A violação foi apenas o sintoma - Por que a governança de dados deve manter os membros do conselho acordados à noite.

A Violação Foi Apenas o Sintoma

Ao entrarmos em 2026, quatro incidentes já ilustraram com clareza dolorosa por que a governança de dados mantém os membros do conselho acordados à noite.

Em Abu Dhabi, mais de 700 digitalizações de passaportes de uma das maiores reuniões financeiras do mundo — incluindo as do ex-primeiro-ministro do Reino Unido, Lord David Cameron, e do bilionário de fundos de hedge Alan Howard — foram encontradas em um servidor na nuvem sem proteção, conforme reportado pelo Financial Times. Nenhum ator estatal sofisticado. Nenhum exploit zero-day. Apenas um bucket mal configurado pertencente a um fornecedor terceirizado. Na França, as autoridades confirmaram que aproximadamente 1,2 milhão de contas bancárias foram expostas após atacantes acessarem o registro nacional FICOBA — um dos repositórios de identidade financeira mais sensíveis do país — usando apenas credenciais roubadas de um funcionário do governo. Sem entrada forçada. Sem malware. Apenas confiança na identidade errada.
A Betterment divulgou que um ataque de engenharia social a uma plataforma de comunicação de terceiros expôs os dados pessoais de mais de um milhão de clientes — detalhes de planos de aposentadoria, interesses financeiros, notas de reuniões internas — antes que um grupo de ransomware ameaçasse publicar tudo o que a Betterment se recusou a pagar. E a PayPal confirmou que um erro de codificação em sua plataforma de empréstimos expôs dados altamente sensíveis de clientes — incluindo números de Segurança Social — por quase seis meses antes de ser detectado.

Nenhum desses casos exigiu um atacante sofisticado. Mas, em cada um, as ferramentas e frameworks disponíveis para preveni-los simplesmente não eram suficientes.

Nenhum desses incidentes resultou em consequências regulatórias ou financeiras catastróficas. E, frankly, esse é o problema.

Passei anos dentro de grandes instituições financeiras e tenho dedicado a última década a ajudar organizações a navegar na transformação digital. O que tenho observado, consistentemente, não é a falta de intenção da liderança — a maioria dos conselhos e executivos leva a governança de dados a sério e tenta fazer isso corretamente. O que vejo, na verdade, é uma lacuna estrutural entre a complexidade do ambiente de ameaças e a maturidade das ferramentas, diretrizes e expertise disponíveis para enfrentá-las. Esses incidentes não me surpreenderam. Nem destacaram atores negligentes de forma única — PayPal, FICOBA, Betterment e os organizadores da Abu Dhabi Finance Week enfrentam os mesmos desafios de centenas de outras instituições. São apenas os nomes nas manchetes deste trimestre. Quando você ler isto, quase certamente haverá outro.

A organização moderna de serviços financeiros é surpreendentemente complexa. Digitalizações de passaportes, credenciais de pagamento, identificadores biométricos, dados comportamentais — tudo coletado, armazenado em múltiplos ambientes de nuvem, processado por uma constelação de fornecedores terceirizados, subcontratados e integrações API que até o conselho mais diligente teria dificuldade em mapear completamente. Cada nova relação com fornecedores amplia a superfície de ataque. Os números confirmam isso: segundo o Relatório de Investigações de Violação de Dados de 2025 da Verizon, o envolvimento de terceiros em violações dobrou em relação ao ano anterior, atingindo 30%. SecurityScorecard aponta um valor ainda maior, vinculando 35,5% de todas as violações ao acesso de terceiros. O ritmo de crescimento dessa complexidade simplesmente superou os frameworks de governança projetados para gerenciá-la. Essa é uma condição de toda a indústria, não uma falha de liderança.

As consequências de errar nisso não são apenas operacionais. São existenciais em termos de confiança do cliente. Uma pesquisa recente da American Bankers Association revelou que 51% dos clientes de bancos nos EUA escolhem sua instituição principalmente por confiar na sua segurança — e 67% considerariam trocar de banco após uma violação séria de dados. Isso não é um risco reputacional no futuro. É o modelo de negócio em jogo.

O que mais me preocupa não é a complacência — encontro muito pouco disso nas salas de conselho com as quais trabalho. É o crescente descompasso entre a velocidade da ameaça e a prontidão da resposta. A direção regulatória está se tornando mais rígida em todas as jurisdições. Sob GDPR, a distinção entre um ataque externo malicioso e uma falha de governança evitável tem pouco peso. A questão que os reguladores fazem é se medidas de proteção adequadas estavam em vigor. No Reino Unido, nos EUA — onde um mosaico fragmentado de regulamentações estaduais cria incentivos desiguais — e nos Emirados Árabes Unidos, onde o framework PDPL ainda está em desenvolvimento, a direção é a mesma: a responsabilidade está crescendo. A SEC tornou isso explícito, com suas prioridades de inspeção para 2026, mostrando que as preocupações com governança de cibersegurança agora superaram as criptomoedas como o principal risco no setor financeiro. O desafio é que as expectativas regulatórias estão crescendo mais rápido do que as orientações práticas necessárias para atendê-las.

Então, compartilho as perguntas que considero mais úteis para levantar com os conselhos — não como acusações, mas como ferramentas de navegação para terrenos realmente difíceis.

As empresas realmente têm uma visão clara de onde seus dados de clientes estão — não apenas dentro de sua própria infraestrutura, mas em todos os fornecedores, ambientes de nuvem e transferências transfronteiriças? A due diligence de terceiros acompanha a sensibilidade dos dados confiados a esses fornecedores? E, crucialmente, as organizações têm acesso a pessoas que realmente entendem o cenário de risco de IA — não apenas especialistas em cibersegurança, mas profissionais que possam identificar onde os próprios sistemas de IA se tornaram uma superfície de ataque?

A tecnologia raramente é o fator limitante, assim como a vontade da liderança. A violação na FICOBA não precisou de malware. A violação na Betterment não precisou de exploit zero-day. Uma ligação telefônica foi suficiente para expor quase um milhão de contas na Figure, uma fintech, no início deste ano. O que esses incidentes têm em comum não é uma gestão negligente, mas um ambiente em que as ameaças evoluem mais rápido do que os frameworks, a expertise e os manuais necessários para combatê-las. Fechar essa lacuna requer investimento contínuo, conhecimento especializado e uma conversa institucional honesta sobre onde estão as vulnerabilidades hoje.

A Lacuna Regulamentar que Ninguém Quer Nomear

Esses incidentes ocorreram em um ambiente regulatório que, na melhor das hipóteses, ainda está se atualizando — e, na pior, olhando na direção errada. Essa lacuna importa não apenas como uma questão de conformidade, mas porque o que não tem um lar regulatório raramente é governado.

Na Europa, o esforço é genuíno. DORA impõe obrigações reais sobre resiliência de TIC e supervisão de terceiros. A Lei de IA da UE acrescenta uma estrutura baseada em risco para aplicações de IA de alto risco, com penalidades significativas. Juntos, representam a tentativa mais séria de qualquer jurisdição de governar o risco digital no setor financeiro. Mas foram projetados para ameaças conhecidas e categorizáveis. A DORA pensa em sistemas sendo invadidos. A Lei de IA pensa em saídas enviesadas causando danos ao consumidor. Nenhuma foi construída para lidar com manipulação adversária de sistemas de IA como uma estratégia de ataque — envenenamento de modelos, entradas adversárias que enganam a detecção de fraude, deepfakes que impersonam um executivo para autorizar uma transferência fraudulenta. Quando um ataque explora simultaneamente a infraestrutura e corrompe o modelo, ele cai em uma lacuna que nenhum desses frameworks foi projetado para cobrir.

Os Estados Unidos estão em uma posição mais incerta. Não há um framework federal abrangente de governança de IA para serviços financeiros. A SEC aplica regras de divulgação existentes à IA. O Tesouro lançou um framework de gestão de risco não vinculativo. A administração Trump trabalha ativamente para evitar leis estaduais de IA. O resultado ainda não é um sistema coerente. São intervenções bem-intencionadas que ainda não se unificaram em um sistema.

O Reino Unido fica em algum lugar intermediário. A FCA optou por não criar regras específicas para IA, confiando em regimes de responsabilidade existentes para responsabilizar gestores seniores pelos resultados impulsionados por IA. A lógica é defensável, e a abordagem colaborativa da FCA — trabalhando diretamente com as empresas através do seu AI Lab — reflete um esforço genuíno. Mas o regime de Terceiros Críticos, criado precisamente para colocar fornecedores de IA e nuvem sob supervisão regulatória, ainda não designou nenhuma organização desde sua criação. O próprio Comitê de Seleção do Tesouro do Reino Unido concluiu que o sistema financeiro não está preparado para um incidente importante relacionado à IA. Reguladores e instituições estão fazendo o melhor em um território realmente inexplorado. Mas boas intenções não são o mesmo que prontidão.

O que todos esses três países compartilham é a falha em nomear — e, portanto, governar — o risco emergente central: que os sistemas de IA em serviços financeiros não são apenas ferramentas que podem falhar. São superfícies de ataque. E um sistema de IA pode ser comprometido de maneiras invisíveis à instituição que o opera, difíceis de detectar após o fato, e impossível de atribuir claramente a uma falha tecnológica ou a uma falha de IA — o que faz com que caia entre os frameworks projetados para capturá-los.

Isso não é uma crítica às pessoas que trabalham nesses problemas. É um reconhecimento de quão rápido a ameaça está evoluindo em relação à nossa capacidade coletiva de responder. Mas reconhecer o problema é apenas o começo. O que significa estar bem preparado não é um mistério:
ter especialistas em risco de IA no conselho ao lado de advogados e especialistas em cibersegurança; testes de estresse específicos de IA obrigatórios pelos reguladores; e uma categoria regulatória definida para ataques adversários de IA que dê às instituições obrigações claras e responsabilidade definida.
Nenhum desses elementos existe ainda em escala global.

A utilização deliberada de sistemas de IA de uma instituição financeira contra ela mesma ainda não tem um lar regulatório claro em nenhuma jurisdição. As instituições não podem governar o que os reguladores ainda não definiram. Mas é exatamente por isso que os conselhos precisam fazer essas perguntas agora, antes que os frameworks estejam prontos — porque, quando as regras chegarem, os incidentes já terão acontecido.

A violação ainda é apenas o sintoma. Mas o problema de governança está crescendo mais rápido do que qualquer um de nós — instituições, reguladores ou consultores — está atualmente preparado para resolver.

Alessandro Hatami é Sócio-Gerente da Pacemakers.io e conselheiro sênior em serviços financeiros digitais.