Diletta Solutions
Banking & Payments

Segurança em pagamentos: proteger ecossistemas, não apenas sistemas

08 de junho de 2026 · 3 min de leitura · Celso Gonçalves Jr.

O novo desafio das instituições financeiras

Durante muitos anos, a segurança bancária foi tratada como um problema de perímetro. A lógica era simples: proteger a infraestrutura interna contra invasões externas.

Mas o mercado financeiro mudou.

Hoje uma simples transferência PIX pode envolver múltiplos participantes, APIs, provedores de infraestrutura, plataformas Banking-as-a-Service, parceiros de compliance, sistemas antifraude, operadoras de telecomunicações e o próprio Banco Central.

Em outras palavras, o dinheiro não trafega mais apenas dentro do banco.

Ele percorre um ecossistema.

E isso muda completamente a forma como devemos pensar segurança.

A superfície de ataque cresceu exponencialmente

Quando um cliente realiza um PIX pelo aplicativo do banco, a percepção é de uma interação simples:

Cliente → Banco → PIX realizado.

Na prática, a jornada é muito mais complexa. Dependendo da arquitetura adotada pela instituição, uma única transação pode atravessar:

  • Aplicativos mobile
  • APIs públicas
  • Gateways de autenticação
  • Sistemas antifraude
  • Provedores BaaS
  • Participantes indiretos do SPI
  • Infraestruturas em nuvem
  • Operadoras de telecomunicações
  • Banco Central
  • Instituição destinatária

Cada elo dessa cadeia representa uma potencial superfície de ataque. E basta que um deles seja comprometido para que todo o ecossistema seja colocado sob pressão.

O erro mais comum: confiar demais nos controles internos

Muitas organizações ainda investem fortemente na proteção dos seus próprios ambientes, mas assumem implicitamente que parceiros, fornecedores e integrações possuem o mesmo nível de maturidade.

Essa premissa raramente é verdadeira.

Os maiores incidentes financeiros dos últimos anos não ocorreram necessariamente por falhas nos bancos, mas por vulnerabilidades em terceiros, credenciais comprometidas, APIs expostas ou falhas de governança em fornecedores.

A pergunta correta deixou de ser:

“Estamos protegidos?”

E passou a ser:

“Estamos preparados para operar com segurança mesmo quando um dos participantes do ecossistema for comprometido?”

Essa é uma mudança fundamental de mentalidade.

A ascensão da segurança em camadas

O conceito de Defense in Depth (defesa em camadas) ganha relevância justamente nesse cenário.

Não se trata de criar uma única barreira mais forte. Trata-se de construir múltiplas camadas independentes de proteção para impedir que uma falha isolada evolua para um incidente sistêmico.

Entre os pilares mais importantes dessa abordagem estão:

Zero Trust

Nenhuma requisição deve ser considerada confiável por padrão. Toda identidade, dispositivo, aplicação ou integração deve ser continuamente validada e monitorada.

Segurança de identidade

A identidade tornou-se o novo perímetro.

Autenticação multifator, biometria, validação comportamental e mecanismos de detecção de fraude são elementos essenciais para garantir que a pessoa executando uma transação seja realmente quem afirma ser.

Proteção de APIs

O sistema financeiro moderno é construído sobre APIs. Consequentemente, APIs se tornaram um dos principais vetores de ataque.

Proteção contra abuso, autenticação forte, rate limiting, análise comportamental e monitoramento contínuo deixaram de ser diferenciais e passaram a ser requisitos básicos.

Monitoramento em tempo real

Fraudes modernas acontecem em segundos. A capacidade de identificar padrões anômalos em tempo real é tão importante quanto impedir a invasão inicial.

Hoje, velocidade de detecção muitas vezes vale mais do que prevenção absoluta.

Resiliência operacional

Nenhum ambiente é invulnerável. Por isso, organizações maduras investem tanto em capacidade de recuperação quanto em capacidade de prevenção.

A questão não é apenas evitar incidentes. É garantir que a operação continue funcionando quando eles ocorrerem.

Segurança como habilitador de crescimento

Historicamente, segurança foi vista como uma área de controle. Uma função que limitava riscos.

Mas instituições financeiras modernas começam a enxergar a segurança de forma diferente.

Segurança não é apenas proteção. É confiança. E confiança é um dos principais ativos de qualquer banco, fintech ou instituição de pagamento.

Em um mercado cada vez mais conectado, regulado e dependente de integrações, a capacidade de construir arquiteturas resilientes e ecossistemas seguros tornou-se uma vantagem competitiva.

Os líderes que entenderem essa mudança estarão mais preparados para escalar produtos, acelerar inovação e sustentar o crescimento dos negócios sem comprometer a confiança dos clientes.

Porque no sistema financeiro atual, proteger uma aplicação já não é suficiente.

O verdadeiro desafio é proteger todo o ecossistema ao seu redor.

Celso Gonçalves Jr.

Celso Gonçalves Jr.

Chief Information Security Officer - CISO

Executivo de tecnologia com mais de 25 anos de experiência em software bancário, meios de pagamento, cloud, arquitetura corporativa e cibersegurança. Ex-CTO da Matera por 15 anos, liderando mais de 400 profissionais e iniciativas estratégicas como PIX, Open Finance, modernização cloud e governança de segurança para instituições financeiras.