
Startups financeiras são construídas com foco em produto e crescimento. Segurança frequentemente começa como responsabilidade difusa — um pouco de TI, um pouco de desenvolvimento, ninguém claramente responsável. Quando a pressão regulatória chega — homologação BACEN, due diligence de investidor, exigência de parceiro bancário — a lacuna acumulada precisa ser endereçada em prazo curto.
Nossa atuação é técnica e consultiva. Avaliamos riscos, especificamos controles, mapeamos dados pessoais e orientamos as equipes de TI e desenvolvimento na implantação. Para ajustes em sistemas e infraestrutura, especificamos os requisitos ou elaboramos as RFPs. O lado jurídico da LGPD e a representação perante o BACEN ficam com o time jurídico ou com o escritório de advocacia parceiro.
O ponto de partida depende do momento da empresa — uma fintech em processo de homologação tem urgências diferentes de um banco digital estabelecido que precisa atualizar sua postura de segurança. O processo se adapta, mas os elementos centrais são os mesmos.
Avaliação do estado atual da organização frente às regulações do BACEN e aos requisitos técnicos da LGPD — política de segurança cibernética, plano de resposta a incidentes, gestão de terceiros e nuvem, controles de acesso e monitoramento. Identificação das lacunas prioritárias com base no estágio da empresa — homologação iminente, due diligence em andamento ou revisão de postura estabelecida.
CMN 4.893 · BCB 3.909 · Diagnóstico · Lacunas prioritáriasAvaliação de riscos específica para o modelo de negócio 100% digital — ameaças a APIs, fraude em onboarding, Account Takeover, engenharia social com IA, ataques a canais de autenticação e riscos da cadeia de parceiros e processadores. O mapeamento considera os canais e os fluxos reais da empresa, não um template genérico de banco tradicional.
Ameaças digitais · APIs · Fraude · IA maliciosaIdentificação de todos os fluxos de dados pessoais e financeiros — onde são coletados, em quais sistemas ficam, quem acessa, com quais parceiros são compartilhados (processadores, bureaus, Open Finance) e por quanto tempo são retidos. O mapeamento técnico alimenta tanto a adequação à LGPD quanto a avaliação de riscos de privacidade exigida pelo BACEN.
ROPA técnico · Open Finance · Dados financeiros · LGPDElaboração da Política de Segurança Cibernética no formato e com o conteúdo exigidos pela CMN 4.893 — incluindo os objetivos de segurança, os procedimentos e os controles de acesso, e os requisitos para contratação de serviços em nuvem e terceiros. Elaboração do Plano de Ação e Resposta a Incidentes (PARI) conforme exigência regulatória. Documentação que suporta tanto a homologação quanto eventuais fiscalizações.
Política de SI · PARI · CMN 4.893 · HomologaçãoEspecificação de controles técnicos para os vetores de ataque específicos do setor financeiro digital — segurança de APIs (autenticação, rate limiting, detecção de anomalias), controles de onboarding digital, prevenção a Account Takeover, detecção de deepfakes e clonagem de voz em canais de atendimento, monitoramento de comportamento para detecção de fraude. Para cada controle: o que precisa ser feito, como e quem na equipe técnica executa.
API security · Anti-fraude · Deepfakes · ATO · OnboardingOrientação em Privacy by Design para produtos financeiros digitais — minimização de dados coletados no onboarding, configurações default de privacidade, controles de retenção, gestão de consentimento para uso de dados em modelos de crédito e perfil de risco. Estruturação do processo técnico de resposta a incidentes de privacidade com notificação à ANPD em 72 horas. Tudo orientado pela ISO 27701 como framework de referência.
Privacy by Design · ISO 27701 · Onboarding · CréditoO setor financeiro tem o perfil de empresa mais diverso do conjunto de clientes da IT SECURE — de startups buscando homologação até plataformas estabelecidas revisando sua postura de segurança. O que todas têm em comum é a operação 100% digital e a pressão regulatória crescente.
Startups financeiras que precisam demonstrar conformidade com as regulações do BACEN como condição para operar — política de segurança cibernética, PARI, requisitos de nuvem e terceiros. A preparação técnica é o que separa uma homologação aprovada de um processo que se arrasta por meses com solicitações de informação adicionais.
Empresas de meios de pagamento com obrigações de segurança sobrepostas — BACEN, bandeiras de cartão (PCI DSS), LGPD e exigências de parceiros bancários — onde a integração de controles técnicos com múltiplos frameworks regulatórios exige orientação especializada.
Instituições financeiras digitais estabelecidas que precisam revisar e atualizar sua postura de segurança frente à evolução das ameaças — especialmente o uso malicioso de IA em fraudes, deepfakes em canais de atendimento e ataques sofisticados a APIs do Open Finance.
Empresas de tecnologia que desenvolvem produtos para bancos, seguradoras e outras instituições financeiras — que precisam demonstrar para seus clientes institucionais que os sistemas têm os controles de segurança exigidos pelas regulações do BACEN e pela LGPD.
Empresas em processo de captação de investimento ou aquisição onde a ausência de controles de segurança aparece como risco no relatório de due diligence — com impacto potencial no valuation, nas condições do aporte ou na viabilidade da operação.
Fintechs e plataformas financeiras que sofreram uma tentativa de ataque, uma fraude relevante ou um incidente de segurança — e querem transformar o aprendizado em estrutura técnica real, antes que o próximo evento seja mais grave.
Segurança no setor financeiro digital exige quem entenda tanto as regulações do BACEN quanto as ameaças específicas de um ambiente 100% digital — incluindo as novas ameaças criadas pelo uso malicioso de IA generativa.
A IT SECURE tem histórico real de projetos que resultaram em homologação pelo BACEN — conduzindo a avaliação de riscos cibernéticos, estruturando a documentação regulatória e orientando as adequações técnicas necessárias. A plataforma está em operação: o resultado foi alcançado.
Deepfakes de vídeo e clonagem de voz para burlar autenticação, phishing hiperpersonalizado por LLMs, Account Takeover em escala, fraude em onboarding com documentos gerados por IA — são ameaças que não existiam há três anos e que os controles tradicionais não cobrem. Nossa orientação técnica considera esse cenário atual.
Não somos advogados e não representamos empresas perante o BACEN ou a ANPD. Cuidamos dos controles técnicos com a profundidade necessária. O relacionamento regulatório, os contratos com parceiros financeiros e a estratégia jurídica de conformidade ficam com o time jurídico especializado. Cada especialidade no seu domínio — e os dois trabalhando juntos.
Não somos parceiros de revendas de soluções de segurança, antifraude ou identidade digital. Nossas recomendações técnicas são orientadas pelo que a empresa precisa — não por produtos que teríamos interesse em empurrar. Quando indicamos soluções, elaboramos RFPs neutras que permitem avaliar o mercado com critérios técnicos objetivos.
Carlos Bernardo e Rafael Batista atuaram em segurança da informação e gestão de projetos de TI no ABN AMRO Real — um dos projetos mais complexos da história do setor financeiro brasileiro. Participaram da integração dos sistemas e da infraestrutura do ABN AMRO com o Santander após a aquisição. Carlos liderou projetos de automação de agências; juntos, Carlos e Rafael participaram da implantação do Internet Banking. Não é experiência de consultoria sobre o setor financeiro — é experiência vivida dentro dele.
A experiência no ABN AMRO e no Santander deu aos nossos sócios compreensão profunda de como grandes instituições financeiras estruturam segurança, governança e projetos críticos de TI. A atuação nos últimos anos com fintechs em processo de homologação e crescimento acelerado completou essa visão — sabemos o que funciona em escala e o que precisa ser adaptado para o ritmo e a cultura de uma startup financeira.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes.
Fale diretamente com nossos sócios. A conversa inicial é sem custo e sem compromisso — e já nos permite entender o momento da sua empresa e identificar as lacunas técnicas mais críticas frente às regulações do BACEN e às ameaças do ambiente digital financeiro.