Segundo dados da Federação Brasileira de Bancos (Febraban), em 2025, foram registradas 21 ocorrências entre assaltos a agências e ataques a caixas eletrônicos. Este é o menor número em 12 anos do levantamento feito com 14 instituições financeiras associadas à entidade. Em 2015, por exemplo, foram 3.089 ocorrências, ou seja, um número 147 vezes maior.

• Leia também: PF faz operação contra esquema de pirâmide financeira global, com bloqueio de R$ 300 milhões em bens

A Febraban afirma que a redução é resultado dos investimentos feitos pelos bancos e da atuação conjunta com as polícias Civil, Militar e Federal, além do Poder Judiciário. “Os bancos investem anualmente cerca de R$ 9 bilhões em segurança física de suas agências. Também contribuem para a redução dos crimes o melhor uso dos recursos de segurança, o gerenciamento de risco e, principalmente, as ações da polícia na prisão de quadrilhas”, diz, em nota.

Isso não significa, no entanto, que os crimes contra o setor financeiro diminuíram. As fraudes bancárias e os incidentes cibernéticos cresceram. O próprio presidente do Banco Central (BC), Gabriel Galípolo, disse, no mês passado, em um evento na Universidade de São Paulo (USP), que “ninguém mais assalta um banco” porque agora os criminosos buscam corromper sistemas de instituições menores.

Em 2025, como mostrou o Valor, foram 76 incidentes cibernéticos graves reportados ao BC, número quase 11 vezes maior que em 2018, quando foram reportados sete incidentes. O ano também foi marcado pelo ataque hacker à C&M, provedora de serviço de tecnologia da informação (PSTI) que conectava instituições financeiras ao sistema do Pix, considerado o maior crime cibernético contra o sistema financeiro nacional.

No ataque à C&M, os criminosos desviaram R$ 813 milhões de contas reservas de instituições financeiras clientes da PSTI, que são contas mantidas junto ao BC e não atingem clientes finais. O valor é cinco vezes maior que o assalto ao BC de Fortaleza, em 2005, também um dos maiores crimes contra o setor, sem considerar os efeitos da inflação. Corrigindo pela inflação, ainda assim, foi quase o dobro. O prejuízo foi de R$ 164,7 milhões à época, em três toneladas de cédulas.

O ataque hacker à C&M evidenciou que não basta ter sistemas robustos, porque as pessoas também são vulneráveis. Ele ainda mostrou que o setor está sendo alvo do crime organizado.

Antes da execução do ciberataque, na noite do dia 29 de junho, os criminosos passaram de três a quatro meses estudando a C&M. O grupo já tinha noção da quantidade de ativos que poderiam ser desviados, aliciou um funcionário da instituição e escolheu fazer o ataque numa noite de domingo. Os ataques começaram às 23h59, e, às 4h40, a primeira instituição afetada, a BMP, já havia sido alvo de um desvio de R$ 541 milhões.

O grupo teve uma atuação típica de organização criminosa, com divisão de tarefas. Os hackers geravam as ordens de pagamento fraudulentas no sistema, enquanto outros integrantes atuavam para dispersar os recursos.

Na avaliação do delegado da Polícia Federal (PF) Isalino Antônio Giacomet Junior, que lidera a Coordenação de Repressão a Fraudes Bancárias Eletrônicas da Diretoria de Combate a Crimes Cibernéticos (CBAN/DCIBER), os criminosos têm migrado para o ambiente digital porque percebem menor risco. “O criminoso também avalia os riscos que sofre no negócio ilícito dele. Então, ele percebe que tem pelo menos uma sensação de anonimato maior quando está atrás de um computador.”

Além disso, por meio do ambiente digital, o alcance também é maior. “Quando ele [criminoso] pratica os crimes no ambiente digital, diversamente do crime presencial, físico, ele não precisa ter o contato direto com a vítima. Então, o cara está muitas vezes no Rio Grande do Sul atacando a conta bancária de uma pessoa do Amazonas, do Pará, do Rio de Janeiro e de fora do Brasil, inclusive. Nós temos casos transnacionais”, afirma Giacomet.

O mercado também tem a mesma percepção. “Na prática, o risco físico dos próprios bandidos, dos próprios fraudadores, é quase nulo quando está falando de um crime digital, e ganha uma capilaridade muito grande para poder atacar uma pessoa que está no Acre, no Rio Grande do Sul, em qualquer lugar do Brasil e até ‘cross border’ (em outros países)”, diz Glauco Sampaio, CEO da Beephish, que atuou em grandes instituições do setor financeiro.

Para Leandro Vilain, CEO da Associação Brasileira de Bancos (ABBC), é preciso mudar a percepção de que crimes que não atentam contra a vida são menos graves e endurecer a punição. “É um crime organizado. Muitas vezes, eles estão cometendo esses crimes para levantamento de fundos, e esse dinheiro vai financiar outros crimes que vão atentar contra a vida”, afirma. “Obviamente, as quadrilhas já se deram conta de que [o crime digital] é muito menos arriscado.”

Além dos incidentes cibernéticos, as fraudes financeiras também seguem crescendo, com os criminosos se aproveitando do ambiente digital. O sistema financeiro brasileiro registrou 12 milhões de indícios de fraude em 2025, com crescimento de 66,9% em relação a 2024, segundo levantamento da Quod, empresa de inteligência de dados que concentra comunicações de mais de 80% das instituições financeiras. A engenharia social esteve presente em 44% dos casos, e as contas de passagem e contas laranja, em 10%.

Para Claudio Bannwart, diretor-geral da Netskope do Brasil, o uso de Inteligência Artificial (IA) também amplia os desafios. “’Phishing’ [golpe digital em que criminosos se passam por empresas ou pessoas de confiança] continua sendo algo bem importante nesses ataques. Os ‘phishing’ estão muito mais inteligentes. Usam IA para criar um ‘phishing’ hoje, então usam IA para uma engenharia social.”

Mesmo o uso de IA pelas empresas acende um alerta. “Eu entendo que tem uma pressão para liberar IA para os funcionários, para você melhorar a produtividade, explorar a criatividade. Mas, por outro lado, isso traz uma pressão também do uso seguro da IA”, avalia Bannwart.

Para ele, a segurança cibernética passa pela visibilidade em tempo real e governança de dados. “Com toda essa transformação digital, principalmente no mercado financeiro, os bancos têm uma plataforma digital que conecta todos os clientes, parceiros, APIs [Interfaces de Programação de Aplicativos], tudo em nuvem, e os dados estão em movimento o tempo inteiro. O grande problema hoje da segurança da área financeira, principalmente, é proteger os dados, a identidade. Não é mais só proteger o sistema.”

Já a questão das contas laranja há algum tempo é apontada pelas associações como um desafio do sistema financeiro ainda não endereçado. “As pessoas têm que ter uma percepção de que, se elas emprestarem a conta e aquela conta for usada para coisas ilícitas, elas vão responder por aquilo”, defende Vilain.

Como mostrou o Valor, ainda não há um consenso sobre o tema das contas laranja dentro do BC. Enquanto uma ala considera necessário atacar o problema de forma mais dura, outra teme que a medida prejudique a inclusão financeira, já que muitos dos que “alugam” suas contas são pessoas de baixa renda.

Segundo a Febraban, os bancos também têm ampliado os investimentos em prevenção nos meios digitais. “Anualmente, são investidos cerca de R$ 50 bilhões em tecnologia, sendo que, deste total, 10% são destinados à prevenção a fraudes e à cibersegurança”, afirmou a entidade, em nota.

Digitalização financeira

O aumento das fraudes e incidentes digitais reflete o avanço da digitalização do sistema financeiro nos últimos anos. Apesar dos novos desafios colocados, essa digitalização permitiu que o número de pessoas físicas com relacionamento bancário subisse de 143,6 milhões em 2015 para 204,3 milhões em 2025, segundo dados do Cadastro de Clientes do Sistema Financeiro Nacional (CCS) do BC.

“É a migração do crime organizado de meios físicos para meios digitais por diversos fatores. A gente experimentou um ‘boom’ disso na pandemia. Com o ‘lockdown’, as pessoas migraram para lá [meio digital]. Isso vem tomando uma proporção cada vez maior também por conta da migração das pessoas para o mundo digital”, avalia Sampaio, da Beephish. “Isso abre um campo muito grande para que mais golpes sejam aplicados de diversas formas, com diversas artimanhas e técnicas, principalmente focando na parte de engenharia social.”

A velocidade com que as transações financeiras acontecem no ambiente digital também traz desafios para as instituições. “O Pix foi criado e usado em muitos crimes desses mais recentes. Desses grandes ataques, foram utilizados criptoativos, cujas conversões são imediatas também, e vão para a carteira fora do Brasil. Em segundos, tem dinheiro da fraude fora do Brasil”, diz Giacomet, da PF. “Separar o certo do errado em segundos é muito difícil.”

Em outubro do ano passado, o Fórum Técnico de Entidades do Setor de Pagamentos levou ao BC uma série de propostas para reforçar a segurança no sistema financeiro. O grupo — formado pela ABBC, Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), Associação Brasileira de Instituições de Pagamentos (Abipag), Associação Brasileira de Internet (Abranet), Febraban e Zetta — sugeriu, entre outras medidas, a ampliação do bloqueio cautelar de valores por até 96 horas em casos com indícios de fraude.

As entidades também propuseram a criação de um protocolo noturno para recebimento de recursos, com limites de transferência por hora e intervalo mínimo de 30 minutos para uma transferência para destinatários novos. A sugestão inclui estabelecer regras específicas para retenção de recursos em transferências de alto valor, com o objetivo de dificultar a rápida dispersão de valores em caso de fraudes e golpes.

Para lidar com os novos desafios, a cooperação entre instituições financeiras e órgãos públicos é essencial. Desde 2023, a partir da Resolução Conjunta nº 6 do BC, as instituições financeiras compartilham entre si dados sobre indícios de fraude via birôs, para que contas fraudulentas sejam mais rapidamente identificadas.

“Foi um tabu durante muito tempo ninguém falar que tinha problema de segurança, que os problemas aconteciam, e hoje os grandes bancos fazem um excelente trabalho de divulgação disso em grande mídia, em anúncios de televisão, falando para tomar cuidado com fraude”, diz Sampaio.

As associações que representam as instituições financeiras também têm firmado acordos de cooperação técnica (ACT) com a PF para a Plataforma Tentáculos, que centraliza as ocorrências de fraudes e golpes digitais em um repositório único de dados para que o órgão investigue os casos.

A Plataforma Tentáculos nasceu em 2007 para registrar informações de crimes contra a Caixa Econômica Federal. A ferramenta foi ampliada para receber informações de outras instituições financeiras e também dados das Polícias Civis. Alguns crimes são investigados pelas Polícias Civis; outros, quando têm alcance nacional ou mesmo transnacional, pela PF.

A primeira associação a assinar um ACT foi a Febraban, ainda em 2007. Hoje, ABBC, Associação Brasileira de Câmbio (Abracam), Abecs, Abranet e Zetta também integram a plataforma. A próxima deve ser a Associação Brasileira de Criptoeconomia (ABCripto), considerando a regulamentação recente do setor.

“Elas [associações] servem como um guarda-chuva. Então, a Polícia Federal não vai ficar procurando banco, corretora de câmbio, cada uma. Ela procura a associação, e as empresas que são associadas vão aderir a esse acordo firmado, que é voluntário”, explica Giacomet. “As associadas não são obrigadas a aderir, mas cada vez mais a gente está enxergando o interesse dessas empresas em congregar essa iniciativa de enfrentamento, porque isso une muito prevenção e repressão a esses crimes.”

Para Vilain, da ABBC, é um acordo que “funciona superbem”. “Distribui a informação para a Polícia Federal, e ela consegue alocar os recursos, priorizar as operações que ela faz.” Nem todo o inquérito, no entanto, resulta em operação. As operações são deflagradas quando há alguma medida ostensiva, como busca e apreensão ou prisão, mas elas não são necessárias em todos os casos.