Por Sérgio Maffi, auditor e fundador da DM
A digitalização crescente das rotinas financeiras elevou o nível de eficiência das empresas, mas também ampliou a exposição das áreas contábil, fiscal e financeira a riscos cibernéticos cada vez mais sofisticados. O que antes se concentrava em ataques voltados à indisponibilidade de sistemas, hoje inclui fraudes estruturadas, roubo de credenciais, manipulação de pagamentos, vazamento de dados fiscais e sequestro de informações estratégicas. Em muitos casos, o alvo não é apenas a tecnologia, mas o próprio fluxo operacional e decisório das organizações.
Os ataques recentes ao sistema financeiro brasileiro evidenciam esse novo cenário. Em 2025, a C&M Software, empresa que conecta instituições financeiras ao Banco Central, sofreu um dos maiores ataques cibernéticos já registrados no país, com desvios estimados em centenas de milhões de reais. As investigações apontaram exploração de credenciais e fragilidades em fornecedores terceirizados, reforçando um risco que também preocupa áreas contábeis e fiscais: a dependência crescente de ERPs, plataformas em nuvem, softwares de automação e integrações externas.
Nesse contexto, o ambiente regulatório também vem evoluindo para acompanhar a complexidade desses riscos. Em 29 de maio de 2025, o Ministério das Comunicações publicou a Resolução MCOM nº 34, que estabelece diretrizes para gestão e auditoria da conformidade em segurança da informação. A norma reforça a necessidade de alinhamento entre controles, gestão de riscos e objetivos organizacionais, além de destacar a importância de práticas sistemáticas de auditoria para garantir integridade, confidencialidade e disponibilidade das informações. Na prática, esse tipo de diretriz fortalece a visão de que segurança da informação não é apenas técnica, mas parte estruturante da governança e da confiabilidade dos processos.
Incidentes desse tipo causam impactos que vão muito além da interrupção operacional nas empresas. Um acesso indevido a ambientes financeiros pode resultar em alteração de dados bancários de fornecedores, emissão de pagamentos fraudulentos, vazamento de obrigações fiscais, exposição de informações societárias e até comprometimento de fechamentos contábeis. A modalidade ransomware, em que criminosos sequestram dados mediante pedido de resgate, segue em expansão. Levantamento da ISH Tecnologia apontou crescimento de 25% nos ataques desse tipo apenas no primeiro semestre de 2025.
Outro ponto crítico está no fator humano. Ataques atuais combinam engenharia social, vazamento de credenciais e uso de inteligência artificial para simular comunicações legítimas com alto grau de convencimento. E-mails falsos com boletos adulterados, solicitações fraudulentas de alteração cadastral e mensagens que imitam executivos ou parceiros comerciais já fazem parte da rotina de risco de muitas organizações. Em áreas financeiras, em que velocidade operacional e confiança nos fluxos são essenciais, pequenas falhas de validação podem gerar perdas relevantes em poucos minutos.
Controles internos, segregação de acessos, revisão de permissões, autenticação multifator, rastreabilidade de alterações e políticas de validação de pagamentos deixaram de ser temas apenas restritos à TI e passaram a integrar o próprio ambiente de governança corporativa. A discussão já não envolve apenas proteger sistemas, mas preservar a confiabilidade das informações financeiras, a integridade dos processos e a continuidade operacional diante de ameaças que evoluem em velocidade superior à de muitos controles tradicionais.