Quem acompanha o mercado de perto sabe que as práticas envolvendo a cibersegurança mudaram de patamar nos últimos anos e alguns números e fatos comprovam essa mudanças de cenário.
De acordo com estudo da Fortinet, líder global de soluções e serviços de cibersegurança, apenas no primeiro semestre de 2025, o Brasil registrou 315 bilhões de tentativas de ataques cibernéticos apenas no primeiro semestre de 2025, o equivalente a 84% de todas as ocorrências da América Latina.
Somos um dos países mais digitalizados da região, com um ecossistema financeiro robusto e uma superfície de exposição crescente, especialmente com a expansão do Open Finance e das integrações via API.
O que torna esse cenário mais preocupante é a qualidade dos ataques. A inteligência artificial está dos dois lados da mesa, enquanto empresas e reguladores tentam usar IA para detectar anomalias e responder mais rápido, os criminosos usam as mesmas ferramentas para criar ataques mais sofisticados, personalizados e difíceis de rastrear.
Ao longo da minha trajetória trabalhando com arquitetura de sistemas, fintechs, inovação e infraestrutura digital, pude ver o momento em que a segurança deixou de ser pauta do time técnico e virou questão de sobrevivência para o negócio; e o chama atenção na minuta de Lei Geral da Cibersegurança, publicada pelo Comitê Nacional de Cibersegurança (CNCiber), foi exatamente esse reconhecimento. O Brasil está tentando colocar no papel o que o mercado já entende na prática.
Em dezembro de 2025, o Banco Central publicou as Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, que tornaram o pentest (o teste de intrusão simulando ataques reais) obrigatório para bancos, fintechs e instituições de pagamento a partir de março deste ano.
É nesse contexto que a publicação da minuta da Lei Geral da Cibersegurança ganha relevância. A proposta do CNCiber representa um esforço estruturado para trazer organização e elevar os níveis de governança de segurança cibernética em nível nacional.
O que me parece mais acertado é a abrangência do Sistema Nacional de Cibersegurança (SNCiber). Pela primeira vez, a minuta coloca sob um mesmo guarda-chuva regulatório setores como telecomunicações, energia, saúde, finanças, data centers e computação em nuvem. Não dá mais para tratar segurança de forma setorial quando os ataques são transversais e uma brecha num provedor de nuvem pode comprometer simultaneamente clientes de diferentes setores da economia.
A previsão de ETIRs (Equipes de Tratamento e Resposta a Incidentes Cibernéticos) setoriais e ISACs (centros de compartilhamento de informações sobre ameaças) também é bem-vinda. Esses mecanismos fazem toda a diferença na velocidade de resposta a incidentes.
Quando uma ameaça é detectada em um setor e essa informação não chega aos outros em tempo real, o atacante tem uma vantagem desproporcional. Outro ponto fundamental é a extensão das obrigações à cadeia de suprimentos. Parte significativa das brechas que vemos em fintechs e bancos não está na instituição principal, mas nos fornecedores e parceiros tecnológicos que integram o ecossistema.
A proposta de designar a Agência Nacional de Telecomunicações (Anatel) como Autoridade Nacional de Cibersegurança é o ponto que mais levanta debate, e com razão. A Anatel tem a regulação de cibersegurança mais madura entre as agências brasileiras, mas coordenar segurança cibernética de forma transversal para energia, defesa, saúde e finanças é uma mudança qualitativa significativa de escopo e o próprio relatório do Grupo de Trabalho Temático (entidade instituída pelo Gabinete de Segurança Institucional para elaboração da PL), registra essa tensão com transparência.
O que preocupa não é a escolha da Anatel em si, mas o risco de subestimar o que essa transição exige na prática. O sucesso do modelo vai depender de investimento contínuo em capacidade técnica, de construção de legitimidade junto a setores que têm reguladores próprios consolidados e de mecanismos claros para separar o papel regulatório setorial do papel de autoridade nacional.
A minuta do CNCiber é resultado de centenas de horas de trabalho, com participação de 19 instituições representando governo, setor privado, academia e sociedade civil. Esse processo importa tanto quanto o resultado. Cibersegurança não é problema de uma agência ou de um ministério, é uma responsabilidade sistêmica, e qualquer marco legal que funcione precisa refletir isso.
O que esse momento deixa claro é que o Brasil está construindo, progressivamente, uma arquitetura regulatória que começa a estar à altura da ameaça. O Bacen exigindo pentest no setor financeiro, o CNCiber propondo uma lei geral, a sociedade civil e o setor privado sentados na mesma mesa para debater são sinais de maturidade que o mercado precisa reconhecer e apoiar.
O próximo passo é transformar essa minuta em lei, com a qualidade técnica e o cuidado político que o tema exige. E depois da lei vem a parte mais difícil: fazer ela funcionar na prática, com capacidade de fiscalização, cultura de conformidade e empresas que tratem segurança como decisão de negócio. E não apenas como burocracia a ser cumprida no papel.
Sobre o autor
Pedro Cardoso é Chief Information Officer (CIO) da HOUS3. Com trajetória iniciada no universo da tecnologia aos 15 anos, Pedro participou ativamente da estruturação e evolução de plataformas de Digital Assets no Itaú, além de experiências anteriores na Empiricus.
