Ricardo Dastis é sócio e CTO da Scunna S/A.
O ano de 2025 representou um divisor de águas para a segurança cibernética no Brasil e no mundo. Diferentemente de ciclos anteriores, marcados por avanços graduais de ameaças e defesas, os eventos recentes evidenciaram uma mudança estrutural no cenário de riscos digitais.
Ao olharmos para 2026, torna-se claro que não se trata apenas de evoluir tecnologias, mas de repensar modelos de governança, integração entre disciplinas e o próprio papel da segurança como elemento estratégico de continuidade dos negócios.
1. A ruptura de 2025: quando ciberataque e fraude se tornaram indissociáveis
Os ataques registrados em 2025 contra o sistema financeiro brasileiro, em especial aqueles direcionados ao ecossistema do Pix e às contas de reserva, marcaram um dos maiores impactos financeiros já observados no mercado nacional.
Mais do que perdas na casa de R$ 1 bi, esses eventos expuseram uma fragilidade conceitual que por anos foi tratada de forma artificial: a separação entre ataques cibernéticos e fraudes financeiras.
Na prática, essa linha tênue foi definitivamente rompida. As campanhas observadas combinaram exploração de vulnerabilidades técnicas, comprometimento de credenciais, insiders, abuso de acessos privilegiados e engenharia social em escala, resultando em perdas financeiras diretas, interrupções operacionais e danos reputacionais relevantes.
O ataque deixou evidente que a superfície de risco não se limita mais ao perímetro tecnológico da instituição, mas se estende a todo o seu ecossistema – incluindo prestadores de serviços, parceiros tecnológicos e cadeias de terceirização.
Esse novo cenário motivou uma resposta regulatória contundente. As recentes Resoluções do Banco Central, com prazo de adequação até maio de 2026, sinalizam que a tolerância a falhas estruturais de segurança foi encerrada.
Ainda que nem sempre de forma explícita, a exigência de controles robustos de identidade, rastreabilidade e governança aponta a Gestão de Acessos Privilegiados (PAM) como um pilar inegociável para a proteção do Sistema Financeiro Nacional.
Entretanto, tecnologia isolada não é suficiente. O aprendizado mais relevante de 2025 foi a necessidade de integração entre segurança cibernética e prevenção a fraudes.
Modelos tradicionais de SOC, focados exclusivamente em eventos técnicos, mostram-se insuficientes frente a ataques híbridos, que exploram simultaneamente falhas humanas, processuais e tecnológicas.
Nesse contexto, o conceito de Fusion SOC emerge como resposta estratégica, integrando monitoramento cibernético, análise de comportamento, detecção de fraudes e resposta coordenada a incidentes.
Em 2026, proteger credenciais e acessos privilegiados – internos, externos e de parceiros – deixa de ser uma boa prática e passa a ser condição básica de sobrevivência operacional.
2. Novembro de 2025: o ponto de inflexão dos ataques autônomos
Se o primeiro semestre de 2025 consolidou a convergência entre ciberataques e fraudes, o final do ano trouxe um choque ainda mais profundo para a comunidade global de segurança.
A descoberta de campanhas conduzidas com o uso de agentes autônomos de ataque, capazes de executar a maior parte do ciclo ofensivo sem intervenção humana direta, representou possivelmente o evento mais relevante em insegurança cibernética da última década.
Diferentemente de abordagens anteriores, em que a inteligência artificial atuava como apoio ao atacante humano, a operação conduzida em novembro de 2025 pelo grupo chinês designado GTG-1002, é considerada o primeiro caso de um ataque cibernético de larga escala executado majoritariamente sem intervenção humana substancial.
Agentes baseados em modelos de linguagem avançados passaram a conduzir reconhecimento, descoberta de vulnerabilidades, exploração, movimentação lateral e extração de dados de forma quase contínua, em uma velocidade inalcançável por equipes humanas.
Esse novo ponto de inflexão altera radicalmente a lógica de defesa. A assimetria histórica, na qual atacantes operavam com vantagem de escala e defensores reagiam manualmente, atinge um novo patamar.
Em 2026, a mitigação desse risco exige a adoção consistente do princípio de AI for Defense. Automação, análise comportamental avançada, detecção baseada em anomalias e respostas orquestradas deixam de ser diferenciais e passam a ser requisitos mínimos.
Além disso, torna-se imprescindível reduzir drasticamente a superfície de ataque explorável por agentes autônomos.
Estratégias como Zero Trust, PAM com acesso just-in-time (JIT), segmentação de ambientes, gestão contínua de exposição (CTEM) e validação rigorosa de identidades passam a atuar como barreiras estruturais contra movimentos laterais em alta velocidade.
Em paralelo, o fator humano não desaparece, mas assume um novo papel: validar, supervisionar e tomar decisões estratégicas, mitigando inclusive falhas inerentes à própria IA, como alucinações e falsos positivos.
3. O desafio da governança da inteligência artificial
O terceiro grande desafio para 2026 não vem apenas de fora, mas de dentro das organizações. A corrida acelerada pela adoção de inteligência artificial, especialmente modelos generativos, cria um ambiente fértil para ganhos de produtividade e inovação, mas também para riscos sistêmicos pouco visíveis.
O fenômeno do Shadow AI – uso não governado de ferramentas de IA por áreas de negócio – já é uma realidade, ampliando riscos de vazamento de informações, violações regulatórias e decisões automatizadas sem contexto adequado.
Outro risco crescente é a obscuridade de códigos e conteúdos gerados por IA sem documentação, entendimento de contexto ou validação técnica.
Erros aparentemente pequenos podem ser replicados em escala massiva, impactando processos críticos, produtos digitais e até decisões estratégicas, muitas vezes sem rastreabilidade clara.
Nesse cenário, a governança da IA emerge como disciplina central da agenda executiva. É preponderante às organizações propor políticas claras, definição de papéis e responsabilidades, avaliação de riscos ao longo de todo o ciclo de vida da IA e supervisão humana contínua.
Complementarmente, arquiteturas robustas de Security Service Edge (SSE) ganham protagonismo como elemento técnico de sustentação dessa governança.
Ao centralizar controles de acesso, inspeção de tráfego, proteção de dados e visibilidade sobre o uso de aplicações e serviços de IA, o SSE viabiliza a aplicação prática de políticas corporativas, reduzindo a proliferação descontrolada de soluções e fortalecendo a postura de segurança em ambientes híbridos e distribuídos.
Conclusão
O ano de 2026 não será marcado por um único desafio em segurança cibernética, mas pela convergência de três movimentos estruturais: a fusão definitiva entre ciberataques e fraudes financeiras, a ascensão de agentes autônomos de ataque, e a necessidade urgente de governança da inteligência artificial dentro das organizações.
Em comum, esses desafios exigem uma mudança de mentalidade: segurança passa a ocupar o centro da estratégia de negócio, da governança corporativa e da resiliência institucional.
As organizações que compreenderem essa transformação – e agirem de forma integrada, antecipatória e estruturada – estarão mais bem posicionadas não apenas para mitigar riscos, mas para competir e inovar de forma sustentável em um ambiente digital cada vez mais complexo.
* Ricardo Dastis é sócio e CTO da Scunna S/A. Conselheiro formado pelo IBGC. Atuou como Executive Partner de Security and Risk Management do Gartner. 30 anos de experiência na área de segurança da informação. Associado do IBGC. CISM pelo ISACA. BS7799 Lead Auditor na primeira turma do Brasil. Conselheiro Fiscal da +praTi. Atuou como CISO das Lojas Renner, BASF e Oi; e como Advisor na PwC e Modulo Security. Foi Sócio-Fundador de empresa pioneira em Segurança da Informação no Sul do Brasil nos anos 90. Graduado e Pós-Graduado em Ciências da Computação pela UFRGS. Professor de Pós-Graduação em Governança e Segurança Cibernética da Unisinos, PUC-RS e Mackenzie. Coautor dos livros “GRC: Governança, Risco e Conformidade – Siga Este Conselho”, de 2017; e "Produto e Tecnologia: Como Pensam as Lideranças”, de 2025.
Referências
BACEN e a Contagem Regressiva: PAM como Imperativo de Segurança para o SFN
O Grande Ponto de Inflexão de 2025: Como a Espionagem Orquestrada por IA Mudou o Jogo para 2026
O Novo CISO: Liderando a Convergência entre Cyber, Fraude e Risco
IBGC | Guia de Inteligência Artificial para Conselheiros de Administração