A suspensão temporária do Pix pelo BTG Pactual após um ataque hacker trouxe de volta ao centro do debate uma fragilidade que vai além da proteção perimetral. O episódio não chamou atenção apenas pelo impacto operacional ou pela necessidade de resposta rápida. Ele expôs um problema mais profundo, que vem crescendo à medida que o sistema financeiro se digitaliza: a dificuldade de reconstruir, com precisão e confiabilidade, o que de fato ocorreu dentro de ambientes altamente automatizados.

Em um ecossistema em que pagamentos instantâneos, autenticação, análise de risco, prevenção a fraudes e decisões transacionais são executados em tempo real por APIs, motores de regras e processos automatizados, um incidente não gera apenas indisponibilidade.

Ele cria uma disputa técnica. Afinal, quando uma operação precisa ser contestada, interrompida, revertida ou investigada, não basta dizer que houve uma falha, uma tentativa de fraude ou um comportamento anômalo. É preciso demonstrar, com clareza, qual evento ocorreu, em que sequência, com base em qual decisão sistêmica e sob quais controles.

O caso do BTG se encaixa exatamente nesse ponto de inflexão. A resposta de suspender temporariamente operações e reforçar mecanismos de proteção é coerente com a criticidade do ambiente. Mas o episódio também mostra que a dor real do sistema financeiro moderno não está apenas em impedir o ataque. Está em sustentar, depois do incidente, uma trilha técnica suficientemente confiável para auditoria, investigação, contestação regulatória e responsabilização.

Essa dor se torna ainda maior no momento em que entram em vigor as novas regras do Banco Central.

Uma nova lógica de risco no sistema financeiro

As recentes normativas do BC, especialmente a Resolução BCB 538/2025 e os dispositivos associados do CMN, elevaram significativamente o nível de exigência para instituições que operam infraestruturas críticas, como o ecossistema Pix e outros serviços centrais de pagamentos. O recado do regulador é claro: políticas, controles declaratórios e processos formais continuam importantes, mas já não bastam sozinhos.

O sistema financeiro passou a operar sob uma nova lógica de risco, na qual segurança precisa ser acompanhada de rastreabilidade, evidência técnica, integridade de registros e capacidade de auditoria independente. Em outras palavras, a exigência deixou de ser apenas “proteja melhor” e passou a incluir também “prove melhor”.

Esse é um deslocamento importante. Durante muitos anos, a segurança bancária se concentrou em prevenção, detecção e resposta. Agora, ganha força uma quarta dimensão: a verificabilidade. Não basta mais saber que uma transação foi bloqueada, autorizada ou sinalizada. É preciso demonstrar por que aquilo aconteceu, quais regras estavam em vigor, que dados influenciaram a decisão e se os registros gerados podem ser confiados como prova.

O problema dos logs tradicionais

É justamente aí que muitos modelos tradicionais começam a mostrar limite.

Grande parte das instituições ainda depende de logs distribuídos entre múltiplos sistemas, camadas de aplicação, ferramentas de observabilidade, bancos de dados, filas e ambientes de terceiros. Embora esses registros sejam essenciais, eles nem sempre entregam aquilo que o cenário atual exige. Em muitos casos, os dados estão fragmentados, dependem da integridade do operador da plataforma, não preservam de forma verificável a cadeia completa dos eventos ou misturam evidência operacional com dados sensíveis.

Em ambientes financeiros de alta velocidade, isso gera uma combinação delicada: sistemas cada vez mais sofisticados para tomar decisões em tempo real, mas com dificuldade crescente para explicar essas mesmas decisões com profundidade técnica e valor jurídico posterior.

Na prática, a dor é dupla.

De um lado, a instituição precisa reagir imediatamente para conter risco, fraude, impacto reputacional e pressão operacional. De outro, ela precisa preparar uma narrativa técnica sólida para auditorias, áreas jurídicas, times de compliance, reguladores e até eventuais disputas com clientes e parceiros. E essa narrativa não pode depender apenas de confiança interna. Ela precisa ser sustentada por mecanismos robustos de integridade e validação.

Segurança, auditoria e privacidade começam a colidir

Há ainda outro desafio relevante: o conflito entre rastreabilidade e exposição de dados.

Quanto mais se registra, maior tende a ser a capacidade de investigação. Mas também cresce o risco de retenção indevida de dados sensíveis, superexposição de informações pessoais e ampliação da superfície de ataque.

O sistema financeiro passou, então, a enfrentar um dilema arquitetural: como registrar o suficiente para provar uma decisão, sem armazenar mais do que o necessário e sem criar novos riscos de privacidade ou comprometimento.

Esse é um dos temas mais sensíveis da nova fase regulatória. O problema já não é apenas técnico. Ele é operacional, jurídico e estrutural.

Que alternativas começam a surgir

Diante desse cenário, o mercado começa a olhar para alternativas que vão além do modelo clássico baseado exclusivamente em logs convencionais, armazenamento persistente e auditoria posterior.

Uma primeira linha de evolução envolve o fortalecimento de trilhas imutáveis de eventos, com uso de assinaturas criptográficas, carimbos temporais confiáveis e estruturas de armazenamento preparadas para evitar alteração posterior de registros. A proposta, nesse caso, é tornar os eventos críticos mais próximos de evidências formais do que de simples telemetria operacional.

Outra alternativa é a adoção de arquiteturas com maior isolamento de execução, nas quais decisões sensíveis sejam processadas em ambientes protegidos, com controles criptográficos mais rígidos sobre memória, chaves e identidade de workload. Esse tipo de abordagem tenta reduzir a confiança excessiva em camadas intermediárias da infraestrutura e dificultar a adulteração silenciosa de fluxos críticos.

Também ganham espaço modelos orientados à separação entre dado sensível e evidência de execução. Em vez de guardar tudo indiscriminadamente, essas arquiteturas procuram registrar de forma verificável que determinada decisão ocorreu, qual regra foi aplicada e qual justificativa técnica sustentou a ação, sem necessariamente expor integralmente o conteúdo sensível envolvido na operação.

Em paralelo, há um movimento crescente em direção a mecanismos de auditoria contínua, com trilhas assinadas, registros append-only, estruturas WORM e processos desenhados para garantir que o histórico de uma decisão não possa ser alterado de forma oportunista depois do incidente.

Mais do que uma ferramenta, uma mudança de arquitetura

O ponto central é que o problema não será resolvido por uma única tecnologia isolada. Firewall, antifraude, SIEM, observabilidade, IAM, criptografia, proteção de APIs e governança continuam sendo fundamentais. Mas o que começa a se desenhar é a necessidade de uma camada adicional de confiança verificável, pensada desde a arquitetura.

Isso inclui combinar prevenção com prova, resposta com rastreabilidade, velocidade com integridade e automação com explicabilidade técnica.

O caso do BTG mostra exatamente isso. Em um ambiente como o do Pix, onde tudo acontece em segundos e o impacto de qualquer interrupção é imediato, a instituição não precisa apenas detectar e conter. Precisa ser capaz de demonstrar, depois, que a decisão tomada pelo sistema foi coerente, íntegra, auditável e defensável diante de reguladores e partes interessadas.

O que muda daqui para frente

O sistema financeiro brasileiro está entrando em uma fase em que a maturidade de segurança será medida não apenas pela capacidade de impedir ataques, mas também pela capacidade de reconstruir e provar eventos críticos sem ambiguidade.

Isso deve acelerar discussões sobre:

• trilhas auditáveis com maior robustez criptográfica;

• segregação entre processamento sensível e registro probatório;

• proteção de dados em uso;

• controle mais rígido sobre chaves e identidade de execução;

• e modelos de evidência capazes de sustentar disputas técnicas e regulatórias.

Em outras palavras, o futuro da segurança financeira não será definido apenas pela pergunta “como evitar a fraude?”. Cada vez mais, a pergunta decisiva será: como provar, de forma confiável, o que o sistema realmente fez.

E é exatamente nesse ponto que novas abordagens arquiteturais, já exploradas por alguns fornecedores e iniciativas especializadas no mercado, começam a ganhar relevância.