Mercado financeiro eleva exigências sobre fornecedores

A segurança da informação, durante muito tempo, foi uma preocupação restrita aos departamentos de tecnologia das empresas. Com o passar dos anos, porém, o tema ganhou notoriedade nas discussões dos conselhos administrativos das corporações de todos os segmentos, especialmente no mercado financeiro. Impulsionadas pelo avanço da regulamentação, pela expansão do Open Finance e pelo aumento da exposição digital das operações, instituições financeiras passaram a exigir não apenas políticas e procedimentos formais, mas evidências concretas de que seus controles realmente funcionam.

A mudança tem elevado o nível de cobrança sobre bancos, fintechs e, principalmente, sobre fornecedores de tecnologia, que passaram a ser avaliados não apenas pela capacidade de entrega, mas também pela maturidade de seus processos de segurança, monitoramento e proteção de dados.

Segundo Vanderlei Garcia Junior, advogado especializado em direito bancário e doutor em Direito Civil pela USP, a responsabilidade das instituições financeiras ganhou uma nova dimensão nos últimos anos. Além das exigências regulatórias do sistema financeiro, as empresas passaram a responder também perante titulares de dados, parceiros comerciais e a Autoridade Nacional de Proteção de Dados (ANPD). “O foco saiu do documento formal e passou para a evidência operacional”, afirma. “Agora, reguladores e auditorias passaram a exigir evidências de gestão contínua, testes, rastreabilidade, resposta a incidentes, monitoramento de terceiros, plano de continuidade e gestão de vulnerabilidades.”

O risco está além dos muros da instituição

A transformação regulatória também alterou a forma como as empresas enxergam os riscos operacionais. Se antes a preocupação estava concentrada em ataques externos, hoje o olhar se estende para toda a cadeia de parceiros e fornecedores.

Para Marina Borges, vice-presidente de Operações da Falconi, as instituições financeiras passaram a compreender com mais clareza os impactos financeiros e reputacionais associados a vulnerabilidades operacionais e falhas na gestão de terceiros. “Boa parte dos incidentes recentes não aconteceu necessariamente por ataques mais sofisticados, mas por fragilidades operacionais e acessos indiretos via terceiros contratados”, afirma. Segundo a executiva da consultoria, a adequação regulatória deixou de ser apenas uma questão de interpretação normativa. “Passou a exigir disciplina operacional e processos muito mais robustos.”

Essa mudança fez com que bancos e fintechs ampliassem a análise sobre seus fornecedores. Certificações, auditorias independentes, gestão formal de acessos, trilhas de auditoria e mecanismos de monitoramento contínuo passaram a ganhar peso crescente nos processos de contratação e homologação.

Certificações ganham importância

Embora certificações como a ISO 27001 não sejam obrigatórias para todos os fornecedores do mercado financeiro, especialistas apontam que elas vêm se consolidando como um importante indicador de maturidade em segurança da informação.

Segundo Garcia Junior, o aumento das responsabilidades atribuídas às instituições financeiras vem elevando o nível de exigência na contratação de fornecedores. “O regulador não necessariamente diz ‘contrate apenas fornecedores com ISO 27001’, mas o nível de responsabilidade imposto às instituições financeiras faz com que elas passem a exigir esse tipo de certificação como mecanismo de governança, diligência e redução de risco”, afirma.

O advogado ressalta que, em setores regulados, a contratação de terceiros não transfere as responsabilidades da instituição. “Terceirizar a tecnologia não significa terceirizar a responsabilidade.”

Como o mercado reage

Diante desse cenário, empresas de tecnologia vêm reforçando investimentos em segurança, monitoramento e governança para atender às novas exigências dos clientes do setor financeiro.

A Nexxera, empresa catarinense de tecnologia que fornece estrutura de serviços financeiros, supply chain e crédito, acompanha esse movimento a partir da crescente circulação de informações entre instituições financeiras e parceiros do ecossistema digital. Segundo o fundador e presidente da companhia, Edson Silva, o avanço do compartilhamento de dados ampliou a responsabilidade das empresas pela proteção dessas informações. “A responsabilidade pela guarda aumenta ainda mais, porém, as portas de acesso dos dados a outras instituições podem expor de alguma forma os dados protegidos”, afirma. “Isso exige ainda mais controles e cuidados.”

Outra iniciativa vem da BHS, empresa mineira de tecnologia que prioriza a segurança bancária na implementação de novas ferramentas, como inteligência artificial. A companhia lançou recentemente o AuditorIA, plataforma criada para monitorar comunicações corporativas e apoiar processos de conformidade regulatória.

Segundo o CEO da empresa, André Xavier, o desafio atual das instituições financeiras não é apenas monitorar informações, mas transformar esse acompanhamento em evidências confiáveis de governança. “O AuditorIA traduz décadas de conhecimento em processos de TI para reduzir em até 80% os falsos positivos”, afirma. “Isso permite que as instituições financeiras foquem no que realmente importa sem o risco de exposição de informações sensíveis.”

O movimento acompanha uma tendência mais ampla do setor, que vem aumentando os investimentos em monitoramento contínuo, rastreabilidade e gestão de riscos para atender às exigências regulatórias cada vez mais rigorosas. Se agora o foco está em evidência operacional, como afirma Garcia Junior, Marina Borges vai além. “Segurança da informação é vista como elemento central da continuidade operacional, da reputação e da confiança de mercado.”