Cibersegurança no Setor Financeiro: Entenda o ataque recente e as reações Jurídicas possíveis

Na última semana, o mercado financeiro foi surpreendido por notícias de um ataque cibernético que atingiu prestadoras de tecnologia homologadas pelo Banco Central do Brasil (Bacen), responsáveis por viabilizar operações críticas como TEDs e PIX. O episódio expôs vulnerabilidades relevantes na infraestrutura de pagamentos nacional e trouxe à tona discussões sobre responsabilidades regulatórias, deveres de compliance e mecanismos de reparação.

Essas prestadoras, conhecidas como Provedores de Serviços de Tecnologia da Informação (PSTI), têm papel central: permitem que instituições financeiras e de pagamento se conectem à Rede do Sistema Financeiro Nacional e, por meio dela, acessem sistemas de liquidação operados pelo Bacen, como o STR (responsável pelas TEDs) e o SPI (núcleo do PIX). Essa intermediação é regulada pela Circular Bacen nº 3.970/19, que estabelece rígidos padrões de segurança cibernética.

O ataque levantou uma questão delicada: quem responde, em última análise, pelo desaparecimento de recursos de clientes? A jurisprudência recente dos tribunais brasileiros tem reafirmado que incidentes dessa natureza não configuram “fato de terceiro”, mas sim fortuito interno inerente ao risco da atividade. É a lógica da Súmula 479 do STJ, segundo a qual instituições financeiras respondem objetivamente pelos danos decorrentes de fraudes em operações bancárias.

Na prática, isso significa que tanto os prestadores de tecnologia homologados, como também bancos e instituições financeiras que participam do fluxo de liquidação, podem ser chamados a responder. A responsabilidade é reforçada pela teoria do risco do empreendimento: quem oferece serviço altamente lucrativo deve suportar os riscos de sua má prestação.

Do ponto de vista processual, o ordenamento oferece caminhos de reação imediata. A depender da situação, é possível ajuizar medidas cautelares com pedido de arresto de bens para assegurar patrimônio do prestador ou da instituição financeira envolvida, evitando risco de dilapidação. Em seguida, a ação principal pode buscar a restituição integral dos valores desviados, além de indenização por danos emergentes, lucros cessantes e até danos morais institucionais.

Esse caso serve como alerta: o ambiente financeiro digital exige constante atualização regulatória e máxima diligência de todos os agentes autorizados pelo Bacen. Para instituições afetadas, há instrumentos jurídicos eficazes para buscar ressarcimento, mas também lições importantes quanto à gestão de riscos cibernéticos e ao fortalecimento das cláusulas contratuais de responsabilidade. Autor: Vitor de Menezes V. Martins - vitor@msbm.com.br Charles Taufik Simão Berbare Neto - charles.taufik@msbm.com.br