top of page

Custo médio de uma violação cibernética no Brasil chega a R$ 7,19 milhões


Banco Central age e impulsiona tecnologia de segurança de aplicações


O sistema financeiro entrou em uma nova fase no que diz respeito à segurança cibernética. Com regras mais rigorosas impostas pelo Banco Central, a exigência deixa de ser apenas cumprir protocolos básicos e passa a demandar um nível mais alto de maturidade na proteção contra ameaças digitais.

 

“A obrigação de testar vulnerabilidades já existia. O que muda agora, para bancos e demais instituições financeiras, não é a necessidade de realizar esses testes, mas o nível de rigor exigido”, explica Wagner Elias, CEO da Conviso, empresa especializada em segurança de aplicações. 

 

Segundo o especialista, nesse cenário, práticas como o pentest — simulações controladas de ataques realizadas por especialistas para identificar falhas antes que sejam exploradas por criminosos — deixam de ser apenas uma boa prática técnica e passam a ocupar um papel estratégico dentro da agenda regulatória das instituições.


Normas

A determinação faz parte de um conjunto de normas estabelecidas nas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, publicadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil, que reforçam o papel da autoridade supervisora na validação técnica dos controles de segurança 


As normas ampliam obrigações relacionadas à governança, aos controles técnicos e à auditoria em segurança da informação para todas as instituições autorizadas a operar no Sistema Financeiro Nacional, incluindo bancos, fintechs, cooperativas e instituições de pagamento. A supervisão passa a exigir não apenas documentação formal, mas evidências técnicas de que os controles estão efetivamente implementados e funcionando.


Segundo o executivo da Conviso, muitas instituições ainda tratavam o pentest como commodity: um contrato anual como projeto fechado, com escopo definido, execução concentrada em um período específico e entrega de relatório técnico com plano de ação. Em muitos casos, o ciclo seguinte só ocorre meses depois, intervalo suficiente para que novas integrações, APIs e atualizações de sistemas alterem a superfície de ataque.


“O problema é que o ambiente muda toda semana. O código muda, a infraestrutura muda, os fornecedores mudam. Um teste feito há três meses pode não refletir mais o risco atual”, afirma o CEO da Conviso.


Ele observa que a dinâmica dos ataques também evoluiu. “Os criminosos já usam automação e inteligência artificial para escanear ambientes em larga escala. Se o ataque é contínuo, a validação de segurança também precisa ser".


Além de aplicações web e mobile banking, o escopo inclui redes internas, APIs públicas, integrações com nuvem e fornecedores terceirizados, todos pontos agora explicitamente enquadrados pelas novas normas do Banco Central.


Os testes variam conforme o alvo e o nível de informação fornecido ao especialista. Podem focar aplicações web, redes expostas à internet, ambientes internos ou aplicativos móveis. Também variam conforme o nível de informação concedido ao testador: white box (acesso total), grey box (acesso parcial) ou black box (sem conhecimento prévio).


Para se ter uma ideia da importância dessa capa de proteção, 97% das empresas que sofreram incidentes relacionados à IA relataram não ter controles de acesso adequados, mostrando que existem lacunas importantes de governança de segurança. No Brasil, esse efeito é ainda mais sentido, já que o custo médio de uma violação chegou a R$ 7,19 milhões em 2025, com setores como finanças e saúde entre os mais afetados.


E ainda, segundo relatório do Cost of a Data Breach Report, da IBM em conjunto com o Ponemon Institute, o custo médio global de uma violação de dados ficou em US$ 4,44 milhões. 


Em comparação, o custo médio anual de um programa tradicional de pentest custa em média US$ 216 mil por ano. “Esse custo tende a aumentar, porque o modelo de teste pontual, realizado uma ou duas vezes por ano, já não acompanha a velocidade de ambientes que mudam semanalmente.


Código, integrações e infraestrutura evoluem o tempo todo. Por isso, a tendência é que a validação de segurança se torne contínua, automatizada e orientada por inteligência artificial. Ainda assim, do ponto de vista financeiro, é incomparavelmente mais vantajoso investir em prevenção do que arcar com o impacto de uma violação. Sem contar os danos reputacionais, que muitas vezes são ainda mais difíceis de mensurar e reverter”, afirma Wagner Elias.


Pentest autônomo com IA

Que o pentest se tornou indispensável, isso já está claro. O que muda agora é a velocidade exigida pelo cenário atual. O novo ritmo do mercado de segurança, que precisa de atualizações constantes de código, integrações frequentes e ambientes cada vez mais dinâmicos, está impulsionando a evolução do modelo tradicional para o pentest autônomo com inteligência artificial.


“No modelo autônomo com IA, a proposta é executar simulações reais de ataque de forma recorrente, atuando como um especialista em pentest que observa continuamente o ambiente, acompanhando em tempo quase real as alterações no código, nas integrações e na infraestrutura digital. Assim, em vez de um projeto pontual, com início, meio e fim definidos, o teste passa a operar como um processo contínuo de validação ofensiva, alinhado à velocidade com que as aplicações e infraestruturas”, explica Elias.


Diferentemente de varreduras automatizadas tradicionais, a abordagem é orientada por ataque. A solução observa o comportamento real da aplicação em funcionamento, identifica URLs válidas, rotas acessíveis e endpoints de APIs expostos, reconhece métodos HTTP disponíveis, parâmetros aceitos e estruturas de payload. A partir desse mapeamento ativo, constrói uma visão concreta da superfície de ataque e conduz a exploração de forma progressiva, adaptando as decisões técnicas às respostas obtidas ao longo do teste.


Na etapa exploração, o sistema avalia configurações do servidor, políticas de segurança aplicadas, headers ausentes ou mal configurados, diretórios públicos e controles de autenticação e autorização. Vulnerabilidades como injeções, Cross-Site Scripting (XSS), Path Traversal, manipulação de parâmetros e falhas alinhadas ao OWASP Top 10 são identificadas dentro de um fluxo contínuo de ataque, não como achados isolados, mas como parte de possíveis cadeias de exploração.


Esse modelo permite a construção de attack chains (cadeias de ataque), conectando múltiplas falhas para demonstrar caminhos concretos de comprometimento. Cada vulnerabilidade passa por validação de explorabilidade no próprio ambiente testado, com geração de evidências técnicas reproduzíveis que facilitam a priorização baseada em impacto real.


Soluções no mercado nacional para o pentest

Segundo o CEO da Conviso, o mercado brasileiro ainda é fortemente dependente de tecnologias de segurança desenvolvidas nos Estados Unidos e na Europa, especialmente quando se trata de soluções avançadas para testes de intrusão e validação ofensiva contínua.


Com o objetivo de reduzir essa dependência externa e elevar o nível de maturidade técnica do ecossistema nacional, a Conviso investiu no desenvolvimento de tecnologia própria, criada no Brasil, voltada especificamente para testes de intrusão contínuos. 


“O pentest autônomo da empresa foi criado para se integrar ao ciclo de desenvolvimento. Ele executa simulações recorrentes, identifica novas exposições e gera relatórios priorizados, permitindo correções rápidas e baseadas em risco real”, afirma o executivo.


Os resultados são consolidados na Conviso Platform, onde cada execução gera um registro estruturado com escopo avaliado, ativos testados, classificação de severidade, encadeamento das falhas e histórico de execuções. “Isso permite comparar ciclos, acompanhar a evolução do risco ao longo do tempo e conectar a exploração ofensiva diretamente ao fluxo de governança e gestão de vulnerabilidades”, destaca.


Principais benefícios do pentest autonomo e contínuo devido à nova norma do BC

A nova dinâmica do pentest concedeu à Segurança de Aplicações (AppSec) um maior alcance e profundidade das práticas voltadas à proteção de softwares contra falhas e ataques cibernéticos. O modelo passa a integrar o ciclo contínuo de desenvolvimento, incorporando testes recorrentes, monitoramento ativo e validação permanente da superfície de exposição.


Entre os principais ganhos está a redução do intervalo entre o surgimento de uma vulnerabilidade e sua identificação. Em vez de aguardar meses por um novo ciclo de testes, a falha pode ser detectada em poucos dias — ou até horas — após ser introduzida no sistema, diminuindo a janela de exploração e aumentando a capacidade de resposta da organização.


O formato também amplia a cobertura, já que passa a monitorar de forma constante aplicações, APIs, integrações em nuvem e outros ativos digitais. Assim, os testes seguem critérios padronizados e as falhas são classificadas automaticamente por nível de risco, o que ajuda a direcionar esforços para o que realmente é mais crítico.


A possibilidade de reexecução sob demanda também altera a dinâmica operacional. “Após correções ou novos releases, o mesmo escopo pode ser validado novamente sem reinício de planejamento ou mobilização adicional, viabilizando segurança ofensiva recorrente com custo operacional mais controlado”, explica.


Além disso, o processo registra evidências detalhadas de cada simulação e correção realizada. Essas trilhas de auditoria facilitam a comprovação técnica perante o regulador e tornam a comunicação mais objetiva entre as equipes de tecnologia e a alta gestão.


A execução ocorre dentro de escopo autorizado e parâmetros definidos na plataforma, respeitando limites de governança para evitar impactos indevidos no ambiente produtivo. Fluxos altamente contextuais de lógica de negócio ou análises arquiteturais específicas podem demandar complementação humana, mantendo o papel do especialista dentro de uma estratégia ofensiva madura.


Wagner Elias pondera, ainda, que a inteligência artificial não elimina a figura do especialista, mas altera a dinâmica do trabalho. “A IA acelera a detecção e amplia a cobertura. O olhar humano continua indispensável para interpretar risco, priorizar correções e entender o contexto de negócio”, afirma.


Esse mercado avança com o aumento dos riscos digitais e da demanda por segurança. De acordo com o relatório Penetration Testing Services Market Forecast 2026–2032, o segmento tradicional de pentesting deve alcançar cerca de US$ 4,16 bilhões em 2026. Já no modelo baseado em serviço, o chamado Penetration Testing as a Service (PTaaS), as projeções da 360iResearch indicam um mercado estimado em US$ 141,83 milhões em 2025, com expectativa de atingir aproximadamente US$ 165,46 milhões em 2026, mantendo trajetória de crescimento nos anos seguintes.



 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page